Investigar um incidente e entidades suspeitas associadas
Durante um incidente, os analistas de segurança normalmente são encarregados de investigar alertas e coletar informações pertinentes associadas ao incidente. Eles realizam análises de causa raiz e correlacionam informações de uma variedade de fontes para determinar o impacto potencial na organização.
Dependendo do cenário, os analistas podem precisar analisar logs, examinar malware, fazer engenharia reversa de arquivos ou scripts e investigar URLs que foram observadas.
Um componente essencial de uma investigação envolve entender quais etapas de correção devem ser seguidas e transmitir efetivamente descobertas significativas para manter os stakeholders informados sobre o estado atual do incidente.
Neste exemplo, o Copilot para Segurança é usado para executar uma investigação abrangente de incidentes coletando informações contextuais de alertas, analisando um script e URL suspeitos e gerando uma avaliação acompanhada por um conjunto de etapas de correção.
Etapas
Comece a investigar no Microsoft Defender XDR.
O Copilot para Segurança é integrado ao Microsoft Defender XDR. Em uma página de incidente, selecione o botão Copilot para Segurança para obter um resumo de um incidente e obter detalhes como a hora e a data de quando um ataque começou, a entidade ou ativo que iniciou o ataque e os ativos envolvidos no ataque.
Analise o script suspeito.
Microsoft Defender XDR sinalizadores quando um script suspeito é executado. Use o Copilot para Segurança para explicar o que o script suspeito está fazendo.
Observação
As funções de análise de script estão continuamente em desenvolvimento. A análise de scripts em linguagens diferentes do PowerShell, lote e bash está sendo avaliada.
Com um clique de um botão, uma descrição é exibida junto com um resumo geral do script.
Estenda a investigação no Copilot para Segurança usando prompts de linguagem natural e mais plug-ins.
Continue sua investigação na experiência autônoma do Copilot para Segurança selecionando Abrir no Copilot para Segurança.
A experiência autônoma permite estender a investigação usando prompts de linguagem natural.
Para obter uma compreensão mais abrangente do incidente, use Copilot para Segurança para coletar mais informações sobre a infraestrutura suspeita mencionada no script da linha de comando.
Obtenha mais detalhes sobre a infraestrutura mencionada no script de linha de comando.
Prompt usado:
O que você pode me dizer sobre a reputação dos indicadores no script? Eles são mal-intencionados? Se sim, por quê?
Resposta:
A resposta indica que o IP está associado a um grupo de ameaças conhecido. Você pode fixar essa resposta como uma informação crítica que pode ser usada posteriormente.
Use o Copilot para Segurança para fornecer uma avaliação do incidente com evidências de suporte e um conjunto de recomendações.
Prompt usado:
Escreva um relatório com as informações a seguir. Rotule o incidente como um verdadeiro positivo ou falso positivo. Forneça evidências de suporte para sua escolha com um nível de confiança. Resuma as descobertas da investigação e conclua com um conjunto de recomendações.
Resposta:
Dica
Você pode exportar a resposta para referência futura. Você também tem a opção de compartilhar toda a sessão com outros analistas. Outros membros da equipe que estão revisando o incidente podem aproveitar o quadro de pinos para obter um resumo completo das etapas de investigação, o que os economiza um tempo valioso.
Conclusão
Nesse caso de uso, Copilot para Segurança ajudou a conduzir uma investigação completa de um incidente. Usando linguagem natural, os analistas podem obter uma explicação do que o script suspeito está fazendo e verificar a reputação de um endereço IP suspeito.
Além disso, Copilot para Segurança gerou uma avaliação por meio de um relatório de resumo e forneceu um conjunto de recomendações para conter o incidente, que também pode ser usado para aprimorar as habilidades.