Compartilhar via

Investigar um incidente e entidades suspeitas associadas

  • Artigo

Durante um incidente, os analistas de segurança são normalmente encarregados de investigar alertas e recolher informações pertinentes associadas ao incidente. Eles realizam análises de causa raiz e correlacionam informações de uma variedade de fontes para determinar o impacto potencial na organização.

Dependendo do cenário, os analistas podem precisar analisar logs, examinar malware, fazer engenharia reversa de arquivos ou scripts e investigar URLs que foram observadas.

Um componente essencial de uma investigação envolve entender quais etapas de correção devem ser seguidas e transmitir efetivamente descobertas significativas para manter os stakeholders informados sobre o estado atual do incidente.

Neste exemplo, o Copilot for Security é utilizado para realizar uma investigação abrangente de incidentes ao recolher informações contextuais de alertas, analisar um script suspeito e gerar uma avaliação acompanhada por um conjunto de passos de remediação.

Etapas

  1. Comece a investigar no Microsoft Defender XDR.

    O Copilot para Segurança é integrado ao Microsoft Defender XDR. A partir de uma página de incidente, selecione o botão Copilot para obter um resumo de um incidente e obter detalhes, como a hora e a data de início de um ataque, a entidade ou recurso que iniciou o ataque e os recursos envolvidos no ataque.

    Captura de ecrã do resumo de incidentes no Microsoft Defender XDR

  2. Analise o script suspeito.

    O Microsoft Defender XDR sinaliza quando é executado um script suspeito. Use o Copilot para Segurança para explicar o que o script suspeito está fazendo.

    Observação

    As funções de análise de script estão continuamente em desenvolvimento. A análise de scripts em linguagens diferentes do PowerShell, lote e bash está sendo avaliada.

    Com um clique de um botão, é apresentada uma descrição juntamente com um resumo geral do script.

    Captura de ecrã do analisador de scripts no Microsoft Defender XDR

  3. Estenda a investigação no Copilot para Segurança usando prompts de linguagem natural e mais plug-ins.

    Continue sua investigação na experiência autônoma do Copilot para Segurança selecionando Abrir no Copilot para Segurança.

    Captura de ecrã a mostrar como investigar ao selecionar o botão Abrir no Copilot for Security

    A experiência autónoma permite-lhe expandir a investigação através de pedidos de linguagem natural.

    Captura de ecrã do script analisado apresentado em Copilot for Security

  4. Para obter uma compreensão mais abrangente do incidente, utilize Copilot for Security para recolher mais informações sobre a atividade suspeita vista no script da linha de comandos.

    Prompt usado:

    O que você pode me dizer sobre a reputação dos indicadores no script? São maliciosos? Se sim, porquê?

    Resposta:

    Captura de ecrã de um Copilot para resposta de Segurança

    A resposta indica que os vários indicadores no script estão associados a atores de ameaças conhecidos. Você pode fixar essa resposta como uma informação crítica que pode ser usada posteriormente.

  5. Use o Copilot para Segurança para fornecer uma avaliação do incidente com evidências de suporte e um conjunto de recomendações.

    Prompt usado:

    Resuma as descobertas da investigação e conclua com um conjunto de recomendações.

    Resposta:

    Captura de ecrã do resumo de um incidente

    Dica

    Você pode exportar a resposta para referência futura. Você também tem a opção de compartilhar toda a sessão com outros analistas. Outros membros da equipa que estão a rever o incidente podem tirar partido do quadro de afixação para obter um resumo completo dos passos de investigação, o que lhes poupa tempo valioso.

    Captura de ecrã do quadro de afixação do relatório de incidentes

Conclusão

Neste caso de utilização, o Copilot for Security ajudou a conduzir uma investigação aprofundada de um incidente. Com linguagem natural, os analistas conseguem obter uma explicação sobre o que o script suspeito está a fazer e verificar se os indicadores no script estão associados a atores de ameaças conhecidos.

Além disso, o Copilot for Security gerou uma avaliação através de um relatório de resumo e forneceu um conjunto de recomendações para conter o incidente, que também pode ser utilizado para obter competências de nível superior.