Experimente Microsoft Defender XDR capacidades de resposta a incidentes num ambiente piloto

Artigo
04/28/2024

Aplica-se a:

Microsoft Defender XDR

Este artigo é o Passo 2 de 2 no processo de realização de uma investigação e resposta de um incidente no Microsoft Defender XDR através de um ambiente piloto. Para obter mais informações sobre este processo, veja o artigo de descrição geral .

Depois de executar uma resposta a incidentes para um ataque simulado, eis algumas capacidades Microsoft Defender XDR a explorar:

Capacidade	Descrição
Priorizar incidentes	Utilize a filtragem e ordenação da fila de incidentes para determinar quais os incidentes a resolver a seguir.
Gerir incidentes	Modifique as propriedades do incidente para garantir a atribuição correta, adicione etiquetas e comentários e para resolver um incidente.
Sistema automático de investigação e resposta	Utilize capacidades de investigação e resposta automatizadas (AIR) para ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz. O Centro de ação é uma experiência de "painel único de vidro" para tarefas de incidentes e alertas, como aprovar ações de remediação pendentes.
Investigação avançada	Utilize consultas para inspecionar proativamente eventos na sua rede e localizar indicadores e entidades de ameaças. Também utiliza investigação avançada durante a investigação e remediação de um incidente.

Priorizar incidentes

Chega à fila de incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal Microsoft Defender. Eis um exemplo.

A secção Incidentes e alertas mais recentes mostra um gráfico do número de alertas recebidos e incidentes criados nas últimas 24 horas.

Para examinar a lista de incidentes e atribuir prioridades à respetiva importância para atribuição e investigação, pode:

Configure colunas personalizáveis (selecione Escolher colunas) para lhe dar visibilidade sobre as diferentes características do incidente ou das entidades afetadas. Isto ajuda-o a tomar uma decisão informada sobre a atribuição de prioridades de incidentes para análise.
Utilize a filtragem para se concentrar num cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar que incidentes requerem atenção imediata.

Na fila de incidentes predefinida, selecione Filtros para ver um painel Filtros , a partir do qual pode especificar um conjunto específico de incidentes. Eis um exemplo.

Para obter mais informações, veja Priorizar incidentes.

Gerir incidentes

Pode gerir incidentes a partir do painel Gerir incidentes para um incidente. Eis um exemplo.

Pode apresentar este painel a partir da ligação Gerir incidente no:

Painel propriedades de um incidente na fila de incidentes.
Página de resumo de um incidente.

Eis as formas de gerir os incidentes:

Editar o nome do incidente

Altere o nome atribuído automaticamente com base nas melhores práticas da sua equipa de segurança.
Adicionar etiquetas de incidentes

Adicione etiquetas que a sua equipa de segurança utiliza para classificar incidentes, que podem ser posteriormente filtrados.
Atribuir o incidente

Atribua-o a um nome de conta de utilizador, que pode ser posteriormente filtrado.
Resolver um incidente

Feche o incidente depois de ter sido remediado.
Definir a classificação e determinação

Classifique e selecione o tipo de ameaça quando resolver um incidente.
Adicionar comentários

Utilize comentários para o progresso, notas ou outras informações com base nas melhores práticas da sua equipa de segurança. O histórico de comentários completo está disponível na opção Comentários e histórico na página de detalhes de um incidente.

Para obter mais informações, veja Gerir incidentes.

Examinar a investigação e resposta automatizadas com o Centro de ação

Consoante a forma como as capacidades de investigação e resposta automatizadas são configuradas para a sua organização, as ações de remediação são executadas automaticamente ou apenas após aprovação pela sua equipa de operações de segurança. Todas as ações, quer estejam pendentes ou concluídas, estão listadas no Centro de Ação, que lista as ações de remediação pendentes e concluídas para os seus dispositivos, e-mail & conteúdo de colaboração e identidades numa única localização.

Eis um exemplo.

No Centro de ação, pode selecionar ações pendentes e, em seguida, aprová-las ou rejeitá-las no painel de lista de opções. Eis um exemplo.

Aprove (ou rejeite) ações pendentes o mais rapidamente possível para que as investigações automatizadas possam prosseguir e concluir em tempo útil.

Para obter mais informações, veja Investigação e resposta automatizadas e Centro de ação.

Utilizar investigação avançada

Nota

Antes de guiá-lo pela simulação de investigação avançada, watch o seguinte vídeo para compreender conceitos avançados de investigação, ver onde pode encontrá-lo no portal e saber como pode ajudá-lo nas suas operações de segurança.

Se a simulação de ataque opcional do PowerShell sem ficheiros tiver sido um ataque real que já tinha chegado à fase de acesso às credenciais, pode utilizar a investigação avançada em qualquer altura da investigação para procurar proativamente eventos e registos na rede com o que já sabe dos alertas gerados e das entidades afetadas.

Por exemplo, com base em informações no alerta de reconhecimento de endereços IP e utilizador (SMB), pode utilizar a IdentityDirectoryEvents tabela para localizar todos os eventos de enumeração de sessões SMB ou encontrar mais atividades de deteção em vários outros protocolos no Microsoft Defender para Identidade dados com a IdentityQueryEvents tabela.

Requisitos do ambiente de investigação

Existe uma única caixa de correio interna e um dispositivo necessários para esta simulação. Também precisará de uma conta de e-mail externa para enviar a mensagem de teste.

Verifique se o inquilino ativou Microsoft Defender XDR.
Identifique uma caixa de correio de destino a ser utilizada para receber e-mails.
- Esta caixa de correio tem de ser monitorizada por Microsoft Defender para Office 365
- O dispositivo do requisito 3 tem de aceder a esta caixa de correio
Configurar um dispositivo de teste:

a. Certifique-se de que está a utilizar Windows 10 versão 1903 ou posterior.

b. Associe o dispositivo de teste ao domínio de teste.

c. Ative Microsoft Defender Antivírus. Se estiver a ter problemas ao ativar Microsoft Defender Antivírus, veja este tópico de resolução de problemas.

d. Integrar no Microsoft Defender para Endpoint.

Executar a simulação

A partir de uma conta de e-mail externa, envie um e-mail para a caixa de correio identificada no passo 2 da secção requisitos do ambiente de investigação. Inclua um anexo que será permitido através de quaisquer políticas de filtro de e-mail existentes. Este ficheiro não tem de ser malicioso ou executável. Os tipos de ficheiro sugeridos são .pdf, .exe (se permitido) ou um tipo de documento do Office, como um ficheiro de Word.
Abra o e-mail enviado a partir do dispositivo configurado conforme definido no passo 3 da secção requisitos do ambiente de investigação. Abra o anexo ou guarde o ficheiro no dispositivo.

Ir caçar

Abra o portal Microsoft Defender.
No painel de navegação, selecione Investigação > Avançada de Investigação.
Crie uma consulta que comece por recolher eventos de e-mail.
1. Selecione Consulta > Nova.
2. No Email grupos em Investigação avançada, faça duplo clique em EmailEvents. Deverá ver isto na janela de consulta.
```
EmailEvents
```
3. Altere o período de tempo da consulta para as últimas 24 horas. Partindo do princípio de que o e-mail que enviou quando executou a simulação acima foi nas últimas 24 horas, caso contrário, altere o período de tempo conforme necessário.
4. Selecione Executar consulta. Pode ter resultados diferentes consoante o seu ambiente piloto.
  
  Nota
  
  Veja o passo seguinte para opções de filtragem para limitar a devolução de dados.
  
  Nota
  
  A investigação avançada apresenta os resultados da consulta como dados tabulares. Também pode optar por ver os dados noutros tipos de formato, como gráficos.
5. Observe os resultados e veja se consegue identificar o e-mail que abriu. A mensagem pode demorar até duas horas a aparecer na investigação avançada. Para restringir os resultados, pode adicionar a condição where à sua consulta para procurar apenas e-mails que tenham "yahoo.com" como senderMailFromDomain. Eis um exemplo.
```
EmailEvents
| where SenderMailFromDomain == "yahoo.com"
```
6. Clique nas linhas resultantes da consulta para poder inspecionar o registo.
Agora que confirmou que pode ver o e-mail, adicione um filtro para os anexos. Concentre-se em todos os e-mails com anexos no ambiente. Para esta simulação, concentre-se nos e-mails de entrada e não nos que estão a ser enviados do seu ambiente. Remova os filtros que adicionou para localizar a sua mensagem e adicione "| em que AttachmentCount > 0 e EmailDirection == "Entrada""

A seguinte consulta irá mostrar-lhe o resultado com uma lista mais curta do que a consulta inicial para todos os eventos de e-mail:
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
```
Em seguida, inclua as informações sobre o anexo (como: nome do ficheiro, hashes) para o conjunto de resultados. Para tal, associe-se à tabela EmailAttachmentInfo . Os campos comuns a utilizar para associar são NetworkMessageId e RecipientObjectId.

A consulta seguinte também inclui uma linha adicional "| project-rename EmailTimestamp=Timestamp" que ajudará a identificar que carimbo de data/hora estava relacionado com o e-mail versus carimbos de data/hora relacionados com as ações de ficheiro que irá adicionar no passo seguinte.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
```
Em seguida, utilize o valor SHA256 da tabela EmailAttachmentInfo para localizar DeviceFileEvents (ações de ficheiro que ocorreram no ponto final) para esse hash. O campo comum aqui será o hash SHA256 para o anexo.

A tabela resultante inclui agora detalhes do ponto final (Microsoft Defender para Endpoint), como o nome do dispositivo, que ação foi efetuada (neste caso, filtrada para incluir apenas Eventos FileCreated) e onde o ficheiro foi armazenado. O nome da conta associado ao processo também será incluído.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
```
Acabou de criar uma consulta que identificará todos os e-mails de entrada onde o utilizador abriu ou guardou o anexo. Também pode refinar esta consulta para filtrar por domínios de remetente específicos, tamanhos de ficheiro, tipos de ficheiro, etc.

As funções são um tipo especial de associação, que lhe permite extrair mais dados de TI sobre um ficheiro como a sua prevalência, informações de signatário e emissor, etc. Para obter mais detalhes sobre o ficheiro, utilize o melhoramento da função FileProfile( ):

EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Create uma deteção

Depois de criar uma consulta que identifique as informações sobre as quais gostaria de receber alertas se estas acontecerem no futuro, pode criar uma deteção personalizada a partir da consulta.

As deteções personalizadas irão executar a consulta de acordo com a frequência que definiu e os resultados das consultas irão criar alertas de segurança, com base nos recursos afetados que escolher. Esses alertas serão correlacionados com incidentes e podem ser triagados como qualquer outro alerta de segurança gerado por um dos produtos.

Na página de consulta, remova as linhas 7 e 8 que foram adicionadas no passo 7 das instruções de investigação do Go e clique em Create regra de deteção.

Nota

Se clicar Create regra de deteção e tiver erros de sintaxe na consulta, a regra de deteção não será guardada. Verifique novamente a consulta para garantir que não existem erros.
Preencha os campos necessários com as informações que permitirão à equipa de segurança compreender o alerta, o motivo pelo qual foi gerado e as ações que espera que sejam executadas.

Certifique-se de que preenche os campos com clareza para ajudar a dar ao próximo utilizador uma decisão informada sobre este alerta de regra de deteção
Selecione as entidades afetadas neste alerta. Neste caso, selecione Dispositivo e Caixa de Correio.
Determine que ações devem ocorrer se o alerta for acionado. Neste caso, execute uma análise antivírus, embora possam ser tomadas outras ações.
Selecione o âmbito da regra de alerta. Uma vez que esta consulta envolve dispositivos, os grupos de dispositivos são relevantes nesta deteção personalizada de acordo com Microsoft Defender para Endpoint contexto. Ao criar uma deteção personalizada que não inclua dispositivos como entidades afetadas, o âmbito não se aplica.

Para este piloto, poderá querer limitar esta regra a um subconjunto de dispositivos de teste no seu ambiente de produção.
Selecione Criar. Em seguida, selecione Regras de deteção personalizadas no painel de navegação.

Nesta página, pode selecionar a regra de deteção, que irá abrir uma página de detalhes.

Formação especializada em investigação avançada

Tracking the adversary is a webcast series for new security analysts and seasoned threat hunters. Orienta-o pelas noções básicas da investigação avançada até à criação das suas próprias consultas sofisticadas.

Consulte Obter formação especializada sobre investigação avançada para começar.

Create o Ambiente de Avaliação Microsoft Defender XDR

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.