Исследование инцидента и связанных с ним подозрительных объектов

Во время инцидента аналитикам безопасности обычно поручено исследовать оповещения и собирать соответствующую информацию, связанную с инцидентом. Они проводят анализ первопричин и сопоставляют данные из различных источников, чтобы оценить потенциальное воздействие на организацию.

В зависимости от ситуации специалистам может потребоваться проанализировать журналы, изучить вредоносную программу, провести реконструирование файлов или сценариев, а также исследовать обнаруженные URL-адреса.

Когда проводится исследование инцидента, крайне важно составить четкое представление о том, какие меры по исправлению ситуации нужно предпринять, а также эффективно информировать заинтересованных лиц о текущем состоянии этого инцидента.

В этом примере Copilot for Security используется для выполнения комплексного исследования инцидента путем сбора контекстной информации из оповещений, анализа подозрительного сценария и создания оценки, сопровождаемой набором шагов по исправлению.

Действия

1. Начните исследование в Microsoft Defender XDR.

   Copilot для безопасности интегрирован в Microsoft Defender XDR. На странице инцидента нажмите кнопку Copilot , чтобы получить сводку по инциденту и получить такие сведения, как время и дата начала атаки, сущность или ресурс, который начал атаку, а также ресурсы, участвующие в атаке.

   

2. Проанализируйте подозрительный сценарий.

   Флаги XDR в Microsoft Defender при выполнении подозрительного скрипта. Используйте Copilot для безопасности, чтобы понять, что именно делает этот подозрительный сценарий.

   Примечание.

   Функции анализа скриптов постоянно разрабатываются. Выполняется анализ скриптов на языках, отличных от PowerShell, пакетов и bash.

   При нажатии кнопки отображается описание и общая сводка скрипта.

   

3. Углубитесь в исследование инцидента в Copilot для безопасности: используйте запросы на естественном языке и дополнительные плагины.

   Продолжите исследовать инцидент непосредственно в Copilot для безопасности. Для этого выберите Открыть в Copilot для безопасности.

   

   Автономный интерфейс позволяет расширить исследование с помощью запросов на естественном языке.

   

4. Чтобы получить более полное представление об инциденте, используйте Copilot для безопасности, чтобы собрать дополнительные сведения о подозрительных действиях, наблюдаемых в скрипте командной строки.

   Использованный запрос:

   Что можно сказать о репутации индикаторов в сценарии? Являются ли они вредоносными? Если да, то почему?

   Отклик:

   

   Ответ указывает, что несколько индикаторов в скрипте связаны с известными субъектами угроз. Вы можете закрепить этот ответ с важной информацией, чтобы использовать ее в дальнейшем.

5. Используйте Copilot для безопасности, чтобы получить оценку инцидента с доказательствами и набором рекомендаций.

   Использованный запрос:

   Подведи итог исследования и в конце перечисли несколько рекомендаций.

   Отклик:

   

   Совет

   Полученный ответ можно экспортировать для дальнейшего использования. Вы также можете предоставить доступ ко всему сеансу другим аналитикам. Другие участники команды, которые рассматривают инцидент, могут использовать пин-доску, чтобы получить полную сводку по шагам расследования, что экономит им ценное время.

   

Заключение

В этом случае copilot for Security помог провести тщательное расследование инцидента. Используя естественный язык, аналитики могут получить объяснение того, что делает подозрительный сценарий, и проверить, что индикаторы в скрипте связаны с известными субъектами угроз.

Кроме того, Copilot for Security сформулировал оценку с помощью сводного отчета и предоставил набор рекомендаций по сдерживанию инцидента, которые также можно использовать для развития навыков.