在试点环境中尝试Microsoft Defender XDR事件响应功能

  • 项目

适用于:

  • Microsoft Defender XDR

本文是使用试点环境对Microsoft Defender XDR中的事件进行调查和响应过程中的第 2 步(其中第 2 步)。 有关此过程的详细信息,请参阅 概述 文章。

针对模拟攻击执行事件响应后,可了解以下一些Microsoft Defender XDR功能:

功能 说明
确定事件的优先级 使用事件队列的筛选和排序来确定接下来要解决的事件。
管理事件 修改事件属性以确保正确分配、添加标记和注释以及解决事件。
自动调查和响应 使用自动调查和响应 (AIR) 功能来帮助安全运营团队更高效地应对威胁。 操作中心是事件和警报任务的“单一管理平台”体验,例如批准待处理的修正操作。
高级搜寻 使用查询主动检查网络中的事件并查找威胁指示器和实体。 在调查和修正事件期间,还可以使用高级搜寻。

确定事件优先级

在快速启动Microsoft Defender门户时,可以从事件 & 警报>事件进入事件队列。 下面是一个示例。

Microsoft Defender门户中的“事件 & 警报”部分

最近的事件和警报 ”部分显示过去 24 小时内收到的警报数和创建的事件数的图。

若要检查事件列表并确定其在分配和调查中的重要性,可以:

  • 配置可自定义列 (选择“ 选择列) ”,让你能够了解事件或受影响实体的不同特征。 这有助于你就分析事件优先级做出明智的决策。

  • 使用筛选专注于特定方案或威胁。 对事件队列应用筛选器有助于确定需要立即关注的事件。

在默认事件队列中,选择“ 筛选器 ”以查看“ 筛选器 ”窗格,可从中指定一组特定的事件。 下面是一个示例。

Microsoft Defender门户中“事件 & 警报”部分的“筛选器”窗格

有关详细信息,请参阅 确定事件的优先级

管理事件

可以从事件的“管理事件”窗格管理事件。 下面是一个示例。

Microsoft Defender门户中“事件 & 警报”部分的“管理事件”窗格

可以从以下位置上的 “管理事件 ”链接显示此窗格:

  • 事件队列中事件的“属性”窗格。
  • 事件的摘要页。

下面是管理事件的方法:

  • 编辑事件名称

    根据安全团队最佳做法更改自动分配的名称。

  • 添加事件标记

    添加安全团队用于对事件进行分类的标记,以后可以对其进行筛选。

  • 分配事件

    将其分配给用户帐户名称,稍后可以对其进行筛选。

  • 解决事件

    修复事件后关闭事件。

  • 设置其分类并确定

    在解决事件时对威胁类型进行分类并选择。

  • 添加备注

    根据安全团队的最佳做法,对进度、备注或其他信息使用注释。 完整的批注历史记录可从事件详细信息页的 “批注和历史记录 ”选项获取。

有关详细信息,请参阅 管理事件

使用操作中心检查自动调查和响应

根据你为组织配置自动调查和响应功能的方式,修正操作可以自动执行,或者需要你的安全团队手动批准后再执行。 所有操作(无论是挂起还是已完成)都列在 操作中心,其中列出了针对设备、电子邮件 & 协作内容和标识的挂起和已完成的修正操作。

下面是一个示例。

Microsoft Defender门户中的统一操作中心

在操作中心,可以选择挂起的操作,然后在浮出控件窗格中批准或拒绝这些操作。 下面是一个示例。

显示用于在Microsoft Defender门户中批准或拒绝操作的选项的窗格

尽快批准 (或拒绝) 挂起的操作,以便自动调查能够继续进行并及时完成。

有关详细信息,请参阅 自动调查和响应操作中心

使用高级搜寻

注意

在引导你完成高级搜寻模拟之前,watch以下视频来了解高级搜寻概念,了解可在门户中找到它的位置,并了解它如何帮助你执行安全操作。


如果 可选的无文件 PowerShell 攻击模拟 是已到达凭据访问阶段的真实攻击,则可以在调查中的任何时间点使用高级搜寻,使用已从生成的警报和受影响的实体中知道的内容主动搜索网络中的事件和记录。

例如,根据用户和 IP 地址侦查 (SMB) 警报中的信息,可以使用 IdentityDirectoryEvents 表查找所有 SMB 会话枚举事件,或使用 表在Microsoft Defender for Identity数据IdentityQueryEvents的各种其他协议中查找更多发现活动。

搜寻环境要求

此模拟需要一个内部邮箱和设备。 还需要一个外部电子邮件帐户来发送测试邮件。

  1. 验证租户是否已启用Microsoft Defender XDR

  2. 标识用于接收电子邮件的目标邮箱。

    • 此邮箱必须由 Microsoft Defender for Office 365 监视

    • 要求 3 中的设备需要访问此邮箱

  3. 配置测试设备:

    a. 请确保使用Windows 10版本 1903 或更高版本。

    b. 将测试设备加入测试域。

    c. 打开Microsoft Defender防病毒。 如果在启用Microsoft Defender防病毒时遇到问题,请参阅此故障排除主题

    d. 载入到Microsoft Defender for Endpoint

运行模拟

  1. 从外部电子邮件帐户向搜寻环境要求部分的步骤 2 中标识的邮箱发送电子邮件。 包括将允许通过任何现有电子邮件筛选器策略的附件。 此文件不需要是恶意文件或可执行文件。 建议的文件类型为 .pdf.exe ((如果允许) )或 Office 文档类型(如Word文件)。

  2. 按照搜寻环境要求部分的步骤 3 中定义,打开从配置的设备发送的电子邮件。 打开附件或将文件保存到设备。

去搜寻

  1. 打开Microsoft Defender门户

  2. 在导航窗格中,选择“ 搜寻 > 高级搜寻”。

  3. 生成从收集电子邮件事件开始的查询。

    1. 选择“ 查询 > 新建”。

    2. 在“高级搜寻”下的“Email组中,双击”电子邮件“”事件”。 应在查询窗口中看到此结果。

      EmailEvents

    3. 将查询的时间范围更改为过去 24 小时。 假设你在运行上述模拟时发送的电子邮件是过去 24 小时,否则请根据需要更改时间范围。

    4. 选择 运行查询。 根据试点环境,可能会有不同的结果。

      注意

      有关限制数据返回的筛选选项,请参阅下一步。

      Microsoft Defender门户中的“高级搜寻”页

      注意

      高级搜寻将查询结果显示为表格数据。 还可以选择以其他格式类型(如图表)查看数据。

    5. 查看结果,看看是否可以识别打开的电子邮件。 消息可能需要长达两个小时才能显示在高级搜寻中。 若要缩小结果范围,可以将 where 条件添加到查询,以便仅查找“yahoo.com”作为 SenderMailFromDomain 的电子邮件。 下面是一个示例。

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. 单击查询中生成的行,以便检查记录。

      Microsoft Defender门户中“高级搜寻”页的“检查记录”部分

  4. 现在,你已验证你可以看到电子邮件,请为附件添加筛选器。 关注环境中带有附件的所有电子邮件。 对于此模拟,请关注入站电子邮件,而不是从环境中发送的电子邮件。 删除已添加的所有筛选器以查找邮件并添加“|其中 AttachmentCount > 0EmailDirection == “Inbound””

    以下查询将显示结果,其列表短于针对所有电子邮件事件的初始查询:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. 接下来,包括有关附件的信息 (,例如:文件名、哈希) 到结果集。 为此,请联接 EmailAttachmentInfo 表。 用于联接的常见字段(在本例中为 NetworkMessageIdRecipientObjectId)。

    以下查询还包括一个附加行“| project-rename EmailTimestamp=Timestamp“,它将帮助确定与电子邮件相关的时间戳与下一步中要添加的文件操作相关的时间戳。

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. 接下来,使用 EmailAttachmentInfo 表中的 SHA256 值查找 DeviceFileEvents (在该哈希) 终结点上发生的文件操作。 此处的公用字段将是附件的 SHA256 哈希。

    生成的表现在包括终结点 (Microsoft Defender for Endpoint) 的详细信息,例如设备名称、在本例中 (执行的操作、筛选为仅包含 fileCreated 事件) 以及文件的存储位置。 还将包含与进程关联的帐户名称。

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    现已创建一个查询,用于标识用户打开或保存附件的所有入站电子邮件。 还可以优化此查询,以筛选特定发件人域、文件大小、文件类型等。

  7. 函数是一种特殊的联接,可用于拉取有关文件的更多 TI 数据,例如其普及率、签名者和颁发者信息等。若要获取有关该文件的更多详细信息,请使用 FileProfile () 函数扩充:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Create检测

创建一个查询,用于标识希望将来发生警报的信息后,可以从查询创建自定义检测。

自定义检测将根据设置的频率运行查询,查询结果将根据所选的受影响资产创建安全警报。 这些警报将与事件相关,并且可以作为其中一个产品生成的任何其他安全警报进行会审。

  1. 在查询页上,删除 Go 搜寻说明步骤 7 中添加的第 7 行和第 8 行,然后单击“Create检测规则”。

    Microsoft Defender门户中“高级搜寻”页的“查询编辑”部分

    注意

    如果单击Create检测规则,并且查询中有语法错误,则不会保存检测规则。 双重检查查询以确保没有错误。

  2. 在必填字段中填写信息,使安全团队能够了解警报、生成警报的原因以及你希望他们采取哪些操作。

    Microsoft Defender门户中的“警报详细信息”页

    确保填写字段清晰,以帮助为下一个用户提供有关此检测规则警报的明智决策

  3. 选择此警报中受影响的实体。 在这种情况下,请选择“设备和邮箱”。

    Microsoft Defender门户中的“受影响的实体详细信息”页

  4. 确定触发警报时应执行哪些操作。 在这种情况下,请运行防病毒扫描,但可以执行其他操作。

    Microsoft Defender门户中的“操作”页

  5. 选择警报规则的范围。 由于此查询涉及设备,因此设备组根据Microsoft Defender for Endpoint上下文在此自定义检测中相关。 创建不包含设备作为受影响实体的自定义检测时,范围不适用。

    Microsoft Defender门户中的“作用域”页

    对于此试点,你可能希望将此规则限制为生产环境中的一部分测试设备。

  6. 选择“创建”。 然后,从导航面板中选择“ 自定义检测规则 ”。

    Microsoft Defender门户中的“自定义检测规则”选项

    在Microsoft Defender门户中显示检测规则和执行详细信息的页面

    在此页中,可以选择检测规则,这将打开详细信息页。

    显示Microsoft Defender门户中触发的警报详细信息的页面

高级搜寻专家培训

跟踪攻击者 是一个网络广播系列,面向新的安全分析师和经验丰富的威胁猎手。 它指导你完成高级搜寻的基础知识,以创建自己的复杂查询。

请参阅 获取高级搜寻方面的专家培训 以开始使用。

Create Microsoft Defender XDR评估环境

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区