基于威胁情报扩充的会审事件
作为安全操作中心 (SOC) 分析师,可以查看分配给你的警报和事件。 你的职责是确定是否需要采取真正的行动。 利用与事件关联的警报中的信息来指导过程。 通常收集上下文信息以进一步了解应采取的后续步骤。 通过扩充涉及的实体和对基础警报的完全了解,可以确定是升级还是修正事件。
在此详细示例中,分析师使用 安全 Copilot 快速会审事件。 如果事件是真正的威胁,则目标是收集新的入侵指标,或将实体链接到完成的情报。 在这种情况下,威胁情报由安全 Copilot汇总,以显示与已知威胁参与者的连接并通知严重性评估。
步骤
从安全 Copilot开始你的一天。 检索分配给你的最新Microsoft Defender XDR事件,并汇总与其关联的警报。
使用的提示:
分配给我
angus.macgregor@contoso.com的最新活动 Defender 事件是什么? 对其进行汇总,包括与之关联的警报。响应:
看起来可能是凭据被盗。 按照建议的操作开始确定事件范围并验证警报。
关注特定实体以获取有关它们的详细信息。
使用的提示:
详细说明此警报的详细信息,包括所涉及的实体。
响应:
现在,你有一个用户帐户和设备,需要进一步调查。 在这种情况下,在深入了解设备上攻击的详细信息之前,你选择详细了解受影响的用户。
获取有关此用户的详细信息,以指导后续步骤。 对于拥有其凭据的人,下一步可能会执行哪些类型的操作?
使用的提示:
请告诉我有关用户实体的详细信息。
响应:
你发现此用户正在销售部门工作。 如果她的凭据被盗,这可能会影响销售数据。 请记住,Sentinel 工作区有一个 SAP 解决方案来帮助检测那里的威胁。 此 Defender 警报是否链接到 Microsoft Sentinel 事件? 首要任务是确定此用户在 SAP 中是否有任何可疑活动。
使用保存的搜寻查询将实体与 Sentinel 事件相关联。
手动激活将 自然语言设置为 Sentinel KQL 插件的建议提示以运行查询。
提示
如果需要稍微调整查询,请编辑提示并重新运行它。 例如,查询投影了
IncidentNames,但这些只是 GUID。 你还记得这是你真正想要的Title领域。 只需编辑提示并选择“ 重新运行提示” 选项即可。
已使用调整的提示:
运行以下 KQLSecurityAlert | 其中 Entities has “
adele.vance@contoso.com” and TimeGenerated >= datetime (10/06/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertId | extend SystemAlertId = tostring (SystemAlertId) ) | summarize by IncidentNumber, Title响应:
SAP 相关事件现在是你的首要任务。
将调查从原始警报转向与用户关联的 SAP 事件。
使用的提示:
详细说明 Sentinel 事件 33805,并告诉我有关实体的详细信息。
响应:
此提示返回了大量信息。 恶意 IP 和可能泄露的财务数据是需要进一步调查的重要事项。
了解有关 IP 地址实体的详细信息,并检查其被确定为恶意实体的方式。
使用的提示:
请提供有关 IP 地址的更多详细信息,以及它为何是恶意地址?
响应:
创建摘要报表
通过针对领导和事件响应团队的摘要来节省升级过程的时间。
使用的提示:
根据此调查编写报告。 引导你对原始 Defender 事件的评估,以及凭据被盗的威胁是否真实。 总结有关下载到恶意 IP 的文件与 Sentinel 事件的关系的评估。
响应:
固定最有用的提示响应并编辑会话名称。
你已达到目标,并确定指定的Microsoft Defender XDR事件是一个真正的威胁。 通过将它链接到涉及外泄 SAP 文件的 Microsoft Sentinel 事件,可以准备与升级团队协作。
总结
在此用例中,安全 Copilot帮助快速会审分配的事件。 你通过调查相关事件确认了警报所需的实际操作。 搜寻结果发现了一个事件,该事件与 IP 实体关联到有关所用威胁参与者和 C2 工具的完成情报。 使用简洁的引脚板,你共享了会话和摘要报告,为升级团队提供了有效响应所需的信息。