Prøv Microsoft Defender XDR funktioner til svar på hændelser i et pilotmiljø

Artikel
04/28/2024

Gælder for:

Microsoft Defender XDR

Denne artikel er trin 2 af 2 i processen med at udføre en undersøgelse og svar på en hændelse i Microsoft Defender XDR ved hjælp af et pilotmiljø. Du kan få flere oplysninger om denne proces i oversigtsartiklen.

Når du har udført et hændelsessvar for et simuleret angreb, er her nogle Microsoft Defender XDR funktioner, du kan udforske:

Kapacitet	Beskrivelse
Prioritering af hændelser	Brug filtrering og sortering af hændelseskøen til at bestemme, hvilke hændelser der skal håndteres næste.
Administration af hændelser	Rediger hændelsesegenskaber for at sikre korrekt tildeling, tilføje mærker og kommentarer og for at løse en hændelse.
Automatiseret undersøgelse og svar	Brug air-funktioner (automated investigation and response) til at hjælpe dit sikkerhedsteam med at håndtere trusler mere effektivt. Handlingscenter er en "enkelt rude af glas" til hændelses- og beskedopgaver, f.eks. godkendelse af ventende afhjælpningshandlinger.
Avanceret jagt	Brug forespørgsler til proaktivt at inspicere hændelser i dit netværk og finde trusselsindikatorer og -enheder. Du bruger også avanceret jagt under undersøgelse og afhjælpning af en hændelse.

Prioriter hændelser

Du kommer til hændelseskøen fra Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen. Her er et eksempel.

Afsnittet Seneste hændelser og beskeder viser en graf over antallet af modtagne beskeder og hændelser, der er oprettet inden for de seneste 24 timer.

Hvis du vil undersøge listen over hændelser og prioritere deres vigtighed for tildeling og undersøgelse, kan du:

Konfigurer kolonner, der kan tilpasses (vælg Vælg kolonner), for at give dig indblik i forskellige egenskaber for hændelsen eller de påvirkede objekter. Dette hjælper dig med at træffe en informeret beslutning om prioriteringen af hændelser til analyse.
Brug filtrering til at fokusere på et bestemt scenarie eller en bestemt trussel. Anvendelse af filtre på hændelseskøen kan hjælpe med at afgøre, hvilke hændelser der kræver øjeblikkelig opmærksomhed.

I standardhændelseskøen skal du vælge Filtre for at se ruden Filtre , hvorfra du kan angive et bestemt sæt hændelser. Her er et eksempel.

Du kan få mere at vide under Prioriter hændelser.

Administrer hændelser

Du kan administrere hændelser fra ruden Administrer hændelse for en hændelse. Her er et eksempel.

Du kan få vist denne rude via linket Administrer hændelse på:

Ruden Egenskaber for en hændelse i hændelseskøen.
Oversigtsside for en hændelse.

Her er de måder, du kan administrere dine hændelser på:

Rediger hændelsesnavnet

Skift det navn, der automatisk er tildelt, på baggrund af bedste praksis for dit sikkerhedsteam.
Tilføj hændelseskoder

Tilføj mærker, som dit sikkerhedsteam bruger til at klassificere hændelser, som senere kan filtreres.
Tildel hændelsen

Tildel det til et brugerkontonavn, som kan filtreres senere.
Løs en hændelse

Luk hændelsen, når den er blevet afhjælpet.
Angiv klassificering og bestemmelse

Klassificer og vælg trusselstypen, når du løser en hændelse.
Tilføj kommentarer

Brug kommentarer til status, noter eller andre oplysninger, der er baseret på bedste praksis for sikkerhedsteamet. Hele kommentarhistorikken er tilgængelig fra indstillingen Kommentarer og historik på detaljesiden for en hændelse.

Du kan få flere oplysninger under Administrer hændelser.

Undersøg automatiseret undersøgelse og svar med Løsningscenter

Afhængigt af hvordan automatiserede undersøgelses- og svarfunktioner er konfigureret for din organisation, udføres afhjælpningshandlinger automatisk eller kun efter godkendelse af dit team for sikkerhedshandlinger. Alle handlinger, uanset om de er ventende eller fuldført, er angivet i Løsningscenter, som viser ventende og fuldførte afhjælpningshandlinger for dine enheder, mail & samarbejdsindhold og identiteter på én placering.

Her er et eksempel.

I Løsningscenter kan du vælge ventende handlinger og derefter godkende eller afvise dem i pop op-ruden. Her er et eksempel.

Godkend (eller afvis) ventende handlinger så hurtigt som muligt, så dine automatiserede undersøgelser kan fortsætte og fuldføres rettidigt.

Du kan få flere oplysninger i Automatiseret undersøgelse og svar og Løsningscenter.

Brug avanceret jagt

Bemærk!

Før vi fører dig gennem den avancerede jagtsimulering, kan du se følgende video for at forstå avancerede jagtkoncepter, se, hvor du kan finde den på portalen, og vide, hvordan den kan hjælpe dig i dine sikkerhedsoperationer.

Hvis den valgfri filløse PowerShell-angrebssimulering var et rigtigt angreb, der allerede havde nået adgangsfasen for legitimationsoplysninger, kan du bruge avanceret jagt på ethvert tidspunkt i undersøgelsen til proaktivt at søge gennem hændelser og poster i netværket ved hjælp af det, du allerede ved fra de genererede beskeder og berørte enheder.

Baseret på oplysninger i SMB-beskeden (User and IP address reconnaissance) kan du f.eks. bruge tabellen IdentityDirectoryEvents til at finde alle optællingshændelser for SMB-sessionen eller finde flere registreringsaktiviteter i forskellige andre protokoller i Microsoft Defender for Identity data ved hjælp af tabellenIdentityQueryEvents.

Krav til jagtmiljøer

Der kræves en enkelt intern postkasse og enhed til denne simulering. Du skal også bruge en ekstern mailkonto for at sende testmeddelelsen.

Kontrollér, at din lejer har aktiveret Microsoft Defender XDR.
Identificer en destinationspostkasse, der skal bruges til at modtage mail.
- Denne postkasse skal overvåges af Microsoft Defender for Office 365
- Enheden fra krav 3 skal have adgang til denne postkasse
Konfigurer en testenhed:

a. Kontrollér, at du bruger Windows 10 version 1903 eller nyere version.

b. Slut testenheden til testdomænet.

c. Slå Microsoft Defender Antivirus til. Hvis du har problemer med at aktivere Microsoft Defender Antivirus, kan du se dette emne om fejlfinding.

d. Ombord til Microsoft Defender for Endpoint.

Kør simuleringen

Fra en ekstern mailkonto skal du sende en mail til den postkasse, der er identificeret i trin 2 i afsnittet krav til jagtmiljøer. Medtag en vedhæftet fil, der tillades via alle eksisterende politikker for mailfilter. Denne fil behøver ikke at være skadelig eller eksekverbar. Foreslåede filtyper er .pdf, .exe (hvis det er tilladt) eller en Office-dokumenttype, f.eks. en Word-fil.
Åbn den sendte mail fra den enhed, der er konfigureret som defineret i trin 3 i afsnittet krav til jagtmiljøer. Åbn den vedhæftede fil, eller gem filen på enheden.

Gå på jagt

Åbn Microsoft Defender-portalen.
Vælg Jagt > Avanceret jagt i navigationsruden.
Opret en forespørgsel, der starter med at indsamle mailhændelser.
1. Vælg Ny forespørgsel>.
2. I grupperne Mail under Avanceret jagt skal du dobbeltklikke på EmailEvents. Du bør kunne se dette i forespørgselsvinduet.
```
EmailEvents
```
3. Ret tidsrammen for forespørgslen til de seneste 24 timer. Hvis vi antager, at den mail, du sendte, da du kørte simuleringen ovenfor, var inden for de seneste 24 timer, skal du ellers ændre tidsrammen efter behov.
4. Vælg Kør forespørgsel. Du kan have forskellige resultater, afhængigt af dit pilotmiljø.
  
  Bemærk!
  
  Se næste trin for at få oplysninger om filtreringsindstillinger for at begrænse dataretur.
  
  Bemærk!
  
  Avanceret jagt viser forespørgselsresultater som tabeldata. Du kan også vælge at få vist dataene i andre formattyper, f.eks. diagrammer.
5. Se på resultaterne, og se, om du kan identificere den mail, du har åbnet. Det kan tage op til to timer, før beskeden vises i avanceret jagt. Hvis du vil indsnævre resultaterne, kan du føje where-betingelsen til din forespørgsel for kun at søge efter mails, der har "yahoo.com" som deres SenderMailFromDomain. Her er et eksempel.
```
EmailEvents
| where SenderMailFromDomain == "yahoo.com"
```
6. Klik på de resulterende rækker fra forespørgslen, så du kan undersøge posten.
Nu, hvor du har bekræftet, at du kan se mailen, skal du tilføje et filter for de vedhæftede filer. Fokuser på alle mails med vedhæftede filer i miljøet. I forbindelse med denne simulering skal du fokusere på indgående mails, ikke dem, der sendes ud fra dit miljø. Fjern eventuelle filtre, du har tilføjet, for at finde meddelelsen, og tilføj "| where AttachmentCount > 0 and EmailDirection == "Inbound""

I følgende forespørgsel vises resultatet med en kortere liste end din første forespørgsel for alle mailhændelser:
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
```
Derefter skal du inkludere oplysninger om den vedhæftede fil (f.eks. filnavn, hashes) i resultatsættet. Det gør du ved at joinforbinde tabellen EmailAttachmentInfo . De fælles felter, der skal bruges til at tilmelde sig, er i dette tilfælde NetworkMessageId og RecipientObjectId.

Følgende forespørgsel indeholder også en ekstra linje "| project-rename EmailTimestamp=Timestamp", der hjælper med at identificere, hvilket tidsstempel der var relateret til mailen i forhold til tidsstempler relateret til filhandlinger, som du tilføjer i næste trin.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
```
Derefter skal du bruge SHA256-værdien fra tabellen EmailAttachmentInfo til at finde DeviceFileEvents (filhandlinger, der skete på slutpunktet) for denne hash. Det fælles felt her er SHA256-hashen for den vedhæftede fil.

Den resulterende tabel indeholder nu oplysninger fra slutpunktet (Microsoft Defender for Endpoint), f.eks. enhedsnavn, hvilken handling der blev udført (i dette tilfælde filtreret til kun at omfatte hændelser af typen FileCreated), og hvor filen blev gemt. Det kontonavn, der er knyttet til processen, medtages også.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
```
Du har nu oprettet en forespørgsel, der identificerer alle indgående mails, hvor brugeren har åbnet eller gemt den vedhæftede fil. Du kan også afgrænse denne forespørgsel for at filtrere efter specifikke afsenderdomæner, filstørrelser, filtyper osv.

Funktioner er en særlig form for joinforbindelse, som giver dig mulighed for at hente flere TI-data om en fil, f.eks. dens prævalens, underskriver- og udstederoplysninger osv. Hvis du vil have flere oplysninger om filen, skal du bruge funktionsberigelsen FileProfile( ):

EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Create en registrering

Når du har oprettet en forespørgsel, der identificerer de oplysninger, du gerne vil have besked om, hvis de opstår fremover, kan du oprette en brugerdefineret registrering ud fra forespørgslen.

Brugerdefinerede registreringer kører forespørgslen i henhold til den angivne hyppighed, og resultaterne af forespørgslerne opretter sikkerhedsbeskeder baseret på de påvirkede aktiver, du vælger. Disse beskeder vil blive korreleret til hændelser og kan behandles som alle andre sikkerhedsbeskeder, der genereres af et af produkterne.

På forespørgselssiden skal du fjerne linje 7 og 8, der blev tilføjet i trin 7 i Gå jagtinstruktioner, og klikke på Create registreringsregel.

Bemærk!

Hvis du klikker på Create registreringsregel, og du har syntaksfejl i forespørgslen, gemmes registreringsreglen ikke. Dobbelttjek forespørgslen for at sikre, at der ikke er nogen fejl.
Udfyld de påkrævede felter med de oplysninger, der gør det muligt for sikkerhedsteamet at forstå beskeden, hvorfor den blev genereret, og hvilke handlinger du forventer, at de skal udføre.

Sørg for, at du udfylder felterne med klarhed for at give den næste bruger en informeret beslutning om denne besked om registreringsregel
Vælg, hvilke enheder der påvirkes i denne besked. I dette tilfælde skal du vælge Enhed og Postkasse.
Find ud af, hvilke handlinger der skal udføres, hvis beskeden udløses. I dette tilfælde skal du køre en antivirusscanning, selvom der kan udføres andre handlinger.
Vælg området for påmindelsesreglen. Da denne forespørgsel omfatter enheder, er enhedsgrupperne relevante i denne brugerdefinerede registrering i henhold til Microsoft Defender for Endpoint kontekst. Når du opretter en brugerdefineret registrering, der ikke indeholder enheder som påvirkede enheder, gælder omfanget ikke.

I dette pilotprojekt kan det være en god idé at begrænse denne regel til et undersæt af testenheder i produktionsmiljøet.
Vælg Create. Vælg derefter Regler for brugerdefineret registrering i navigationspanelet.

På denne side kan du vælge registreringsreglen, som åbner en side med oplysninger.

Ekspertuddannelse i avanceret jagt

Sporing af modstanderen er en webcastserie for nye sikkerhedsanalytikere og erfarne trusselsjægere. Den guider dig gennem de grundlæggende funktioner inden for avanceret jagt, så du kan oprette dine egne avancerede forespørgsler.

Se Få ekspertuddannelse i avanceret jagt for at komme i gang.

Create evalueringsmiljøet for Microsoft Defender XDR

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.