Pruebe Microsoft 365 Defender de respuesta a incidentes en un entorno piloto

Se aplica a:

  • Microsoft 365 Defender

Este artículo es el paso 2 de 2 en el proceso de realizar una investigación y respuesta de un incidente en Microsoft 365 Defender un entorno piloto. Para obtener más información acerca de este proceso, vea el artículo de introducción.

Una vez que haya realizado una respuesta a incidentes paraun ataque simulado, estas son algunas Microsoft 365 Defender capacidades para explorar:

Funcionalidad Descripción
Priorizar incidentes Use el filtrado y ordenación de la cola de incidentes para determinar qué incidentes se deben solucionar a continuación.
Administrar incidentes Modifique las propiedades de incidentes para garantizar la asignación correcta, agregar etiquetas y comentarios y resolver un incidente.
Investigación y respuesta automatizadas Capacidades de investigación y respuesta automatizadas (AIR) que pueden ayudar a su equipo de operaciones de seguridad a abordar las amenazas de forma más eficaz y eficaz. El Centro de acciones es una experiencia de "panel único de cristal" para las tareas de incidentes y alertas, como la aprobación de acciones de corrección pendientes.
Búsqueda avanzada de amenazas Una herramienta de búsqueda de amenazas basada en consultas que le permite inspeccionar proactivamente los eventos de la red y localizar indicadores y entidades de amenazas. También se usa la búsqueda avanzada durante la investigación y la corrección de un incidente.

Priorizar incidentes

You get to the incident queue from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 Defender portal (security.microsoft.com). Por ejemplo:

Ejemplo de la cola de incidentes.

La sección Incidentes y alertas más recientes muestra un gráfico del número de alertas recibidas e incidentes creados en las últimas 24 horas.

Para examinar la lista de incidentes y priorizar su importancia para la asignación e investigación, puede:

  • Configure columnas personalizables (seleccione Elegir columnas) para darle visibilidad a las distintas características del incidente o las entidades afectadas. Esto le ayuda a tomar una decisión fundamentada con respecto a la priorización de incidentes para su análisis.

  • Use el filtrado para centrarse en un escenario o amenaza específicos. La aplicación de filtros en la cola de incidentes puede ayudar a determinar qué incidentes requieren atención inmediata.

En la cola de incidentes predeterminada, seleccione Filtros para ver un panel Filtros, desde el que puede especificar un conjunto específico de incidentes. Aquí le mostramos un ejemplo.

Ejemplo del panel de filtros de la cola de incidentes.

Para obtener más información, vea Priorizar incidentes.

Administrar incidentes

Puede administrar incidentes desde el panel Administrar incidentes para un incidente. Por ejemplo:

Ejemplo del panel Administrar incidentes de un incidente.

Puede mostrar este panel desde el vínculo Administrar incidentes en:

  • Panel de propiedades de un incidente en la cola de incidentes.
  • Página de resumen de un incidente.

Estas son las formas en que puede administrar sus incidentes:

  • Editar el nombre del incidente

    Cambie el nombre asignado automáticamente en función de los procedimientos recomendados del equipo de seguridad.

  • Agregar etiquetas de incidente

    Agregue etiquetas que el equipo de seguridad usa para clasificar incidentes, que se pueden filtrar más adelante.

  • Asignar el incidente a usted mismo

    Asígnelo al nombre de la cuenta de usuario, que se puede filtrar más adelante.

  • Resolver un incidente

    Cierre el incidente después de que se haya corregido.

  • Establecer su clasificación y determinación

    Clasificar y seleccionar el tipo de amenaza al resolver un incidente.

  • Agregar comentarios

    Use comentarios para el progreso, las notas u otra información basada en los procedimientos recomendados del equipo de seguridad. El historial de comentarios completo está disponible en la opción Comentarios e historial de la página de detalles de un incidente.

Para obtener más información, vea Manage incidents.

Examinar la investigación automatizada y la respuesta con el Centro de acción

En función de cómo se configuren las capacidades automatizadas de investigación y respuesta para su organización, las acciones de corrección se toman automáticamente o solo tras la aprobación del equipo de operaciones de seguridad. Todas las acciones, ya sean pendientes o completadas, se enumeran en el Centro de acciones,que enumera las acciones de corrección pendientes y completadas para los dispositivos, el contenido de colaboración & correo electrónico y las identidades en una ubicación.

Por ejemplo:

Centro de acciones unificado en Microsoft 365 Defender.

En el Centro de acciones, puede seleccionar acciones pendientes y, a continuación, aprobarlas o rechazarlas en el panel desplegable. Por ejemplo:

Aprobar o rechazar una acción.

Aprobar (o rechazar) acciones pendientes tan pronto como sea posible para que las investigaciones automatizadas puedan continuar y completarse de forma oportuna.

Para obtener más información, vea Automated investigation and response y Action Center.

Búsqueda avanzada

Nota

Antes de ayudarle a través de la simulación de búsqueda avanzada, vea el siguiente vídeo para comprender los conceptos avanzados de búsqueda, vea dónde puede encontrarlo en el portal y sepa cómo puede ayudarle en sus operaciones de seguridad.


Si la simulación de ataque de PowerShell sin archivos opcional era un ataque real que ya había alcanzado la fase de acceso a credenciales, puede usar la búsqueda avanzada en cualquier momento de la investigación para buscar proactivamente en eventos y registros de la red con lo que ya sabe de las alertas generadas y las entidades afectadas.

Por ejemplo, en función de la información de la alerta de reconocimiento de direcciones IP y de usuario (SMB), puede usar la tabla para buscar todos los eventos de enumeración de sesiones SMB o encontrar más actividades de detección en otros protocolos de Microsoft Defender para datos de identidad mediante la IdentityDirectoryEvents IdentityQueryEvents tabla.

Requisitos del entorno de búsqueda

Hay un único buzón interno y un dispositivo necesarios para esta simulación. También necesitará una cuenta de correo electrónico externa para enviar el mensaje de prueba.

  1. Compruebe que el espacio empresarial ha habilitado Microsoft 365 Defender.

  2. Identificar un buzón de destino que se usará para recibir correo electrónico.

    • Microsoft Defender debe supervisar este buzón Office 365

    • El dispositivo del requisito 3 debe tener acceso a este buzón

  3. Configurar un dispositivo de prueba:

    a. Asegúrese de que está usando Windows 10 versión 1903 o posterior.

    b. Une el dispositivo de prueba al dominio de prueba.

    c. Active la Antivirus de Windows Defender. Si tiene problemas para habilitar Antivirus de Windows Defender, consulte este tema de solución de problemas.

    d. Incorporación a Microsoft Defender para endpoint.

Ejecutar la simulación

  1. Desde una cuenta de correo electrónico externa, envíe un correo electrónico al buzón identificado en el paso 2 de la sección de requisitos del entorno de búsqueda. Incluya datos adjuntos que se permitirán a través de las directivas de filtro de correo electrónico existentes. Este archivo no necesita ser malintencionado ni ejecutable. Los tipos de archivo sugeridos.pdf, .exe (si está permitido) o un tipo de documento Office como un archivo de Word.

  2. Abra el correo electrónico enviado desde el dispositivo configurado como se define en el paso 3 de la sección de requisitos del entorno de búsqueda. Abra los datos adjuntos o guarde el archivo en el dispositivo.

Ir a buscar

  1. Abra el portal Microsoft 365 Defender.

  2. En el panel de navegación, seleccione Buscar > Búsqueda avanzada.

  3. Cree una consulta que comience recopilando eventos de correo electrónico.

    1. Seleccione Consulta > Nuevo.

    2. En los grupos de correo electrónico en Búsqueda avanzada, haga doble clic en EmailEvents. Debería verlo en la ventana de consulta.

      EmailEvents
      
    3. Cambie el período de tiempo de la consulta a las últimas 24 horas. Suponiendo que el correo electrónico que envió al realizar la simulación anterior fue en las últimas 24 horas, cambie el período de tiempo según sea necesario.

    4. Seleccione Ejecutar consulta. Es posible que tenga resultados diferentes en función del entorno piloto.

      Nota

      Consulta el siguiente paso para filtrar opciones para limitar la devolución de datos.

      Ejemplo de los resultados avanzados de la consulta de búsqueda.

      Nota

      La búsqueda avanzada muestra los resultados de la consulta como datos tabulares. También puede optar por ver los datos en otros tipos de formato, como gráficos.

    5. Vea los resultados y vea si puede identificar el correo electrónico que abrió. El mensaje puede tardar hasta dos horas en aparecer en la búsqueda avanzada. Para restringir los resultados, puede agregar la condición where a la consulta para buscar solo correos electrónicos que tengan "yahoo.com" como senderMailFromDomain. Aquí le mostramos un ejemplo.

      EmailEvents
      | where SenderMailFromDomain == "yahoo.com"
      
    6. Haga clic en las filas resultantes de la consulta para poder inspeccionar el registro.

      Ejemplo del panel lateral inspeccionar registro que se abre cuando se selecciona un resultado de búsqueda avanzado.

  4. Ahora que ha comprobado que puede ver el correo electrónico, agregue un filtro para los datos adjuntos. Céntrate en todos los correos electrónicos con datos adjuntos en el entorno. Para esta simulación, céntrate en los correos electrónicos entrantes, no en los que se envían desde el entorno. Quite los filtros que haya agregado para buscar el mensaje y agregar "| donde AttachmentCount > 0 y EmailDirection == "Inbound""

    La siguiente consulta le mostrará el resultado con una lista más corta que la consulta inicial para todos los eventos de correo electrónico:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    
  5. A continuación, incluya la información sobre los datos adjuntos (como: nombre de archivo, hashes) en el conjunto de resultados. Para ello, únase a la tabla EmailAttachmentInfo. Los campos comunes que se usan para unirse, en este caso son NetworkMessageId y RecipientObjectId.

    La siguiente consulta también incluye una línea adicional "| project-rename EmailTimestamp=Timestamp" que le ayudará a identificar qué marca de tiempo estaba relacionada con el correo electrónico y las marcas de tiempo relacionadas con las acciones de archivo que agregará en el paso siguiente.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    
  6. A continuación, use el valor SHA256 de la tabla EmailAttachmentInfo para buscar DeviceFileEvents (acciones de archivo que se han producido en el extremo) para ese hash. El campo común aquí será el hash SHA256 para los datos adjuntos.

    La tabla resultante ahora incluye detalles del punto de conexión (Microsoft Defender para endpoint), como el nombre del dispositivo, qué acción se hizo (en este caso, filtrada para incluir solo eventos FileCreated) y dónde se almacenaba el archivo. También se incluirá el nombre de cuenta asociado al proceso.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    

    Ahora ha creado una consulta que identificará todos los correos electrónicos entrantes en los que el usuario abrió o guardó los datos adjuntos. También puede refinar esta consulta para filtrar para dominios de remitente específicos, tamaños de archivo, tipos de archivo, entre otros.

  7. Las funciones son un tipo especial de unión, lo que te permite extraer más datos de TI sobre un archivo como su prevalencia, la información del firmante y el emisor, etc. Para obtener más detalles sobre el archivo, use el enriquecimiento de la función FileProfile():

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    | distinct SHA1
    | invoke FileProfile()
    

Crear una detección

Una vez que haya creado una consulta que identifique la información que le gustaría recibir alerta sobre si se producirían en el futuro, puede crear una detección personalizada a partir de la consulta.

Las detecciones personalizadas ejecutarán la consulta según la frecuencia que establezca y los resultados de las consultas crearán alertas de seguridad, en función de los activos afectados que elija. Estas alertas se correlacionarán con incidentes y se pueden triager como cualquier otra alerta de seguridad generada por uno de los productos.

  1. En la página de consulta, quite las líneas 7 y 8 que se agregaron en el paso 7 de las instrucciones Ir a buscar y haga clic en Crear regla de detección.

    Ejemplo de dónde puede hacer clic en Crear regla de detección en la página de búsqueda avanzada.

    Nota

    Si hace clic en Crear regla de detección y tiene errores de sintaxis en la consulta, la regla de detección no se guardará. Compruebe doblemente la consulta para asegurarse de que no hay errores.

  2. Rellene los campos requeridos con la información que permitirá al equipo de seguridad comprender la alerta, por qué se generó y qué acciones espera que lleve a cabo.

    Ejemplo de la página crear regla de detección donde puede definir los detalles de la alerta.

    Asegúrese de rellenar los campos con claridad para ayudar a dar al siguiente usuario una decisión fundamentada sobre esta alerta de regla de detección

  3. Seleccione las entidades que se verán afectadas en esta alerta. En este caso, seleccione Dispositivo y buzón.

    Ejemplo de la página crear regla de detección donde puede elegir los parámetros de las entidades afectadas.

  4. Determine qué acciones deben tener lugar si se desencadena la alerta. En este caso, ejecute un examen antivirus, aunque se podrían realizar otras acciones.

    Ejemplo de la página Crear regla de detección en la que puede ejecutar un examen antivirus cuando se desencadena una alerta para ayudar a solucionar las amenazas.

  5. Seleccione el ámbito de la regla de alerta. Dado que esta consulta implica dispositivos, los grupos de dispositivos son relevantes en esta detección personalizada según el contexto de Microsoft Defender para endpoint. Al crear una detección personalizada que no incluya dispositivos como entidades afectadas, el ámbito no se aplica.

    Ejemplo de la página crear regla de detección donde puede establecer el ámbito de la regla de alerta administra las expectativas de los resultados que verá.

    Para este piloto, es posible que quieras limitar esta regla a un subconjunto de dispositivos de prueba en el entorno de producción.

  6. Seleccione Crear. A continuación, seleccione Reglas de detección personalizadas en el panel de navegación.

    Ejemplo de la opción Reglas de detección personalizadas en el menú.

    Ejemplo de la página de reglas de detección que muestra los detalles de regla y ejecución.

    En esta página, puede seleccionar la regla de detección, que abrirá una página de detalles.

    Ejemplo de la página de datos adjuntos de correo electrónico donde puede ver el estado de la ejecución de la regla, alertas y acciones desencadenadas, editar la detección, y así sucesivamente.

Formación de expertos sobre la búsqueda avanzada

El seguimiento del adversario es una serie de difusión por web para nuevos analistas de seguridad y expertos en amenazas. Le guía a través de los conceptos básicos de la búsqueda avanzada hasta la creación de sus propias consultas sofisticadas.

Consulta Obtener formación de expertos sobre la búsqueda avanzada para empezar.

Crear el entorno Microsoft 365 Defender evaluación