Probeer Microsoft Defender XDR mogelijkheden voor het reageren op incidenten in een testomgeving

Artikel
04/27/2024

Van toepassing op:

Microsoft Defender XDR

Dit artikel is stap 2 van 2 in het proces van het uitvoeren van een onderzoek en reactie op een incident in Microsoft Defender XDR met behulp van een testomgeving. Zie het overzichtsartikel voor meer informatie over dit proces.

Zodra u een incidentreactie hebt uitgevoerd voor een gesimuleerde aanval, zijn hier enkele Microsoft Defender XDR mogelijkheden om te verkennen:

Mogelijkheid	Beschrijving
Prioriteit geven aan incidenten	Gebruik het filteren en sorteren van de wachtrij voor incidenten om te bepalen welke incidenten moeten worden aangepakt.
Incidenten beheren	Wijzig de eigenschappen van incidenten om de juiste toewijzing te garanderen, tags en opmerkingen toe te voegen en een incident op te lossen.
Geautomatiseerd onderzoek en reactie	Gebruik mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) om uw beveiligingsteam te helpen bedreigingen efficiënter en effectiever aan te pakken. Het Actiecentrum is een 'single pane of glass'-ervaring voor incident- en waarschuwingstaken, zoals het goedkeuren van openstaande herstelacties.
Geavanceerd opsporen	Gebruik query's om proactief gebeurtenissen in uw netwerk te inspecteren en bedreigingsindicatoren en entiteiten te zoeken. U gebruikt ook geavanceerde opsporing tijdens het onderzoek en herstel van een incident.

Prioriteit geven aan incidenten

U komt bij de incidentwachtrij vanuit Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal. Hier is een voorbeeld.

In de sectie Meest recente incidenten en waarschuwingen ziet u een grafiek van het aantal ontvangen waarschuwingen en incidenten dat in de afgelopen 24 uur is gemaakt.

Als u de lijst met incidenten wilt onderzoeken en prioriteit wilt geven aan hun belang voor toewijzing en onderzoek, kunt u het volgende doen:

Configureer aanpasbare kolommen (selecteer Kolommen kiezen) om u inzicht te geven in verschillende kenmerken van het incident of de betrokken entiteiten. Dit helpt u bij het nemen van een weloverwogen beslissing met betrekking tot de prioriteitstelling van incidenten voor analyse.
Gebruik filteren om u te richten op een specifiek scenario of een specifieke bedreiging. Het toepassen van filters op de incidentwachtrij kan helpen bepalen welke incidenten onmiddellijke aandacht vereisen.

Selecteer filters in de standaardwachtrij voor incidenten om een deelvenster Filters weer te geven, van waaruit u een specifieke set incidenten kunt opgeven. Hier is een voorbeeld.

Zie Incidenten prioriteren voor meer informatie.

Incidenten beheren

U kunt incidenten beheren vanuit het deelvenster Incident beheren voor een incident. Hier is een voorbeeld.

U kunt dit deelvenster weergeven via de koppeling Incident beheren op de:

Deelvenster Eigenschappen van een incident in de incidentwachtrij.
Overzichtspagina van een incident.

Hier volgen de manieren waarop u uw incidenten kunt beheren:

De naam van het incident bewerken

Wijzig de automatisch toegewezen naam op basis van de best practices van uw beveiligingsteam.
Incidenttags toevoegen

Voeg tags toe die uw beveiligingsteam gebruikt om incidenten te classificeren, die later kunnen worden gefilterd.
Het incident toewijzen

Wijs deze toe aan een gebruikersaccountnaam, die later kan worden gefilterd.
Een incident oplossen

Sluit het incident nadat het is hersteld.
De classificatie en bepaling ervan instellen

Classificeer en selecteer het bedreigingstype wanneer u een incident oplost.
Opmerkingen toevoegen

Gebruik opmerkingen voor voortgang, notities of andere informatie op basis van de aanbevolen procedures van uw beveiligingsteam. De volledige opmerkingsgeschiedenis is beschikbaar via de optie Opmerkingen en geschiedenis op de detailpagina van een incident.

Zie Incidenten beheren voor meer informatie.

Geautomatiseerd onderzoek en antwoord onderzoeken met het actiecentrum

Afhankelijk van hoe geautomatiseerde onderzoeks- en reactiemogelijkheden zijn geconfigureerd voor uw organisatie, worden herstelacties automatisch of alleen na goedkeuring door uw beveiligingsteam uitgevoerd. Alle acties, in behandeling of voltooid, worden weergegeven in het Actiecentrum, waarin in behandeling en voltooide herstelacties voor uw apparaten, e-mail & samenwerkingsinhoud en identiteiten op één locatie worden vermeld.

Hier is een voorbeeld.

Vanuit het Actiecentrum kunt u acties in behandeling selecteren en deze vervolgens goedkeuren of afwijzen in het flyoutvenster. Hier is een voorbeeld.

In behandeling zijnde acties zo snel mogelijk goedkeuren (of weigeren), zodat uw geautomatiseerde onderzoeken tijdig kunnen doorgaan en voltooien.

Zie Geautomatiseerd onderzoek en respons en Actiecentrum voor meer informatie.

Geavanceerde opsporing gebruiken

Opmerking

Voordat we u door de geavanceerde opsporingssimulatie leiden, watch u de volgende video om geavanceerde opsporingsconcepten te begrijpen, te zien waar u deze kunt vinden in de portal en te weten te komen hoe het u kan helpen bij uw beveiligingsbewerkingen.

Als de optionele bestandsloze PowerShell-aanvalssimulatie een echte aanval was die de toegangsfase voor referenties al had bereikt, kunt u op elk gewenst moment in het onderzoek geavanceerde opsporing gebruiken om proactief te zoeken naar gebeurtenissen en records in het netwerk met behulp van wat u al weet van de gegenereerde waarschuwingen en betrokken entiteiten.

Op basis van informatie in de waarschuwing Gebruikers- en IP-adresverkenning (SMB) kunt u bijvoorbeeld de IdentityDirectoryEvents tabel gebruiken om alle SMB-sessie-inventarisatie-gebeurtenissen te vinden of meer detectieactiviteiten te vinden in verschillende andere protocollen in Microsoft Defender for Identity gegevens met behulp van de IdentityQueryEvents tabel.

Vereisten voor opsporingsomgeving

Er is één intern postvak en apparaat vereist voor deze simulatie. U hebt ook een extern e-mailaccount nodig om het testbericht te verzenden.

Controleer of uw tenant Microsoft Defender XDR heeft ingeschakeld.
Identificeer een doelpostvak dat moet worden gebruikt voor het ontvangen van e-mail.
- Dit postvak moet worden bewaakt door Microsoft Defender voor Office 365
- Het apparaat van vereiste 3 moet toegang hebben tot dit postvak
Een testapparaat configureren:

a. Zorg ervoor dat u Windows 10 versie 1903 of hoger gebruikt.

b. Voeg het testapparaat toe aan het testdomein.

c. Schakel Microsoft Defender Antivirus in. Als u problemen ondervindt bij het inschakelen van Microsoft Defender Antivirus, raadpleegt u dit onderwerp voor probleemoplossing.

d. Onboarden naar Microsoft Defender voor Eindpunt.

De simulatie uitvoeren

Verzend vanuit een extern e-mailaccount een e-mail naar het postvak dat is geïdentificeerd in stap 2 van de sectie Vereisten voor de opsporingsomgeving. Voeg een bijlage toe die is toegestaan via een bestaand e-mailfilterbeleid. Dit bestand hoeft niet schadelijk of uitvoerbaar te zijn. Voorgestelde bestandstypen zijn .pdf, .exe (indien toegestaan) of een Office-documenttype, zoals een Word-bestand.
Open de verzonden e-mail vanaf het apparaat dat is geconfigureerd zoals gedefinieerd in stap 3 van de sectie Vereisten voor de opsporingsomgeving. Open de bijlage of sla het bestand op het apparaat op.

Ga op jacht

Open de Microsoft Defender-portal.
Selecteer Opsporing > geavanceerde opsporing in het navigatiedeelvenster.
Bouw een query die begint met het verzamelen van e-mail gebeurtenissen.
1. Selecteer Query > nieuw.
2. Dubbelklik in de Email groepen onder Geavanceerde opsporing op E-mailGebeurtenissen. U ziet dit in het queryvenster.
```
EmailEvents
```
3. Wijzig het tijdsbestek van de query in de afgelopen 24 uur. Ervan uitgaande dat het e-mailbericht dat u hebt verzonden toen u de bovenstaande simulatie uitvoerde, in de afgelopen 24 uur was, wijzigt u anders het tijdsbestek indien nodig.
4. Selecteer Query uitvoeren. Mogelijk hebt u verschillende resultaten, afhankelijk van uw testomgeving.
  
  Opmerking
  
  Zie de volgende stap voor filteropties om het retourneren van gegevens te beperken.
  
  Opmerking
  
  Geavanceerde opsporing geeft queryresultaten weer als gegevens in tabelvorm. U kunt er ook voor kiezen om de gegevens in andere indelingen weer te geven, zoals grafieken.
5. Bekijk de resultaten en kijk of u de e-mail kunt identificeren die u hebt geopend. Het kan tot twee uur duren voordat het bericht wordt weergegeven in geavanceerde opsporing. Als u de resultaten wilt beperken, kunt u de where-voorwaarde aan uw query toevoegen om alleen te zoeken naar e-mailberichten met 'yahoo.com' als hun SenderMailFromDomain. Hier is een voorbeeld.
```
EmailEvents
| where SenderMailFromDomain == "yahoo.com"
```
6. Klik op de resulterende rijen van de query, zodat u de record kunt inspecteren.
Nu u hebt gecontroleerd of u het e-mailbericht kunt zien, voegt u een filter toe voor de bijlagen. Richt u op alle e-mailberichten met bijlagen in de omgeving. Voor deze simulatie richt u zich op binnenkomende e-mailberichten, niet op e-mailberichten die vanuit uw omgeving worden verzonden. Verwijder alle filters die u hebt toegevoegd om uw bericht te vinden en voeg '| toe where AttachmentCount > 0 and EmailDirection == "Inbound""

In de volgende query ziet u het resultaat met een kortere lijst dan uw eerste query voor alle e-mail gebeurtenissen:
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
```
Voeg vervolgens de informatie over de bijlage (zoals: bestandsnaam, hashes) toe aan uw resultatenset. Voeg hiervoor de tabel EmailAttachmentInfo toe. De algemene velden die moeten worden gebruikt om deel te nemen, zijn in dit geval NetworkMessageId en RecipientObjectId.

De volgende query bevat ook een extra regel '| project-rename EmailTimestamp=Timestamp" waarmee u kunt bepalen welke tijdstempel is gerelateerd aan de e-mail versus tijdstempels die betrekking hebben op bestandsacties die u in de volgende stap gaat toevoegen.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
```
Gebruik vervolgens de SHA256-waarde uit de tabel EmailAttachmentInfo om DeviceFileEvents (bestandsacties die zijn uitgevoerd op het eindpunt) voor die hash te zoeken. Het algemene veld hier is de SHA256-hash voor de bijlage.

De resulterende tabel bevat nu details van het eindpunt (Microsoft Defender voor Eindpunt), zoals de naam van het apparaat, welke actie is uitgevoerd (in dit geval gefilterd om alleen FileCreated-gebeurtenissen op te nemen) en waar het bestand is opgeslagen. De accountnaam die aan het proces is gekoppeld, wordt ook opgenomen.
```
EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
```
U hebt nu een query gemaakt waarmee alle binnenkomende e-mailberichten worden geïdentificeerd waarin de gebruiker de bijlage heeft geopend of opgeslagen. U kunt deze query ook verfijnen om te filteren op specifieke afzenderdomeinen, bestandsgrootten, bestandstypen, enzovoort.

Functies zijn een speciaal soort join, waarmee u meer TI-gegevens over een bestand kunt ophalen, zoals de prevalentie, informatie over ondertekenaar en verlener, enzovoort. Gebruik de verrijking van de functie FileProfile() voor meer informatie over het bestand:

EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

een detectie Creatie

Zodra u een query hebt gemaakt die informatie identificeert waarover u een waarschuwing wilt ontvangen als deze zich in de toekomst voordoen, kunt u een aangepaste detectie maken op basis van de query.

Met aangepaste detecties wordt de query uitgevoerd op basis van de frequentie die u hebt ingesteld. De resultaten van de query's maken beveiligingswaarschuwingen op basis van de betrokken assets die u kiest. Deze waarschuwingen worden gecorreleerd aan incidenten en kunnen worden gesorteerd als elke andere beveiligingswaarschuwing die door een van de producten wordt gegenereerd.

Verwijder op de querypagina regel 7 en 8 die zijn toegevoegd in stap 7 van de go-opsporingsinstructies en klik op Creatie detectieregel.

Opmerking

Als u op Creatie detectieregel klikt en de query syntaxisfouten bevat, wordt de detectieregel niet opgeslagen. Controleer uw query nog eens om er zeker van te zijn dat er geen fouten optreden.
Vul de vereiste velden in met de informatie die het beveiligingsteam in staat stelt om de waarschuwing te begrijpen, waarom deze is gegenereerd en welke acties u verwacht te ondernemen.

Zorg ervoor dat u de velden met duidelijkheid invult om de volgende gebruiker een geïnformeerde beslissing te geven over deze detectieregelwaarschuwing
Selecteer welke entiteiten worden beïnvloed in deze waarschuwing. Selecteer in dit geval Apparaat en postvak.
Bepaal welke acties moeten worden uitgevoerd als de waarschuwing wordt geactiveerd. Voer in dit geval een antivirusscan uit, maar er kunnen andere acties worden uitgevoerd.
Selecteer het bereik voor de waarschuwingsregel. Omdat deze query apparaten omvat, zijn de apparaatgroepen relevant voor deze aangepaste detectie volgens Microsoft Defender voor Eindpunt context. Bij het maken van een aangepaste detectie die geen apparaten als beïnvloede entiteiten bevat, is het bereik niet van toepassing.

Voor deze testfase wilt u deze regel mogelijk beperken tot een subset van testapparaten in uw productieomgeving.
Selecteer Maken. Selecteer vervolgens Aangepaste detectieregels in het navigatievenster.

Op deze pagina kunt u de detectieregel selecteren, waarmee een detailpagina wordt geopend.

Deskundige training over geavanceerde opsporing

Het bijhouden van de aanvaller is een webcastserie voor nieuwe beveiligingsanalisten en doorgewinterde bedreigingsjagers. Het begeleidt u door de basisbeginselen van geavanceerde opsporing, helemaal tot het maken van uw eigen geavanceerde query's.

Zie Krijg een deskundige training over geavanceerde opsporing om aan de slag te gaan.

de Microsoft Defender XDR-evaluatieomgeving Creatie

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.

Share via