Wypróbuj Microsoft Defender XDR możliwości reagowania na zdarzenia w środowisku pilotażowym
Dotyczy:
- Microsoft Defender XDR
Ten artykuł jest krokiem 2 z 2 w trakcie badania i reagowania na zdarzenie w Microsoft Defender XDR przy użyciu środowiska pilotażowego. Aby uzyskać więcej informacji na temat tego procesu, zobacz artykuł omówienie .
Po wykonaniu reakcji na zdarzenie dla symulowanego ataku poniżej przedstawiono kilka Microsoft Defender XDR możliwości do zbadania:
| Możliwości | Opis |
|---|---|
| Określanie priorytetów zdarzeń | Użyj filtrowania i sortowania kolejki zdarzeń, aby określić, które zdarzenia mają zostać rozwiązane w następnej kolejności. |
| Zarządzanie zdarzeniami | Zmodyfikuj właściwości zdarzenia, aby zapewnić poprawne przypisanie, dodać tagi i komentarze oraz rozwiązać problem. |
| Zautomatyzowane badanie i reagowanie | Użyj funkcji zautomatyzowanego badania i reagowania (AIR), aby pomóc zespołowi ds. operacji zabezpieczeń w wydajniejszym i wydajniejszym reagowaniu na zagrożenia. Centrum akcji to środowisko "pojedynczego okienka szkła" dla zadań zdarzeń i alertów, takich jak zatwierdzanie oczekujących akcji korygowania. |
| Zaawansowane wyszukiwanie zagrożeń | Za pomocą zapytań proaktywnie sprawdzaj zdarzenia w sieci i lokalizuj wskaźniki zagrożeń i jednostki. Podczas badania i korygowania zdarzenia używasz również zaawansowanego wyszukiwania zagrożeń. |
Określanie priorytetów zdarzeń
Do kolejki zdarzeń można przejść z obszaru Zdarzenia & alerty > Zdarzenia przy szybkim uruchomieniu portalu Microsoft Defender. Oto przykład.
W sekcji Najnowsze zdarzenia i alerty przedstawiono wykres liczby odebranych alertów i zdarzeń utworzonych w ciągu ostatnich 24 godzin.
Aby zbadać listę zdarzeń i ustalić ich znaczenie dla przypisywania i badania, możesz:
Skonfiguruj dostosowywalne kolumny (wybierz pozycję Wybierz kolumny), aby zapewnić wgląd w różne cechy zdarzenia lub jednostek, których dotyczy problem. Ułatwia to podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń na potrzeby analizy.
Użyj filtrowania, aby skoncentrować się na określonym scenariuszu lub zagrożeniu. Zastosowanie filtrów w kolejce zdarzeń może pomóc w określeniu, które zdarzenia wymagają natychmiastowej uwagi.
W domyślnej kolejce zdarzeń wybierz pozycję Filtry , aby wyświetlić okienko Filtry , z którego można określić określony zestaw zdarzeń. Oto przykład.
Aby uzyskać więcej informacji, zobacz Określanie priorytetów zdarzeń.
Zarządzanie zdarzeniami
Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.
To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:
- Okienko właściwości zdarzenia w kolejce zdarzeń.
- Strona podsumowania zdarzenia.
Oto sposoby zarządzania zdarzeniami:
Edytowanie nazwy zdarzenia
Zmień automatycznie przypisaną nazwę na podstawie najlepszych rozwiązań zespołu ds. zabezpieczeń.
Dodawanie tagów zdarzeń
Dodaj tagi używane przez zespół ds. zabezpieczeń do klasyfikowania zdarzeń, które można później filtrować.
Przypisywanie zdarzenia
Przypisz ją do nazwy konta użytkownika, którą można później filtrować.
Rozwiązywanie zdarzenia
Zamknij zdarzenie po jego skorygowaniu.
Ustawianie jego klasyfikacji i określania
Klasyfikowanie i wybieranie typu zagrożenia podczas rozwiązywania zdarzenia.
Dodawanie komentarzy
Użyj komentarzy do postępu, notatek lub innych informacji opartych na najlepszych rozwiązaniach zespołu ds. zabezpieczeń. Pełna historia komentarzy jest dostępna w opcji Komentarze i historia na stronie szczegółów zdarzenia.
Aby uzyskać więcej informacji, zobacz Zarządzanie zdarzeniami.
Sprawdzanie zautomatyzowanego badania i reagowania za pomocą centrum akcji
W zależności od tego, jak zautomatyzowane możliwości badania i reagowania są skonfigurowane dla Organizacji, akcje korygowania są wykonywane automatycznie lub tylko po zatwierdzeniu przez zespół ds. operacji zabezpieczeń. Wszystkie akcje, oczekujące lub ukończone, są wyświetlane w centrum akcji, które wyświetla listę oczekujących i zakończonych akcji korygowania dla urządzeń, wiadomości e-mail & zawartości współpracy i tożsamości w jednej lokalizacji.
Oto przykład.
W centrum akcji możesz wybrać oczekujące akcje, a następnie zatwierdzić lub odrzucić je w okienku wysuwanego. Oto przykład.
Zatwierdź (lub odrzuć) oczekujące akcje tak szybko, jak to możliwe, aby zautomatyzowane badania mogły być kontynuowane i wykonywane w odpowiednim czasie.
Aby uzyskać więcej informacji, zobacz Zautomatyzowane badanie i reagowanie oraz Centrum akcji.
Korzystanie z zaawansowanego wyszukiwania zagrożeń
Uwaga
Zanim przeprowadzimy Cię przez zaawansowaną symulację wyszukiwania zagrożeń, watch poniższego filmu wideo, aby zrozumieć zaawansowane pojęcia dotyczące wyszukiwania zagrożeń, zobaczyć, gdzie można je znaleźć w portalu, i dowiedzieć się, jak może pomóc w operacjach zabezpieczeń.
Jeśli opcjonalna symulacja ataku programu PowerShell bez plików była prawdziwym atakiem, który osiągnął już etap dostępu do poświadczeń, możesz użyć zaawansowanego wyszukiwania zagrożeń w dowolnym momencie badania, aby proaktywnie wyszukiwać zdarzenia i rekordy w sieci przy użyciu tego, co już wiesz z wygenerowanych alertów i jednostek, których dotyczy problem.
Na przykład na podstawie informacji zawartych w alertie rekonesansu adresów IP (SMB) można znaleźć wszystkie zdarzenia wyliczania sesji SMB za pomocą IdentityDirectoryEvents tabeli lub znaleźć więcej działań odnajdywania w różnych innych protokołach w Microsoft Defender for Identity danych przy użyciu IdentityQueryEvents tabeli.
Wymagania dotyczące środowiska wyszukiwania zagrożeń
Do tej symulacji jest wymagana pojedyncza wewnętrzna skrzynka pocztowa i urządzenie. Do wysłania wiadomości testowej potrzebne będzie również zewnętrzne konto e-mail.
Sprawdź, czy dzierżawa włączyła Microsoft Defender XDR.
Zidentyfikuj docelową skrzynkę pocztową, która ma być używana do odbierania wiadomości e-mail.
Ta skrzynka pocztowa musi być monitorowana przez Ochrona usługi Office 365 w usłudze Microsoft Defender
Urządzenie z wymagania 3 musi uzyskać dostęp do tej skrzynki pocztowej
Konfigurowanie urządzenia testowego:
a. Upewnij się, że używasz Windows 10 wersji 1903 lub nowszej.
b. Dołącz urządzenie testowe do domeny testowej.
c. Włącz program antywirusowy Microsoft Defender. Jeśli masz problemy z włączeniem programu antywirusowego Microsoft Defender, zobacz ten temat rozwiązywania problemów.
d. Dołącz do Ochrona punktu końcowego w usłudze Microsoft Defender.
Uruchamianie symulacji
Z zewnętrznego konta e-mail wyślij wiadomość e-mail do skrzynki pocztowej zidentyfikowanej w kroku 2 sekcji wymagania dotyczące środowiska wyszukiwania zagrożeń. Dołącz załącznik, który będzie dozwolony za pośrednictwem istniejących zasad filtru poczty e-mail. Ten plik nie musi być złośliwy ani wykonywalny. Sugerowane typy plików to .pdf, .exe (jeśli jest to dozwolone) lub typ dokumentu pakietu Office, taki jak plik Word.
Otwórz wysłaną wiadomość e-mail z urządzenia skonfigurowanego zgodnie z definicją w kroku 3 sekcji wymagania dotyczące środowiska wyszukiwania zagrożeń. Otwórz załącznik lub zapisz plik na urządzeniu.
Wyszukiwanie zagrożeń
Otwórz portal Microsoft Defender.
W okienku nawigacji wybierz pozycję Wyszukiwanie zagrożeń zaawansowanych>.
Utwórz zapytanie, które rozpoczyna się od zbierania zdarzeń wiadomości e-mail.
Wybierz pozycję Zapytanie > nowe.
W grupach Email w obszarze Zaawansowane wyszukiwanie zagrożeń kliknij dwukrotnie pozycję EmailEvents. Powinno to zostać wyświetlone w oknie zapytania.
EmailEventsZmień przedział czasu zapytania na ostatnie 24 godziny. Zakładając, że wiadomość e-mail wysłana podczas uruchamiania powyższej symulacji była w ciągu ostatnich 24 godzin, w przeciwnym razie zmień przedział czasu zgodnie z potrzebami.
Wybierz pozycję Uruchom zapytanie. Wyniki mogą być różne w zależności od środowiska pilotażowego.
Uwaga
Zobacz następny krok, aby zapoznać się z opcjami filtrowania, aby ograniczyć zwrot danych.
Uwaga
Zaawansowane wyszukiwanie zagrożeń wyświetla wyniki zapytania jako dane tabelaryczne. Możesz również wybrać wyświetlanie danych w innych typach formatów, takich jak wykresy.
Przyjrzyj się wynikom i sprawdź, czy możesz zidentyfikować otwartą wiadomość e-mail. Wyświetlenie komunikatu w zaawansowanym wyszukiwaniu może potrwać do dwóch godzin. Aby zawęzić wyniki, możesz dodać warunek where do zapytania, aby wyszukać tylko wiadomości e-mail z "yahoo.com" jako adres senderMailFromDomain. Oto przykład.
EmailEvents | where SenderMailFromDomain == "yahoo.com"Kliknij wynikowe wiersze z zapytania, aby sprawdzić rekord.
Po zweryfikowaniu, że widzisz wiadomość e-mail, dodaj filtr załączników. Skoncentruj się na wszystkich wiadomościach e-mail z załącznikami w środowisku. W tej symulacji skup się na przychodzących wiadomościach e-mail, a nie na tych, które są wysyłane ze środowiska. Usuń wszystkie dodane filtry, aby zlokalizować komunikat i dodać ciąg "| where AttachmentCount > 0 and EmailDirection == "Inbound""
W poniższym zapytaniu zostanie wyświetlony wynik z krótszą listą niż początkowe zapytanie dla wszystkich zdarzeń poczty e-mail:
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound"Następnie dołącz informacje o załączniku (na przykład: nazwa pliku, skróty) do zestawu wyników. W tym celu dołącz do tabeli EmailAttachmentInfo . Typowe pola, które mają być używane do łączenia, w tym przypadku to NetworkMessageId i RecipientObjectId.
Poniższe zapytanie zawiera również dodatkowy wiersz "| project-rename EmailTimestamp=Timestamp", która pomoże określić, który sygnatura czasowa była powiązana z wiadomością e-mail a znacznikami czasu związanymi z akcjami pliku, które dodasz w następnym kroku.
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectIdNastępnie użyj wartości SHA256 z tabeli EmailAttachmentInfo , aby znaleźć element DeviceFileEvents (akcje plików , które wystąpiły w punkcie końcowym) dla tego skrótu. Typowym polem będzie skrót SHA256 dla załącznika.
Tabela wynikowa zawiera teraz szczegóły z punktu końcowego (Ochrona punktu końcowego w usłudze Microsoft Defender), takie jak nazwa urządzenia, jaka akcja została wykonana (w tym przypadku przefiltrowana w celu uwzględnienia tylko zdarzeń FileCreated) i miejsca przechowywania pliku. Zostanie również uwzględniona nazwa konta skojarzona z procesem.
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId | join DeviceFileEvents on SHA256 | where ActionType == "FileCreated"Utworzono zapytanie, które będzie identyfikować wszystkie przychodzące wiadomości e-mail, w których użytkownik otworzył lub zapisał załącznik. Możesz również uściślić to zapytanie, aby filtrować pod kątem określonych domen nadawcy, rozmiarów plików, typów plików itd.
Funkcje to specjalny rodzaj sprzężenia, który umożliwia ściąganie większej ilości danych TI dotyczących pliku, takich jak jego częstość występowania, informacje o podpisywaniem i wystawcy itp. Aby uzyskać więcej szczegółów na temat pliku, użyj wzbogacenia funkcji FileProfile( ):
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId | join DeviceFileEvents on SHA256 | where ActionType == "FileCreated" | distinct SHA1 | invoke FileProfile()
Twórca wykrywania
Po utworzeniu zapytania identyfikującego informacje, o których chcesz otrzymywać alerty , jeśli wystąpią w przyszłości, możesz utworzyć wykrywanie niestandardowe na podstawie zapytania.
Wykrywanie niestandardowe spowoduje uruchomienie zapytania zgodnie z ustawioną częstotliwością, a wyniki zapytań będą tworzyć alerty zabezpieczeń na podstawie wybranych zasobów, których dotyczy problem. Te alerty będą skorelowane ze zdarzeniami i mogą być klasyfikowane jako każdy inny alert zabezpieczeń wygenerowany przez jeden z produktów.
Na stronie zapytania usuń wiersze 7 i 8 dodane w kroku 7 instrukcji wyszukiwania w języku Go i kliknij pozycję Twórca regułę wykrywania.
Uwaga
Jeśli klikniesz Twórca regułę wykrywania i masz błędy składniowe w zapytaniu, reguła wykrywania nie zostanie zapisana. Sprawdź dokładnie zapytanie, aby upewnić się, że nie ma żadnych błędów.
Wypełnij wymagane pola informacjami, które umożliwią zespołowi ds. zabezpieczeń zrozumienie alertu, przyczyny jego wygenerowania i oczekiwanych akcji.
Upewnij się, że pola są wypełniane z przejrzystością, aby ułatwić następnemu użytkownikowi podjęcie świadomej decyzji dotyczącej tego alertu reguły wykrywania
Wybierz jednostki, których dotyczy ten alert. W tym przypadku wybierz pozycję Urządzenie i skrzynka pocztowa.
Określ, jakie akcje powinny być wykonywane, jeśli alert zostanie wyzwolony. W takim przypadku uruchom skanowanie antywirusowe, chociaż można podjąć inne akcje.
Wybierz zakres reguły alertu. Ponieważ to zapytanie obejmuje urządzenia, grupy urządzeń są istotne w tym wykrywaniu niestandardowym zgodnie z kontekstem Ochrona punktu końcowego w usłudze Microsoft Defender. Podczas tworzenia wykrywania niestandardowego, które nie obejmuje urządzeń jako jednostek, których dotyczy problem, zakres nie ma zastosowania.
W przypadku tego pilotażu można ograniczyć tę regułę do podzestawu urządzeń testowych w środowisku produkcyjnym.
Wybierz pozycję Utwórz. Następnie wybierz pozycję Niestandardowe reguły wykrywania z panelu nawigacyjnego.
Na tej stronie możesz wybrać regułę wykrywania, która otworzy stronę szczegółów.
Szkolenie ekspertów w zakresie zaawansowanego wyszukiwania zagrożeń
Śledzenie przeciwnika to seria audycji internetowych dla nowych analityków bezpieczeństwa i doświadczonych łowców zagrożeń. Prowadzi cię przez podstawy zaawansowanego wyszukiwania zagrożeń aż do tworzenia własnych zaawansowanych zapytań.
Aby rozpocząć, zobacz Get expert training on advanced hunting (Uzyskiwanie specjalistycznych szkoleń dotyczących zaawansowanego wyszukiwania zagrożeń ).
Nawigacja może być potrzebna
Twórca środowiska oceny Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla