Tente Microsoft Defender XDR recursos de resposta a incidentes em um ambiente piloto

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Este artigo é a etapa 2 de 2 no processo de execução de uma investigação e resposta de um incidente em Microsoft Defender XDR usando um ambiente piloto. Para obter mais informações sobre esse processo, consulte o artigo visão geral .

Depois de executar uma resposta de incidente para um ataque simulado, aqui estão algumas Microsoft Defender XDR funcionalidades a serem exploradas:

Funcionalidade Descrição
Priorizar incidentes Use filtragem e classificação da fila de incidentes para determinar quais incidentes serão resolvidos a seguir.
Gerenciar incidentes Modifique as propriedades de incidente para garantir a atribuição correta, adicione marcas e comentários e resolve um incidente.
Resposta e investigação automatizadas Use recursos automatizados de investigação e resposta (AIR) para ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz. O Centro de Ação é uma experiência de "painel único de vidro" para tarefas de incidente e alerta, como aprovar ações pendentes de correção.
Busca avançada Use consultas para inspecionar proativamente eventos em sua rede e localizar indicadores e entidades de ameaça. Você também usa a caça avançada durante a investigação e correção de um incidente.

Priorizar incidentes

Você chega à fila de incidentes de Incidentes & alertas Incidentes > no lançamento rápido do portal Microsoft Defender. Veja um exemplo.

A seção Alertas de & incidentes no portal do Microsoft Defender

A seção incidentes e alertas mais recentes mostra um gráfico do número de alertas recebidos e incidentes criados nas últimas 24 horas.

Para examinar a lista de incidentes e priorizar sua importância para atribuição e investigação, você pode:

  • Configure colunas personalizáveis (selecione Escolher colunas) para dar visibilidade a diferentes características do incidente ou das entidades afetadas. Isso ajuda você a tomar uma decisão informada sobre a priorização de incidentes para análise.

  • Use a filtragem para se concentrar em um cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar quais incidentes exigem atenção imediata.

Na fila de incidentes padrão, selecione Filtros para ver um painel Filtros , do qual você pode especificar um conjunto específico de incidentes. Veja um exemplo.

O painel Filtros da seção Incidentes & alertas no portal do Microsoft Defender

Para obter mais informações, consulte Priorizar incidentes.

Gerenciar incidentes

Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.

O painel Gerenciar incidentes da seção Incidentes & alertas no portal do Microsoft Defender

Você pode exibir este painel no link Gerenciar incidentes no:

  • Painel de propriedades de um incidente na fila de incidentes.
  • Página resumo de um incidente.

Aqui estão as maneiras pelas quais você pode gerenciar seus incidentes:

  • Editar o nome do incidente

    Altere o nome atribuído automaticamente com base nas melhores práticas da equipe de segurança.

  • Adicionar marcas de incidente

    Adicione marcas que sua equipe de segurança usa para classificar incidentes, que podem ser filtrados posteriormente.

  • Atribuir o incidente

    Atribua-o a um nome de conta de usuário, que pode ser filtrado posteriormente.

  • Resolver um incidente

    Feche o incidente depois que ele for corrigido.

  • Definir sua classificação e determinação

    Classifique e selecione o tipo de ameaça quando você resolve um incidente.

  • Adicionar comentários

    Use comentários para progresso, anotações ou outras informações com base nas melhores práticas da equipe de segurança. O histórico de comentários completo está disponível na opção Comentários e histórico na página de detalhes de um incidente.

Para obter mais informações, consulte Gerenciar incidentes.

Examinar a investigação e a resposta automatizadas com o Centro de Ações

Dependendo de como as funcionalidades de investigação e resposta automatizadas são configurados na sua organização, as ações de correção são executadas automaticamente ou somente após a aprovação da sua equipe de operações de segurança. Todas as ações, pendentes ou concluídas, estão listadas no Centro de Ações, que lista ações de correção pendentes e concluídas para seus dispositivos, email & conteúdo de colaboração e identidades em um único local.

Veja um exemplo.

O Centro de Ação Unificada no portal Microsoft Defender

Na central de ações, você pode selecionar ações pendentes e, em seguida, aprová-las ou rejeitá-las no painel de sobrevoo. Veja um exemplo.

O painel que exibe as opções para aprovar ou rejeitar uma ação no portal Microsoft Defender

Aprove (ou rejeite) ações pendentes o mais rápido possível para que suas investigações automatizadas possam prosseguir e serem concluídas em tempo hábil.

Para obter mais informações, consulte Investigação automatizada e resposta e Centro de ação.

Usar a caça avançada

Observação

Antes de percorrermos a simulação avançada de caça, watch o vídeo a seguir para entender conceitos avançados de caça, ver onde você pode encontrá-lo no portal e saber como ele pode ajudá-lo em suas operações de segurança.


Se a simulação de ataque opcional sem arquivo do PowerShell for um ataque real que já havia atingido o estágio de acesso à credencial, você poderá usar a caça avançada em qualquer ponto da investigação para pesquisar proativamente por meio de eventos e registros na rede usando o que você já sabe dos alertas gerados e das entidades afetadas.

Por exemplo, com base em informações no alerta SMB (reconhecimento de endereço IP e usuário), você pode usar a IdentityDirectoryEvents tabela para localizar todos os eventos de enumeração de sessão SMB ou encontrar mais atividades de descoberta em vários outros protocolos em Microsoft Defender para Identidade dados usando a IdentityQueryEvents tabela.

Requisitos de ambiente de caça

Há uma única caixa de correio interna e um dispositivo necessários para essa simulação. Você também precisará de uma conta de email externa para enviar a mensagem de teste.

  1. Verifique se o locatário está habilitado Microsoft Defender XDR.

  2. Identifique uma caixa de correio de destino a ser usada para receber email.

    • Essa caixa de correio deve ser monitorada por Microsoft Defender para Office 365

    • O dispositivo do requisito 3 precisa acessar esta caixa de correio

  3. Configurar um dispositivo de teste:

    a. Verifique se você está usando Windows 10 versão 1903 ou posterior.

    b. Junte o dispositivo de teste ao domínio de teste.

    c. Ative Microsoft Defender Antivírus. Se você estiver tendo problemas para habilitar Microsoft Defender Antivírus, confira este tópico de solução de problemas.

    d. A bordo para Microsoft Defender para Ponto de Extremidade.

Executar a simulação

  1. De uma conta de email externa, envie um email para a caixa de correio identificada na etapa 2 da seção requisitos de ambiente de caça. Inclua um anexo que será permitido por meio de quaisquer políticas de filtro de email existentes. Esse arquivo não precisa ser mal-intencionado ou executável. Os tipos de arquivo sugeridos são .pdf, .exe (se permitido) ou um tipo de documento do Office, como um arquivo Word.

  2. Abra o email enviado do dispositivo configurado conforme definido na etapa 3 da seção requisitos de ambiente de caça. Abra o anexo ou salve o arquivo no dispositivo.

Vá caçar

  1. Abra o portal Microsoft Defender.

  2. No painel de navegação, selecione Caça > à Caça Avançada.

  3. Crie uma consulta que comece coletando eventos de email.

    1. Selecione Consultar > Nova.

    2. No Email grupos em Caça avançada, clique duas vezes em EmailEvents. Você deve ver isso na janela de consulta.

      EmailEvents

    3. Altere o período da consulta para as últimas 24 horas. Supondo que o email enviado quando você executou a simulação acima tenha sido nas últimas 24 horas, caso contrário, altere o período de tempo conforme necessário.

    4. Selecione Executar consulta. Você pode ter resultados diferentes dependendo do ambiente piloto.

      Observação

      Confira a próxima etapa para filtrar opções para limitar o retorno de dados.

      A página Caça Avançada no portal do Microsoft Defender

      Observação

      A caça avançada exibe os resultados da consulta como dados tabulares. Você também pode optar por exibir os dados em outros tipos de formato, como gráficos.

    5. Examine os resultados e veja se você pode identificar o email que abriu. Pode levar até duas horas para a mensagem aparecer na caça avançada. Para reduzir os resultados, você pode adicionar a condição de onde à consulta para procurar apenas emails que tenham "yahoo.com" como senderMailFromDomain. Veja um exemplo.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. Clique nas linhas resultantes da consulta para que você possa inspecionar o registro.

      A seção Inspecionar registro da página Caça Avançada no portal Microsoft Defender

  4. Agora que você verificou que pode ver o email, adicione um filtro para os anexos. Concentre-se em todos os emails com anexos no ambiente. Para essa simulação, concentre-se nos emails de entrada, não nos que estão sendo enviados do seu ambiente. Remova todos os filtros adicionados para localizar sua mensagem e adicione "| em que AttachmentCount > 0 e EmailDirection == "Entrada""

    A consulta a seguir mostrará o resultado com uma lista mais curta do que a consulta inicial para todos os eventos de email:

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. Em seguida, inclua as informações sobre o anexo (como: nome do arquivo, hashes) ao conjunto de resultados. Para fazer isso, junte-se à tabela EmailAttachmentInfo . Os campos comuns a serem usados para junção, nesse caso, são NetworkMessageId e RecipientObjectId.

    A consulta a seguir também inclui uma linha adicional "| project-rename EmailTimestamp=Timestamp" que ajudará a identificar qual carimbo de data/hora estava relacionado ao email versus carimbos de data/hora relacionados a ações de arquivo que você adicionará na próxima etapa.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. Em seguida, use o valor SHA256 da tabela EmailAttachmentInfo para encontrar DeviceFileEvents (ações de arquivo que aconteceram no ponto de extremidade) para esse hash. O campo comum aqui será o hash SHA256 para o anexo.

    A tabela resultante agora inclui detalhes do ponto de extremidade (Microsoft Defender para Ponto de Extremidade), como nome do dispositivo, qual ação foi feita (nesse caso, filtrada para incluir apenas eventos FileCreated) e onde o arquivo foi armazenado. O nome da conta associado ao processo também será incluído.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    Agora você criou uma consulta que identificará todos os emails de entrada em que o usuário abriu ou salvou o anexo. Você também pode refinar essa consulta para filtrar para domínios de remetente específicos, tamanhos de arquivo, tipos de arquivo e assim por diante.

  7. As funções são um tipo especial de junção, que permite que você extraia mais dados de TI sobre um arquivo como sua prevalência, informações de signatário e emissor, etc. Para obter mais detalhes sobre o arquivo, use o enriquecimento de função FileProfile():

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

Create uma detecção

Depois de criar uma consulta que identifique informações sobre as quais você gostaria de ser alertado se elas acontecerem no futuro, você poderá criar uma detecção personalizada a partir da consulta.

As detecções personalizadas executarão a consulta de acordo com a frequência definida e os resultados das consultas criarão alertas de segurança, com base nos ativos afetados escolhidos. Esses alertas serão correlacionados a incidentes e podem ser triados como qualquer outro alerta de segurança gerado por um dos produtos.

  1. Na página de consulta, remova as linhas 7 e 8 que foram adicionadas na etapa 7 das instruções de caça go e clique em Create regra de detecção.

    A seção Edição de Consulta da página De Busca Avançada no portal do Microsoft Defender

    Observação

    Se você clicar em Create regra de detecção e tiver erros de sintaxe em sua consulta, sua regra de detecção não será salva. Marcar a consulta para garantir que não haja erros.

  2. Preencha os campos necessários com as informações que permitirão que a equipe de segurança entenda o alerta, por que ele foi gerado e quais ações você espera que eles tomem.

    A página Detalhes do Alerta no portal do Microsoft Defender

    Verifique se você preenche os campos com clareza para ajudar a dar ao próximo usuário uma decisão informada sobre esse alerta de regra de detecção

  3. Selecione quais entidades são afetadas neste alerta. Nesse caso, selecione Dispositivo e Caixa de Correio.

    A página de detalhes de entidades afetadas no portal do Microsoft Defender

  4. Determine quais ações devem ocorrer se o alerta for disparado. Nesse caso, execute uma verificação antivírus, embora outras ações possam ser tomadas.

    A página Ações no portal Microsoft Defender

  5. Selecione o escopo da regra de alerta. Como essa consulta envolve dispositivos, os grupos de dispositivos são relevantes nessa detecção personalizada de acordo com Microsoft Defender para Ponto de Extremidade contexto. Ao criar uma detecção personalizada que não inclua dispositivos como entidades afetadas, o escopo não se aplica.

    A página Escopo no portal Microsoft Defender

    Para este piloto, talvez você queira limitar essa regra a um subconjunto de dispositivos de teste em seu ambiente de produção.

  6. Selecione Criar. Em seguida, selecione Regras de detecção personalizadas no painel de navegação.

    A opção Regras de detecção personalizadas no portal Microsoft Defender

    A página que exibe as regras de detecção e os detalhes de execução no portal Microsoft Defender

    Nesta página, você pode selecionar a regra de detecção, que abrirá uma página de detalhes.

    A página que exibe detalhes dos alertas disparados no portal do Microsoft Defender

Treinamento de especialistas em caça avançada

Acompanhar o adversário é uma série de webcast para novos analistas de segurança e caçadores de ameaças experientes. Ele guia você pelos conceitos básicos da caça avançada até a criação de suas próprias consultas sofisticadas.

Consulte Obter treinamento de especialistas sobre caça avançada para começar.

Create o ambiente de avaliação de Microsoft Defender XDR

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.