Compartilhar via

Incidentes de triagem com base no enriquecimento da inteligência contra ameaças

  • Artigo

Como analista do SOC (Centro de Operações de Segurança), você revisa alertas e incidentes atribuídos a você. Seu dever é identificar se ações reais precisam ser tomadas. Você aproveita as informações dentro dos alertas associados ao incidente para orientar seu processo. Muitas vezes, você coleta informações contextuais para entender melhor as próximas etapas que deve tomar. Com o enriquecimento das entidades envolvidas e a compreensão completa dos alertas subjacentes, você determina se deve escalar ou corrigir o incidente.

Neste exemplo detalhado, um analista usa Copilot para Segurança para triagem rápida de um incidente. Se o incidente for uma ameaça real, o objetivo é reunir novos indicadores de comprometimento ou vincular entidades à inteligência concluída. Nesse caso, a inteligência contra ameaças é resumida por Copilot para Segurança para mostrar a conexão com um ator de ameaça conhecido e informar a avaliação de gravidade.

Etapas

  1. Comece o dia com Copilot para Segurança. Recupere o incidente de Microsoft Defender XDR mais recente atribuído a você e resumir os alertas associados a ele.

    Prompt usado:

    Qual é o último incidente ativo do Defender atribuído a mim? angus.macgregor@contoso.com Resumi-lo, incluindo os alertas associados a ele.

    Resposta:

    Captura de tela do resumo do alerta do Defender.

    Parece um possível roubo de credencial. Você segue as ações recomendadas e começa a escopo do incidente e valida o alerta.

  2. Concentre-se em entidades específicas para obter mais informações sobre elas.

    Prompt usado:

    Elabore os detalhes desse alerta, incluindo as entidades envolvidas.

    Resposta:

    Captura de tela do enriquecimento de alerta do Defender.

    Agora você tem uma conta de usuário e um dispositivo para investigar mais. Nesse caso, você optará por entender mais sobre o usuário afetado antes de investigar os detalhes do ataque ao dispositivo.

  3. Obtenha mais informações sobre esse usuário para orientar as próximas etapas. Que tipo de ações podem ser as próximas para alguém com suas credenciais?

    Prompt usado:

    Conte-me mais sobre a entidade de usuário.

    Resposta:

    Captura de tela das informações detalhadas do usuário.

    Você descobre que esse usuário está funcionando em Vendas. Se a credencial dela foi roubada, isso pode afetar os dados de vendas. Lembre-se de que seu workspace do Sentinel tem uma solução SAP para ajudar a detectar ameaças lá. Esse alerta do Defender está vinculado a um incidente do Microsoft Sentinel? Sua prioridade é determinar se houve alguma atividade suspeita por esse usuário no SAP.

  4. Use uma consulta de caça salva para correlacionar entidades com incidentes do Sentinel.

    Você ativa manualmente o prompt sugerido para o plug-in de KQL do Idioma Natural para Sentinel para executar sua consulta.

    Captura de tela mostrando o prompt sugerido para consultas de caça do Microsoft Sentinel.

    Dica

    Se a consulta precisar ser ajustada ligeiramente, edite o prompt e execute-o novamente. Por exemplo, sua consulta projetou IncidentNames, mas são simplesmente GUIDs. Você se lembra que é o Title campo que você realmente quer. Basta editar o prompt e selecionar a opção Executar novamente o prompt .

    Captura de tela mostrando opções de prompt para editar, executar novamente e excluir.

    Prompt ajustado usado:

    Execute o seguinte KQLSecurityAlert | em que Entidades tem "adele.vance@contoso.com" e TimeGenerated >= datetime(06/10/2023) | join kind=inner (SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId)) on SystemAlertId | summarize by IncidentNumber, Título

    Resposta:

    Captura de tela mostrando os resultados da consulta de caça do Microsoft Sentinel.

    O incidente relacionado ao SAP agora é sua prioridade.

  5. Pivote sua investigação para o incidente SAP associado ao usuário do alerta original.

    Prompt usado:

    Elabore sobre o incidente do Sentinel 33805 e me dê detalhes sobre as entidades.

    Resposta:

    Captura de tela mostrando o resumo de incidentes do Microsoft Sentinel.

    Muitas informações são retornadas desse prompt. O IP mal-intencionado e a possível exfiltração de dados financeiros se destacam como itens importantes para investigar mais.

  6. Saiba mais sobre a entidade de endereço IP e examine como ela foi determinada como mal-intencionada.

    Prompt usado:

    Dê-me mais detalhes sobre o endereço IP e por que ele é mal-intencionado?

    Resposta:

    Captura de tela mostrando detalhes do IP mal-intencionado.

  7. Criar um relatório de resumo

    Economize tempo no processo de escalonamento com um resumo para equipes de liderança e resposta a incidentes.

    Prompt usado:

    Escreva um relatório com base nesta investigação. Lidere com sua avaliação do incidente original do Defender e se a ameaça de roubo de credencial é real. Conclua sua avaliação sobre como essa ameaça se relaciona com o incidente do Sentinel em relação ao arquivo baixado para um IP mal-intencionado.

    Resposta:

    Captura de tela mostrando o relatório de resumo da investigação.

  8. Fixe as respostas de prompts mais úteis e edite o nome da sessão.

    Você atingiu seu objetivo e determinou que o incidente Microsoft Defender XDR atribuído é uma ameaça real. Ao vinculá-lo a um incidente do Microsoft Sentinel envolvendo um arquivo SAP exfiltrado, você se prepara para colaborar com sua equipe de escalonamento.

    Captura de tela mostrando o quadro de pinos e o nome da sessão editada.

Conclusão

Nesse caso de uso, Copilot para Segurança ajudou a triagem rápida de um incidente atribuído. Você confirmou que o alerta exigiu uma ação real investigando incidentes relacionados. A caçada resultou em encontrar um incidente com uma entidade IP vinculada à inteligência concluída sobre o ator de ameaças e a ferramenta C2 usada. Com um quadro de pinos sucinto, você compartilhou a sessão e um relatório de resumo dando à equipe de escalonamento as informações necessárias para responder efetivamente.