Prova Microsoft 365 Defender för incidentsvar i en pilotmiljö
Gäller för:
- Microsoft 365 Defender
Den här artikeln är steg 2 av 2 i processen med att utföra en undersökning och svar på en incident i Microsoft 365 Defender med hjälp av en pilotmiljö. Mer information om den här processen finns i översiktsartikeln.
När du har utfört ett incidentsvar för en simulerad attackfinns det några Microsoft 365 Defender funktioner att utforska:
| Funktion | Beskrivning |
|---|---|
| Prioritera incidenter | Använd filtrering och sortering av incidentkön för att avgöra vilka incidenter som ska åtgärdas härnäst. |
| Hantera incidenter | Ändra egenskaper för incidenter för att säkerställa korrekt tilldelning, lägga till taggar och kommentarer och lösa en incident. |
| Automatiska undersökningar och svar | Funktioner för automatisk undersökning och svar (AIR) som kan hjälpa din säkerhetsgrupp att hantera hot effektivare och effektivare. Åtgärdscenter är en "enda fönsterruta med fönster" för incidentaktiviteter och aviseringsuppgifter som att godkänna väntande åtgärder. |
| Avancerad jakt | Ett frågebaserat verktyg för hotdesign som gör att du proaktivt kan kontrollera händelser i nätverket och hitta hotindikatorer och enheter. Du använder även avancerad sökning under undersökning och åtgärd av en händelse. |
Prioritera incidenter
Du kommer till incidentkön från Incidenter & aviseringar > Incidenter i snabbstarten av Microsoft 365 Defender portalen. Här är ett exempel.
I avsnittet Senaste incidenter och aviseringar visas ett diagram över antalet aviseringar som tagits emot och incidenter som skapats de senaste 24 timmarna.
Om du vill undersöka listan över incidenter och prioritera deras prioritet för tilldelning och undersökning kan du:
Konfigurera anpassningsbara kolumner (välj Välj kolumner) för att ge dig insyn i olika egenskaper för incidenten eller berörda enheter. På så sätt kan du fatta ett välgrundat beslut om prioritering av incidenter för analys.
Använd filtrering för att fokusera på ett visst scenario eller hot. Genom att använda filter på incidentkön kan du avgöra vilka incidenter som kräver omedelbar uppmärksamhet.
I standardkön för incidenter väljer du Filter för att visa fönstret Filter, där du kan ange en viss uppsättning incidenter. Här är ett exempel.
Mer information finns i Prioritera incidenter.
Hantera incidenter
Du kan hantera incidenter i fönstret Hantera incidenter för ett incident. Här är ett exempel.
Du kan visa det här fönstret från länken Hantera incident på:
- Egenskapsfönster för en incident i incidentkön.
- Sammanfattningssida för en incident.
Du kan hantera dina incidenter på följande sätt:
Redigera incidentens namn
Ändra det automatiskt tilldelade namnet baserat på metodtips för säkerhetsgruppen.
Lägg till incidenttaggar
Lägg till taggar som säkerhetsteamet använder för att klassificera incidenter, som kan filtreras senare.
Tilldela incidenten till dig själv
Tilldela den till användarnamnet, som kan filtreras senare.
Lösa ett problem
Stäng incidenten när den har åtgärdats.
Ange dess klassificering och avgörande
Klassificera och välj hottyp när du löser en incident.
Lägga till kommentarer
Använd kommentarer för förlopp, anteckningar eller annan information baserat på metodtips för din säkerhetsgrupp. Fullständig kommentarshistorik är tillgänglig från alternativet Kommentarer och historik på informationssidan för ett incident.
Mer information finns i Hantera incidenter.
Undersöka automatisk undersökning och svar med Åtgärdscenter
Beroende på hur automatiska undersöknings- och svarsfunktioner har konfigurerats för organisationen utförs åtgärder automatiskt eller bara om säkerhetsgruppen har godkänt det. Alla åtgärder, oavsett om de är väntande eller slutförda, visas i Åtgärdscenter, som innehåller väntande och slutförda åtgärdsåtgärder för dina enheter, e-& innehåll för samarbete och identiteter på en plats.
Här är ett exempel.
I Åtgärdscenter kan du välja väntande åtgärder och sedan godkänna eller avvisa dem i den utfällade rutan. Här är ett exempel.
Godkänn (eller avvisa) väntande åtgärder så snart som möjligt så att automatiserade undersökningar kan fortsätta och slutföras i tid.
Mer information finns i Automatiserad undersökning och svar och Åtgärdscenter.
Avancerad jakt
Anteckning
Innan vi går igenom den avancerade simuleringen av sökning kan du titta på följande video för att förstå avancerade koncept för sökning, se var du hittar det i portalen och veta hur det kan hjälpa dig med dina säkerhetsåtgärder.
Om den valfria PowerShell-attack simuleringen av fillös var en verklig attack som redan hade nått åtkomststeget för autentiseringsuppgifter kan du använda avancerad sökning när som helst i undersökningen för att proaktivt söka igenom händelser och poster i nätverket med hjälp av vad du redan vet från genererade varningar och berörda enheter.
Baserat på information i SMB-aviseringen (User and IP Address Reconnaissance) kan du till exempel använda tabellen för att hitta alla SMB-sessionsuppräkningshändelser eller hitta fler identifieringsaktiviteter i olika andra protokoll i Microsoft Defender för identitetsdata med hjälp av IdentityDirectoryEvents IdentityQueryEvents tabellen.
Krav på produktionsmiljö
Det krävs en enda intern postlåda och enhet för den här simuleringen. Du måste också ha ett externt e-postkonto för att skicka testmeddelandet.
Kontrollera att klientorganisationen har aktiverat Microsoft 365 Defender.
Identifiera en målpostlåda som ska användas för att ta emot e-post.
Den här postlådan måste övervakas av Microsoft Defender för Office 365
Enheten från krav 3 måste få åtkomst till den här postlådan
Konfigurera en testenhet:
a. Kontrollera att du använder Windows 10 version 1903 eller senare.
b. Anslut testenheten till testdomänen.
c. Aktivera Windows Defender Antivirus. Om du har problem med att aktivera Windows Defender Antivirus kan du gå till det här felsökningsavsnittet.
Kör simuleringen
Från ett externt e-postkonto skickar du ett e-postmeddelande till postlådan som identifierats i steg 2 i avsnittet om krav på eftermiljö. Inkludera en bifogad fil som tillåts genom befintliga principer för e-postfilter. Filen behöver inte vara skadlig eller körbar. Föreslagna filtyper är .pdf, .exe (om tillåts) eller en Office dokumenttyp, till exempel en Word-fil.
Öppna det skickade e-postmeddelandet från enheten som konfigurerats enligt beskrivningen i steg 3 i avsnittet om krav på miljön efter licens. Öppna den bifogade filen eller spara den på enheten.
Jaga
I navigeringsfönstret väljer du Sök efter > Avancerad sökning.
Skapa en fråga som börjar genom att samla e-posthändelser.
Välj Fråga > Nytt.
I e-postgrupperna under Avancerad sökning dubbelklickar du på EmailEvents. Du bör se detta i frågefönstret.
EmailEventsÄndra tidsperioden för frågan till de senaste 24 timmarna. Anta att e-postmeddelandet du skickade när du körde simuleringen ovan har varit under de senaste 24 timmarna, annars kan du ändra tidsperioden efter behov.
Välj Kör fråga. Du kan ha olika resultat beroende på din pilotmiljö.
Anteckning
Se nästa steg för filtreringsalternativ för att begränsa dataretur.

Anteckning
Avancerad sökning visar frågeresultat som tabelldata. Du kan också välja att visa data i andra formattyper, till exempel diagram.
Titta på resultaten och se om du kan identifiera e-postmeddelandet som du öppnade. Det kan ta upp till två timmar innan meddelandet visas i avancerad sökning. För att begränsa resultatet kan du lägga till var-villkoret i frågan för att endast söka efter e-postmeddelanden som har "yahoo.com" som SenderMailFromDomain. Här är ett exempel.
EmailEvents | where SenderMailFromDomain == "yahoo.com"Klicka på de resulterande raderna från frågan så att du kan granska posten.

Nu när du har kontrollerat att du kan se e-postmeddelandet kan du lägga till ett filter för de bifogade filerna. Fokusera på alla e-postmeddelanden med bifogade filer i miljön. För den här simuleringen ska du fokusera på inkommande e-postmeddelanden, inte de som skickas ut från din miljö. Ta bort eventuella filter som du har lagt till för att hitta meddelandet och lägga till "| där AttachmentCount > 0 och EmailDirection == "Inbound""
I följande fråga visas resultatet med en kortare lista än den första frågan för alla e-posthändelser:
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound"Ta sedan med information om den bifogade filen (t.ex. filnamn, hash-filer) i resultatuppsättningen. Det gör du genom att koppla tabellen EmailAttachmentInfo. De gemensamma fälten att använda för att ansluta, i det här fallet NetworkMessageId och RecipientObjectId.
Följande fråga innehåller även ytterligare en rad | project-rename EmailTimestamp=Timestamp" som hjälper dig att identifiera vilken tidsstämpel som var relaterad till e-postmeddelandet och tidsstämplar relaterade till filåtgärder som du ska lägga till i nästa steg.
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectIdAnvänd sedan SHA256-värdet från tabellen EmailAttachmentInfo för att hitta DeviceFileEvents (filåtgärder som hände på slutpunkten) för den hash-filen. Det vanliga fältet är SHA256-hash för den bifogade filen.
Den resulterande tabellen innehåller nu information från slutpunkten (Microsoft Defender för slutpunkt), till exempel enhetsnamn, vilken åtgärd som gjordes (i detta fall filtrerad för att endast inkludera FileCreated-händelser) och var filen lagrades. Kontonamnet som är kopplat till processen inkluderas också.
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId | join DeviceFileEvents on SHA256 | where ActionType == "FileCreated"Nu har du skapat en fråga som identifierar alla inkommande e-postmeddelanden där användaren öppnade eller sparade den bifogade filen. Du kan också förfina den här frågan för att filtrera fram specifika avsändardomäner, filstorlekar, filtyper och så vidare.
Funktioner är en särskild typ av koppling, som gör att du kan hämta mer TI-data om en fil, t.ex. dess utforskar- och utfärdareinformation. Om du vill ha mer information om filen kan du använda funktionen FileProfile()berikande:
EmailEvents | where AttachmentCount > 0 and EmailDirection == "Inbound" | project-rename EmailTimestamp=Timestamp | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId | join DeviceFileEvents on SHA256 | where ActionType == "FileCreated" | distinct SHA1 | invoke FileProfile()
Skapa en identifiering
När du har skapat en fråga som identifierar information som du vill få aviseringar om om de skulle hända i framtiden, kan du skapa en anpassad identifiering från frågan.
Anpassade identifieringar kör frågan enligt den frekvens du har angett, och resultaten av frågorna skapar säkerhetsvarningar baserat på de påverkade tillgångar du väljer. Dessa aviseringar är korrelerade till incidenter och kan vara triangelde som alla andra säkerhetsvarningar som genereras av någon av produkterna.
Ta bort rad 7 och 8 på frågesidan som lades till i steg 7 i Gå i instruktionerna för sökning och klicka på Skapa identifieringsregel.

Anteckning
Om du klickar på Skapa identifieringsregel och frågan innehåller syntaxfel sparas inte identifieringsregeln. Dubbelkolla frågan för att säkerställa att det inte uppstår några fel.
Fyll i de obligatoriska fälten med informationen som gör att säkerhetsteamet förstår varningen, varför den skapades och vilka åtgärder du förväntar dig att de ska vidta.

Se till att du fyller i fälten tydligt för att ge nästa användare ett välgrundat beslut om aviseringen för identifieringsregeln
Välj vilka enheter som påverkas i den här aviseringen. I det här fallet väljer du Enhet och postlåda.

Fastställ vilka åtgärder som ska vidtas om aviseringen utlöses. I så fall kör du en antivirussökning, men andra åtgärder kan också vidtas.

Välj omfattning för aviseringsregeln. Eftersom den här frågan berör enheter är enhetsgrupper relevanta i den här anpassade identifieringen enligt Microsoft Defender för Slutpunktskontext. När du skapar en anpassad identifiering som inte inkluderar enheter som påverkade enheter gäller inte omfattningen.

För det här pilottestet kanske du vill begränsa regeln till en delmängd av testenheterna i produktionsmiljön.
Välj Skapa. Välj sedan Anpassade identifieringsregler i navigeringsfönstret.


På den här sidan kan du välja identifieringsregel, vilket öppnar en informationssida.

Expertutbildning om avancerad sökning
Tracking the adversary is a webcast series for new security analysts and seasoned threats. Du får lära dig grunderna i avancerad sökning hela vägen till att skapa avancerade frågor.
Se Få expertutbildning om avancerad sökning för att komma igång.