Prova Microsoft 365 Defender för incidentsvar i en pilotmiljö

Gäller för:

  • Microsoft 365 Defender

Den här artikeln är steg 2 av 2 i processen med att utföra en undersökning och svar på en incident i Microsoft 365 Defender med hjälp av en pilotmiljö. Mer information om den här processen finns i översiktsartikeln.

När du har utfört ett incidentsvar för en simulerad attackfinns det några Microsoft 365 Defender funktioner att utforska:

Funktion Beskrivning
Prioritera incidenter Använd filtrering och sortering av incidentkön för att avgöra vilka incidenter som ska åtgärdas härnäst.
Hantera incidenter Ändra egenskaper för incidenter för att säkerställa korrekt tilldelning, lägga till taggar och kommentarer och lösa en incident.
Automatiska undersökningar och svar Funktioner för automatisk undersökning och svar (AIR) som kan hjälpa din säkerhetsgrupp att hantera hot effektivare och effektivare. Åtgärdscenter är en "enda fönsterruta med fönster" för incidentaktiviteter och aviseringsuppgifter som att godkänna väntande åtgärder.
Avancerad jakt Ett frågebaserat verktyg för hotdesign som gör att du proaktivt kan kontrollera händelser i nätverket och hitta hotindikatorer och enheter. Du använder även avancerad sökning under undersökning och åtgärd av en händelse.

Prioritera incidenter

Du kommer till incidentkön från Incidenter & aviseringar > Incidenter i snabbstarten av Microsoft 365 Defender portalen. Här är ett exempel.

Exempel på incidentkön.

I avsnittet Senaste incidenter och aviseringar visas ett diagram över antalet aviseringar som tagits emot och incidenter som skapats de senaste 24 timmarna.

Om du vill undersöka listan över incidenter och prioritera deras prioritet för tilldelning och undersökning kan du:

  • Konfigurera anpassningsbara kolumner (välj Välj kolumner) för att ge dig insyn i olika egenskaper för incidenten eller berörda enheter. På så sätt kan du fatta ett välgrundat beslut om prioritering av incidenter för analys.

  • Använd filtrering för att fokusera på ett visst scenario eller hot. Genom att använda filter på incidentkön kan du avgöra vilka incidenter som kräver omedelbar uppmärksamhet.

I standardkön för incidenter väljer du Filter för att visa fönstret Filter, där du kan ange en viss uppsättning incidenter. Här är ett exempel.

Exempel på filterfönstret för incidentkön.

Mer information finns i Prioritera incidenter.

Hantera incidenter

Du kan hantera incidenter i fönstret Hantera incidenter för ett incident. Här är ett exempel.

Exempel på fönstret Hantera incident för en händelse.

Du kan visa det här fönstret från länken Hantera incident på:

  • Egenskapsfönster för en incident i incidentkön.
  • Sammanfattningssida för en incident.

Du kan hantera dina incidenter på följande sätt:

  • Redigera incidentens namn

    Ändra det automatiskt tilldelade namnet baserat på metodtips för säkerhetsgruppen.

  • Lägg till incidenttaggar

    Lägg till taggar som säkerhetsteamet använder för att klassificera incidenter, som kan filtreras senare.

  • Tilldela incidenten till dig själv

    Tilldela den till användarnamnet, som kan filtreras senare.

  • Lösa ett problem

    Stäng incidenten när den har åtgärdats.

  • Ange dess klassificering och avgörande

    Klassificera och välj hottyp när du löser en incident.

  • Lägga till kommentarer

    Använd kommentarer för förlopp, anteckningar eller annan information baserat på metodtips för din säkerhetsgrupp. Fullständig kommentarshistorik är tillgänglig från alternativet Kommentarer och historik på informationssidan för ett incident.

Mer information finns i Hantera incidenter.

Undersöka automatisk undersökning och svar med Åtgärdscenter

Beroende på hur automatiska undersöknings- och svarsfunktioner har konfigurerats för organisationen utförs åtgärder automatiskt eller bara om säkerhetsgruppen har godkänt det. Alla åtgärder, oavsett om de är väntande eller slutförda, visas i Åtgärdscenter, som innehåller väntande och slutförda åtgärdsåtgärder för dina enheter, e-& innehåll för samarbete och identiteter på en plats.

Här är ett exempel.

Enhetligt åtgärdscenter i Microsoft 365 Defender.

I Åtgärdscenter kan du välja väntande åtgärder och sedan godkänna eller avvisa dem i den utfällade rutan. Här är ett exempel.

Godkänna eller avvisa en åtgärd.

Godkänn (eller avvisa) väntande åtgärder så snart som möjligt så att automatiserade undersökningar kan fortsätta och slutföras i tid.

Mer information finns i Automatiserad undersökning och svar och Åtgärdscenter.

Avancerad jakt

Anteckning

Innan vi går igenom den avancerade simuleringen av sökning kan du titta på följande video för att förstå avancerade koncept för sökning, se var du hittar det i portalen och veta hur det kan hjälpa dig med dina säkerhetsåtgärder.


Om den valfria PowerShell-attack simuleringen av fillös var en verklig attack som redan hade nått åtkomststeget för autentiseringsuppgifter kan du använda avancerad sökning när som helst i undersökningen för att proaktivt söka igenom händelser och poster i nätverket med hjälp av vad du redan vet från genererade varningar och berörda enheter.

Baserat på information i SMB-aviseringen (User and IP Address Reconnaissance) kan du till exempel använda tabellen för att hitta alla SMB-sessionsuppräkningshändelser eller hitta fler identifieringsaktiviteter i olika andra protokoll i Microsoft Defender för identitetsdata med hjälp av IdentityDirectoryEvents IdentityQueryEvents tabellen.

Krav på produktionsmiljö

Det krävs en enda intern postlåda och enhet för den här simuleringen. Du måste också ha ett externt e-postkonto för att skicka testmeddelandet.

  1. Kontrollera att klientorganisationen har aktiverat Microsoft 365 Defender.

  2. Identifiera en målpostlåda som ska användas för att ta emot e-post.

    • Den här postlådan måste övervakas av Microsoft Defender för Office 365

    • Enheten från krav 3 måste få åtkomst till den här postlådan

  3. Konfigurera en testenhet:

    a. Kontrollera att du använder Windows 10 version 1903 eller senare.

    b. Anslut testenheten till testdomänen.

    c. Aktivera Windows Defender Antivirus. Om du har problem med att aktivera Windows Defender Antivirus kan du gå till det här felsökningsavsnittet.

    d. Gå till Microsoft Defender för Slutpunkt.

Kör simuleringen

  1. Från ett externt e-postkonto skickar du ett e-postmeddelande till postlådan som identifierats i steg 2 i avsnittet om krav på eftermiljö. Inkludera en bifogad fil som tillåts genom befintliga principer för e-postfilter. Filen behöver inte vara skadlig eller körbar. Föreslagna filtyper är .pdf, .exe (om tillåts) eller en Office dokumenttyp, till exempel en Word-fil.

  2. Öppna det skickade e-postmeddelandet från enheten som konfigurerats enligt beskrivningen i steg 3 i avsnittet om krav på miljön efter licens. Öppna den bifogade filen eller spara den på enheten.

Jaga

  1. Öppna Microsoft 365 Defender portalen.

  2. I navigeringsfönstret väljer du Sök efter > Avancerad sökning.

  3. Skapa en fråga som börjar genom att samla e-posthändelser.

    1. Välj Fråga > Nytt.

    2. I e-postgrupperna under Avancerad sökning dubbelklickar du på EmailEvents. Du bör se detta i frågefönstret.

      EmailEvents
      
    3. Ändra tidsperioden för frågan till de senaste 24 timmarna. Anta att e-postmeddelandet du skickade när du körde simuleringen ovan har varit under de senaste 24 timmarna, annars kan du ändra tidsperioden efter behov.

    4. Välj Kör fråga. Du kan ha olika resultat beroende på din pilotmiljö.

      Anteckning

      Se nästa steg för filtreringsalternativ för att begränsa dataretur.

      Exempel på avancerade frågeresultat för sökning.

      Anteckning

      Avancerad sökning visar frågeresultat som tabelldata. Du kan också välja att visa data i andra formattyper, till exempel diagram.

    5. Titta på resultaten och se om du kan identifiera e-postmeddelandet som du öppnade. Det kan ta upp till två timmar innan meddelandet visas i avancerad sökning. För att begränsa resultatet kan du lägga till var-villkoret i frågan för att endast söka efter e-postmeddelanden som har "yahoo.com" som SenderMailFromDomain. Här är ett exempel.

      EmailEvents
      | where SenderMailFromDomain == "yahoo.com"
      
    6. Klicka på de resulterande raderna från frågan så att du kan granska posten.

      Exempel på panel för att kontrollera postens sida som öppnas när ett avancerat resultat för sökning har valts.

  4. Nu när du har kontrollerat att du kan se e-postmeddelandet kan du lägga till ett filter för de bifogade filerna. Fokusera på alla e-postmeddelanden med bifogade filer i miljön. För den här simuleringen ska du fokusera på inkommande e-postmeddelanden, inte de som skickas ut från din miljö. Ta bort eventuella filter som du har lagt till för att hitta meddelandet och lägga till "| där AttachmentCount > 0 och EmailDirection == "Inbound""

    I följande fråga visas resultatet med en kortare lista än den första frågan för alla e-posthändelser:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    
  5. Ta sedan med information om den bifogade filen (t.ex. filnamn, hash-filer) i resultatuppsättningen. Det gör du genom att koppla tabellen EmailAttachmentInfo. De gemensamma fälten att använda för att ansluta, i det här fallet NetworkMessageId och RecipientObjectId.

    Följande fråga innehåller även ytterligare en rad | project-rename EmailTimestamp=Timestamp" som hjälper dig att identifiera vilken tidsstämpel som var relaterad till e-postmeddelandet och tidsstämplar relaterade till filåtgärder som du ska lägga till i nästa steg.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    
  6. Använd sedan SHA256-värdet från tabellen EmailAttachmentInfo för att hitta DeviceFileEvents (filåtgärder som hände på slutpunkten) för den hash-filen. Det vanliga fältet är SHA256-hash för den bifogade filen.

    Den resulterande tabellen innehåller nu information från slutpunkten (Microsoft Defender för slutpunkt), till exempel enhetsnamn, vilken åtgärd som gjordes (i detta fall filtrerad för att endast inkludera FileCreated-händelser) och var filen lagrades. Kontonamnet som är kopplat till processen inkluderas också.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    

    Nu har du skapat en fråga som identifierar alla inkommande e-postmeddelanden där användaren öppnade eller sparade den bifogade filen. Du kan också förfina den här frågan för att filtrera fram specifika avsändardomäner, filstorlekar, filtyper och så vidare.

  7. Funktioner är en särskild typ av koppling, som gör att du kan hämta mer TI-data om en fil, t.ex. dess utforskar- och utfärdareinformation. Om du vill ha mer information om filen kan du använda funktionen FileProfile()berikande:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    | distinct SHA1
    | invoke FileProfile()
    

Skapa en identifiering

När du har skapat en fråga som identifierar information som du vill få aviseringar om om de skulle hända i framtiden, kan du skapa en anpassad identifiering från frågan.

Anpassade identifieringar kör frågan enligt den frekvens du har angett, och resultaten av frågorna skapar säkerhetsvarningar baserat på de påverkade tillgångar du väljer. Dessa aviseringar är korrelerade till incidenter och kan vara triangelde som alla andra säkerhetsvarningar som genereras av någon av produkterna.

  1. Ta bort rad 7 och 8 på frågesidan som lades till i steg 7 i Gå i instruktionerna för sökning och klicka på Skapa identifieringsregel.

    Exempel på var du kan klicka på skapa identifieringsregel på den avancerade sidan för sökning.

    Anteckning

    Om du klickar på Skapa identifieringsregel och frågan innehåller syntaxfel sparas inte identifieringsregeln. Dubbelkolla frågan för att säkerställa att det inte uppstår några fel.

  2. Fyll i de obligatoriska fälten med informationen som gör att säkerhetsteamet förstår varningen, varför den skapades och vilka åtgärder du förväntar dig att de ska vidta.

    Exempel på sidan skapa identifieringsregel där du kan definiera aviseringsinformation.

    Se till att du fyller i fälten tydligt för att ge nästa användare ett välgrundat beslut om aviseringen för identifieringsregeln

  3. Välj vilka enheter som påverkas i den här aviseringen. I det här fallet väljer du Enhet och postlåda.

    Exempel på sidan skapa identifieringsregel där du kan välja parametrar för de berörda enheterna.

  4. Fastställ vilka åtgärder som ska vidtas om aviseringen utlöses. I så fall kör du en antivirussökning, men andra åtgärder kan också vidtas.

    Exempel på sidan skapa identifieringsregel, där du kan köra en antivirussökning när en avisering utlöses för att hantera hot.

  5. Välj omfattning för aviseringsregeln. Eftersom den här frågan berör enheter är enhetsgrupper relevanta i den här anpassade identifieringen enligt Microsoft Defender för Slutpunktskontext. När du skapar en anpassad identifiering som inte inkluderar enheter som påverkade enheter gäller inte omfattningen.

    Exempel på sidan skapa identifieringsregel där du kan ange omfattningen för aviseringsregeln hanterar dina förväntningar på resultaten som visas.

    För det här pilottestet kanske du vill begränsa regeln till en delmängd av testenheterna i produktionsmiljön.

  6. Välj Skapa. Välj sedan Anpassade identifieringsregler i navigeringsfönstret.

    Exempel på alternativet Anpassade identifieringsregler på menyn.

    Exempel på sidan identifieringsregler som visar information om regeln och körningen.

    På den här sidan kan du välja identifieringsregel, vilket öppnar en informationssida.

    Exempel på sidan med e-postbilagor där du kan se status för regelkörningen, utlösade aviseringar och åtgärder, redigera identifieringen och så vidare.

Expertutbildning om avancerad sökning

Tracking the adversary is a webcast series for new security analysts and seasoned threats. Du får lära dig grunderna i avancerad sökning hela vägen till att skapa avancerade frågor.

Se Få expertutbildning om avancerad sökning för att komma igång.

Skapa en Microsoft 365 Defender utvärderingsmiljö