調查事件和相關聯的可疑實體
在事件期間,安全性分析師通常負責調查警示並收集與事件相關聯的相關信息。 他們會進行根本原因分析,並將來自各種來源的資訊相互關聯,以判斷對組織的潛在影響。
根據案例,分析師可能需要分析記錄、檢查惡意程式碼、反向設計檔案或指令碼,以及調查觀察到的 URL。
調查的基本元件涉及瞭解要採取哪些補救步驟,並有效地傳達重大發現,讓項目關係人掌握事件的目前狀態。
在此範例中,Copilot for Security 是用於執行完整的事件調查,方法是從警示收集內容相關信息、分析可疑的指令碼和 URL,以及產生伴隨一組補救步驟的評估。
步驟
在 Microsoft Defender 全面偵測回應中開始調查。
Copilot for Security 已整合到 Microsoft Defender 全面偵測回應 中。 從 [事件] 頁面選取 [Copilot for Security] 按鈕以取得事件的摘要,並取得詳細數據,例如攻擊開始的時間和日期、啟動攻擊的實體或資產,以及參與攻擊的資產。
分析可疑的指令碼。
Microsoft Defender 全面偵測回應 執行可疑腳本時的旗標。 使用 Copilot for Security 說明可疑指令碼的作用。
注意事項
指令碼分析函數持續在開發中。 正在評估以 PowerShell、批次和 bash 外的語言分析指令碼。
按兩下按鈕,即會顯示描述以及腳本的整體摘要。
使用自然語言提示和更多外掛程式,延長 Copilot for Security 中的調查。
透過選取 在 Copilot for Security 中開啟,在 Copilot for Security 的獨立體驗中繼續調查。
獨立體驗可讓您使用自然語言提示來擴充調查。
若要更全面地瞭解事件,請使用 Copilot for Security 收集命令行腳本中所述可疑基礎結構的詳細資訊。
取得命令行文本中所述基礎結構的詳細數據。
使用的提示:
您可以告訴我們關於指令碼中的指標信譽嗎? 它們是否為惡意? 如果是,為什麼?
回應:
回應表示 IP 與已知的威脅群組相關聯。 您可以將此回應釘選為稍後可使用的重要資訊片段。
使用 Copilot for Security 提供事件評估與支持證據和一組建議。
使用的提示:
使用下列資訊撰寫報告。 您可以將事件分類為確判為真、或誤判為真。 以信賴等級為您選擇提供支持證據。 摘要調查的結果,最終總結出一組建議。
回應:
提示
您可以匯出回應作為日後參考。 您也可以選擇與其他分析師共用整個工作階段。 其他正在檢閱事件的小組成員可以利用釘選面板來取得調查步驟的完整摘要,以節省他們寶貴的時間。
總結
在此使用案例中,Copilot for Security 協助對事件進行徹底的調查。 使用自然語言,分析師可以取得可疑指令碼執行的說明,並驗證可疑 IP 位址的信譽。
此外,Copilot for Security 透過摘要報告產生評估,並提供一組建議來包含事件,這也可以用來提升技能。