Cas d’usage : Examiner un incident et les entités suspectes associées

  • Article

Rôle mentionné : Analyste SOC TI analysant des scripts suspects

Scénario

Pendant un incident, les analystes de sécurité sont généralement chargés d’examiner les alertes et de collecter des informations pertinentes associées à l’incident. Ils effectuent des analyses de la cause racine et mettent en corrélation les informations provenant d’une gamme de sources pour déterminer l’impact potentiel sur l’organisation.

Selon le scénario, les analystes peuvent avoir besoin d’analyser les journaux, d’examiner les programmes malveillants, les fichiers ou les scripts d’ingénierie inverse, et d’examiner les URL observées.

L’un des composants essentiels d’une enquête consiste à comprendre les étapes de correction à prendre et à transmettre efficacement les découvertes importantes afin de tenir les parties prenantes informées de l’état actuel de l’incident.

Dans cet exemple, Security Copilot est utilisé pour effectuer une investigation complète des incidents en collectant des informations contextuelles à partir d’alertes, en analysant un script suspect et en générant une évaluation accompagnée d’un ensemble d’étapes de correction.

Étapes

  1. Commencez à enquêter dans Microsoft Defender XDR.

    Security Copilot est intégrée à Microsoft Defender XDR. Dans une page d’incident, sélectionnez le bouton Copilot pour obtenir un résumé d’un incident et obtenir des détails tels que l’heure et la date de début d’une attaque, l’entité ou la ressource qui a démarré l’attaque et les ressources impliquées dans l’attaque.

    Capture d’écran du résumé de l’incident dans Microsoft Defender XDR

  2. Analysez le script suspect.

    Microsoft Defender XDR indicateurs lorsqu’un script suspect s’exécute. Utilisez Security Copilot pour expliquer ce que fait le script suspect.

    Remarque

    Les fonctions d’analyse de script sont en développement en continu. L’analyse des scripts dans d’autres langages que PowerShell, par lot et, par bash est en cours d’évaluation.

    En un clic sur un bouton, une description s’affiche, ainsi qu’un résumé global du script.

    Capture d’écran de l’analyseur de script dans Microsoft Defender XDR

  3. Étendez l’investigation dans Security Copilot à l’aide d’invites en langage naturel et d’autres plug-ins.

    Poursuivez votre investigation dans l’expérience autonome de Security Copilot en sélectionnant Ouvrir dans Security Copilot.

    Capture d’écran montrant comment examiner en sélectionnant le bouton Ouvrir dans Security Copilot

    L’expérience autonome vous permet d’étendre l’investigation à l’aide d’invites en langage naturel.

    Capture d’écran du script analysé affiché dans Security Copilot

  4. Pour obtenir une compréhension plus complète de l’incident, utilisez Security Copilot pour collecter plus d’informations sur l’activité suspecte observée dans le script de ligne de commande.

    Invite utilisée :

    Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ?

    Réponse :

    Capture d’écran d’une réponse Security Copilot

    La réponse indique que les différents indicateurs du script sont associés à des acteurs de menace connus. Vous pouvez épingler cette réponse comme élément d’information critique qui peut être utilisé ultérieurement.

  5. Utilisez Security Copilot pour fournir une évaluation de l’incident avec des preuves à l’appui et un ensemble de recommandations.

    Invite utilisée :

    Récapitulez les conclusions de l’enquête et concluez avec un ensemble de recommandations.

    Réponse :

    Capture d’écran du résumé d’un incident

    Conseil

    Vous pouvez exporter la réponse pour vous y référer ultérieurement. Vous avez également la possibilité de partager l’intégralité de la session avec d’autres analystes. Les autres membres de l’équipe qui examinent l’incident peuvent tirer parti du tableau d’épingle pour obtenir un résumé complet des étapes d’investigation, ce qui leur fait gagner un temps précieux.

    Capture d’écran du tableau d’épingle du rapport d’incident

Conclusion

Dans ce cas d’usage, Security Copilot aidé à mener une investigation approfondie d’un incident. À l’aide du langage naturel, les analystes sont en mesure d’obtenir une explication de ce que fait le script suspect et de vérifier que les indicateurs dans le script sont associés à des acteurs de menace connus.

En outre, Security Copilot généré une évaluation par le biais d’un rapport de synthèse et fourni un ensemble de recommandations pour contenir l’incident, qui peuvent également être utilisées pour mettre à niveau les compétences.