Examiner un incident et les entités suspectes associées

  • Article

Pendant un incident, les analystes de sécurité sont généralement chargés d’examiner les alertes et de collecter des informations pertinentes associées à l’incident. Ils effectuent des analyses de la cause racine et mettent en corrélation les informations provenant d’une gamme de sources pour déterminer l’impact potentiel sur l’organisation.

Selon le scénario, les analystes peuvent avoir besoin d’analyser les journaux, d’examiner les programmes malveillants, les fichiers ou les scripts d’ingénierie inverse, et d’examiner les URL observées.

L’un des composants essentiels d’une enquête consiste à comprendre les étapes de correction à prendre et à transmettre efficacement les découvertes importantes afin de tenir les parties prenantes informées de l’état actuel de l’incident.

Dans cet exemple, Copilot for Security est utilisé pour effectuer une investigation complète des incidents en collectant des informations contextuelles à partir d’alertes, en analysant un script suspect et en générant une évaluation accompagnée d’un ensemble d’étapes de correction.

Étapes

  1. Commencez à enquêter dans Microsoft Defender XDR.

    Copilot pour la sécurité est intégré à Microsoft Defender XDR. Dans une page d’incident, sélectionnez le bouton Copilot pour obtenir un résumé d’un incident et obtenir des détails tels que l’heure et la date de début d’une attaque, l’entité ou la ressource qui a démarré l’attaque et les ressources impliquées dans l’attaque.

    Capture d’écran du résumé des incidents dans Microsoft Defender XDR

  2. Analysez le script suspect.

    Microsoft Defender XDR signale quand un script suspect s’exécute. Utilisez Copilot pour la sécurité pour expliquer ce que fait le script suspect.

    Remarque

    Les fonctions d’analyse de script sont en développement en continu. L’analyse des scripts dans d’autres langages que PowerShell, par lot et, par bash est en cours d’évaluation.

    En un clic sur un bouton, une description s’affiche, ainsi qu’un résumé global du script.

    Capture d’écran de l’analyseur de script dans Microsoft Defender XDR

  3. Étendez l’enquête dans Copilot pour la sécurité à l’aide d’invites en langage naturel et d’autres plug-ins.

    Poursuivez votre enquête dans l’expérience autonome de Copilot pour la sécurité en sélectionnant Ouvrir dans Copilot pour la sécurité.

    Capture d’écran montrant comment examiner en sélectionnant le bouton Ouvrir dans Copilot for Security

    L’expérience autonome vous permet d’étendre l’investigation à l’aide d’invites en langage naturel.

    Capture d’écran du script analysé affiché dans Copilot for Security

  4. Pour obtenir une compréhension plus complète de l’incident, utilisez Copilot for Security pour collecter plus d’informations sur l’activité suspecte observée dans le script de ligne de commande.

    Invite utilisée :

    Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ?

    Réponse :

    Capture d’écran d’une réponse Copilot for Security

    La réponse indique que les différents indicateurs du script sont associés à des acteurs de menace connus. Vous pouvez épingler cette réponse comme élément d’information critique qui peut être utilisé ultérieurement.

  5. Utilisez Copilot pour la sécurité pour fournir une évaluation de l’incident avec des preuves de prise en charge et un ensemble de recommandations.

    Invite utilisée :

    Récapitulez les conclusions de l’enquête et concluez avec un ensemble de recommandations.

    Réponse :

    Capture d’écran du résumé d’un incident

    Conseil

    Vous pouvez exporter la réponse pour vous y référer ultérieurement. Vous avez également la possibilité de partager l’intégralité de la session avec d’autres analystes. Les autres membres de l’équipe qui examinent l’incident peuvent tirer parti du tableau d’épingle pour obtenir un résumé complet des étapes d’investigation, ce qui leur fait gagner un temps précieux.

    Capture d’écran du tableau d’épingle du rapport d’incident

Conclusion

Dans ce cas d’usage, Copilot for Security a aidé à mener une investigation approfondie d’un incident. À l’aide du langage naturel, les analystes sont en mesure d’obtenir une explication de ce que fait le script suspect et de vérifier que les indicateurs dans le script sont associés à des acteurs de menace connus.

En outre, Copilot for Security a généré une évaluation par le biais d’un rapport de synthèse et a fourni un ensemble de recommandations pour contenir l’incident, qui peuvent également être utilisées pour un niveau supérieur des compétences.