调查事件和关联的可疑实体

  • 项目

在事件期间,安全分析师通常负责调查警报并收集与事件相关的相关信息。 分析师会进行根本原因分析并关联一系列源中的信息,以确定对组织的潜在影响。

根据具体情况,分析师可能需要分析日志、检查恶意软件、逆向工程文件或脚本,并调查观察到的 URL。

调查的一个重要组成部分是了解应采取的修正步骤,并有效传达重大发现,以便利益干系人了解事件的当前状态。

在此示例中,Copilot for Security 用于通过从警报中收集上下文信息、分析可疑脚本以及生成评估以及一组修正步骤来执行全面的事件调查。

步骤

  1. 开始在 Microsoft Defender XDR 中进行调查。

    安全 Copilot 已集成在 Microsoft Defender XDR 中。 在事件页中,选择 “Copilot ”按钮以获取事件摘要,并获取详细信息,例如攻击开始的时间和日期、发起攻击的实体或资产,以及攻击所涉及的资产。

    Microsoft Defender XDR 中事件摘要的屏幕截图

  2. 分析可疑脚本。

    执行可疑脚本时,Microsoft Defender XDR 标志。 使用安全 Copilot 解释可疑脚本正在执行的操作。

    注意

    脚本分析功能正在不断开发中。 正在评估 PowerShell、批处理和 bash 以外的语言脚本分析。

    单击按钮后,将显示说明以及脚本的总体摘要。

    Microsoft Defender XDR 中的脚本分析器的屏幕截图

  3. 使用自然语言提示和更多插件在安全 Copilot 中扩展调查。

    通过选择“在 安全 Copilot 中打开”,在安全 Copilot 的独立体验中继续进行调查。

    如何通过选择“在 Copilot 中打开安全”按钮进行调查的屏幕截图

    独立体验允许使用自然语言提示来扩展调查。

    Copilot for Security 中显示的已分析脚本的屏幕截图

  4. 若要更全面地了解事件,请使用 Copilot for Security 收集有关命令行脚本中看到的可疑活动的详细信息。

    所用提示:

    你可以告诉我有关脚本中指示器信誉的哪些信息? 他们是恶意的吗? 如果是,为什么?

    响应:

    Copilot for Security 响应的屏幕截图

    响应指示脚本中的几个指标与已知的威胁参与者相关联。 可以将此响应固定为稍后可以使用的关键信息片段。

  5. 使用 安全 Copilot 提供时间评估,并提供支持证据和一组建议。

    所用提示:

    汇总调查结果,并在最后提供一组建议。

    响应:

    事件摘要的屏幕截图

    提示

    可以导出响应以供将来参考。 还可以选择与其他分析师共享整个会话。 正在审查事件的其他团队成员可以利用引脚板获取调查步骤的完整摘要,从而节省宝贵的时间。

    事件报告引脚板的屏幕截图

总结

在此用例中,Copilot for Security 帮助对事件进行了彻底调查。 使用自然语言,分析师能够了解可疑脚本正在执行的操作,并验证脚本中的指标是否与已知的威胁参与者相关联。

此外,Copilot for Security 通过摘要报告生成了评估,并提供了一组包含事件的建议,这些建议也可用于提升技能水平。