安全事件调查一直是费时费力的工作,需要结合完整的数据及深入广泛的经验才能完成,对分析师的能力和数量都要求很高,遇到复杂的问题,需要多个专家共同开研判会,谁都没有足够的资源,这个问题一直是安全运营头疼的问题。
如何高效地进行调查,微软的security copilot作了很好的示范,并且发布了一个用例,如何通过简单的自然语言交互完成事件调查,很酷,有点科幻的感觉。
模拟一个XDR分析师的工作:
第一步:检索分配的最新 Microsoft Defender XDR 事件并汇总与其相关的警报。
直接问Copilot:
分配给我的最新活跃 Defender 事件是什么angus.macgregor@contoso.com?对其进行总结,包括与其相关的警报。
Copilot的回答包括三个部分:
1)Copilot的动作:选择M365,取出数据,处理消息,准备回答,及各动作的用时。
2)展示查到的准确消息,事件号和相关内容,这个事件是“可能在终端上对PRT(Primary Refresh Token)的尝试访问”,中级告警。
3)建议行动:看告警有效性,影响范围,遏制和迁移违规行为等。
如下图:
看起来可能是凭证被盗。按照建议的操作开始确定事件范围并验证警报。
第二步,关注特定实体以获取有关它们的更多信息。
问Copilot:
详细说明此警报的细节,包括所涉及的实体。
这次,Copilot又换个了系统找数据,这个系统是Fusion.
现在有了一个用户帐户和设备需要进一步调查,设备不活跃,IP为0.0.0.0,都不正常。在这种情况下,先了解有关受影响用户的更多信息,然后再深入了解设备攻击的详细信息。
第三步,获取有关此用户的更多信息以指导后续步骤。具有这个凭证的人下一步可能采取什么类型的行动?
问Copilot:
告诉我更多有关用户实体的信息。
Copilot这次到Entra找数据(Entra是身份保护系统),得到准确的信息回答
此用户在销售部门工作。如果她的凭据被盗,这可能会影响销售数据。但XDR里的数据并不全,在 Sentinel 工作区有一个 SAP 解决方案来帮助检测那里的威胁,需要去Sentinel里查一下(Sentinel是微软的SIEM,有更完整的数据)。此 Defender 警报是否与 Microsoft Sentinel 事件有关?首要任务是确定此用户在 SAP 中是否有任何可疑活动。
第四步,使用已保存的搜寻查询将实体与 Sentinel 事件关联起来。
手动激活自然语言到 Sentinel KQL插件的建议提示来运行您的查询。
这次是分析师指定的系统,Sentinel。
Copilot辅助生成了
查询结果:
SAP数据是重要信息,现在显示SAP上有来自恶意IP的文件下载, 相关事件现在是首要任务。
第五步,将您的调查转向与原始警报中的用户相关的 SAP 事件。
问Copilot:
详细说明 Sentinel 事件 33805 并向我提供有关实体的详细信息。
这次是Copilot自己在Sentinel上继续查询。
返回的信息显示确实这个用户在SAP系统上有登录
第六步,了解有关 IP 地址实体的更多信息并检查它是如何被判定为恶意的。
问Copilot:
请提供有关该 IP 地址的更多详细信息以及它为什么是恶意的?
这次Copilot自己选择了威胁情报(Thread Intelligence)
第七步,创建摘要报告
确定事件,通过向领导层和事件响应团队提供摘要来节省升级过程中的时间。
命令Copilot:
根据调查结果撰写报告。首先说明您对原始 Defender 事件的评估以及凭证盗窃威胁是否真实存在。最后说明该威胁与 Sentinel 事件(有关将文件下载到恶意 IP)之间的关系。
报告一直是麻烦且费时的工作,现在155秒直接自动生成,效果杠杠的。
第八步:固定最有用的提示响应并编辑会话名称。
您已达到目标并确定分配的 Microsoft Defender XDR 事件是真正的威胁。可以将事件升级了,一般认为,事件调查到此,即算一个段落。
更详细的信息可以参考:
https://learn.microsoft.com/en-us/copilot/security/triage-alert-with-enriched-threat-intel
通过与copilot的问答就可以完成事件调查,这是一个巨大的进步。大大提升效率,节省成本。安全运营关键有两个,一个是分析师的能力和经验,二是数据,能够正确获取数据,问题已经解决了一多半。
同时我们也可以看到,调查过程仍然非常依赖分析师的经验,Copilot的建议并不是非常有效,这也是它只能作为副驾,而不能自动化的根本原因,这说明模型的能力还有待提升,包括分析能力和规划能力。
Copilot对数据的接入和调取,表现出非常强大的能力。除了第四步,Copilot都是根据分析师需求直接定位到系统,并获取数据返回。这个动作,看上去没什么,但它确定了一个最重要的功能,就是路由能力,它超越了目前大模型的通用能力,是当前应用实现好坏的关键。这块如何实现,我们下一篇专门分析。
END
关联阅读:
CrowdStrike的AI能力分析
CrowdStrike 的NG-SIEM,是如何使用AI的?
点关注,不迷路。