问七个问题完成事件调查！微软Security Copilot的大模型经典用例

安全事件调查一直是费时费力的工作，需要结合完整的数据及深入广泛的经验才能完成，对分析师的能力和数量都要求很高，遇到复杂的问题，需要多个专家共同开研判会，谁都没有足够的资源，这个问题一直是安全运营头疼的问题。

如何高效地进行调查，微软的security copilot作了很好的示范，并且发布了一个用例，如何通过简单的自然语言交互完成事件调查，很酷，有点科幻的感觉。

调查过程

模拟一个XDR分析师的工作：

第一步：检索分配的最新 Microsoft Defender XDR 事件并汇总与其相关的警报。

直接问Copilot：

分配给我的最新活跃 Defender 事件是什么angus.macgregor@contoso.com？对其进行总结，包括与其相关的警报。

Copilot的回答包括三个部分：

1)Copilot的动作：选择M365，取出数据，处理消息，准备回答，及各动作的用时。

2）展示查到的准确消息，事件号和相关内容，这个事件是“可能在终端上对PRT(Primary Refresh Token)的尝试访问”,中级告警。

3）建议行动：看告警有效性，影响范围，遏制和迁移违规行为等。

如下图：

看起来可能是凭证被盗。按照建议的操作开始确定事件范围并验证警报。

第二步，关注特定实体以获取有关它们的更多信息。

问Copilot：

详细说明此警报的细节，包括所涉及的实体。

这次，Copilot又换个了系统找数据，这个系统是Fusion.

现在有了一个用户帐户和设备需要进一步调查，设备不活跃，IP为0.0.0.0,都不正常。在这种情况下，先了解有关受影响用户的更多信息，然后再深入了解设备攻击的详细信息。

第三步，获取有关此用户的更多信息以指导后续步骤。具有这个凭证的人下一步可能采取什么类型的行动？

问Copilot：

告诉我更多有关用户实体的信息。

Copilot这次到Entra找数据（Entra是身份保护系统）,得到准确的信息回答

此用户在销售部门工作。如果她的凭据被盗，这可能会影响销售数据。但XDR里的数据并不全，在 Sentinel 工作区有一个 SAP 解决方案来帮助检测那里的威胁，需要去Sentinel里查一下（Sentinel是微软的SIEM，有更完整的数据）。此 Defender 警报是否与 Microsoft Sentinel 事件有关？首要任务是确定此用户在 SAP 中是否有任何可疑活动。

第四步，使用已保存的搜寻查询将实体与 Sentinel 事件关联起来。

手动激活自然语言到 Sentinel KQL插件的建议提示来运行您的查询。

这次是分析师指定的系统，Sentinel。

Copilot辅助生成了

查询结果：

SAP数据是重要信息，现在显示SAP上有来自恶意IP的文件下载， 相关事件现在是首要任务。

第五步，将您的调查转向与原始警报中的用户相关的 SAP 事件。

问Copilot：

详细说明 Sentinel 事件 33805 并向我提供有关实体的详细信息。

这次是Copilot自己在Sentinel上继续查询。

返回的信息显示确实这个用户在SAP系统上有登录

第六步，了解有关 IP 地址实体的更多信息并检查它是如何被判定为恶意的。

问Copilot：

请提供有关该 IP 地址的更多详细信息以及它为什么是恶意的？

这次Copilot自己选择了威胁情报(Thread Intelligence)

第七步，创建摘要报告

确定事件，通过向领导层和事件响应团队提供摘要来节省升级过程中的时间。

命令Copilot：

根据调查结果撰写报告。首先说明您对原始 Defender 事件的评估以及凭证盗窃威胁是否真实存在。最后说明该威胁与 Sentinel 事件（有关将文件下载到恶意 IP）之间的关系。

报告一直是麻烦且费时的工作，现在155秒直接自动生成，效果杠杠的。

第八步：固定最有用的提示响应并编辑会话名称。

您已达到目标并确定分配的 Microsoft Defender XDR 事件是真正的威胁。可以将事件升级了，一般认为，事件调查到此，即算一个段落。

更详细的信息可以参考：

https://learn.microsoft.com/en-us/copilot/security/triage-alert-with-enriched-threat-intel

总结

通过与copilot的问答就可以完成事件调查，这是一个巨大的进步。大大提升效率，节省成本。安全运营关键有两个，一个是分析师的能力和经验，二是数据，能够正确获取数据，问题已经解决了一多半。

同时我们也可以看到，调查过程仍然非常依赖分析师的经验，Copilot的建议并不是非常有效，这也是它只能作为副驾，而不能自动化的根本原因，这说明模型的能力还有待提升，包括分析能力和规划能力。

Copilot对数据的接入和调取，表现出非常强大的能力。除了第四步，Copilot都是根据分析师需求直接定位到系统，并获取数据返回。这个动作，看上去没什么，但它确定了一个最重要的功能，就是路由能力，它超越了目前大模型的通用能力，是当前应用实现好坏的关键。这块如何实现，我们下一篇专门分析。

声明：本文来自AI与安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。