MS Defender for Endpoint 的執行證據和實體調查

Microsoft Defender for Endpoint 提供在環境中發現的取證工件的資訊。檔案、使用者帳戶、IP 位址和網域都有特定的可觀察頁面。

如果我們被被指派調查了一個資安事故，其中包含與可疑 PowerShell 命令列相關的告警。

我們首先查看事故並了解所有相關告警、設備和證據。證據標籤(evidence tab)顯示三個檔案、六個流程和一種持久性方法。其中一個檔案的名稱是我們以前從未見過的。我們開啟文件頁面以查看有關該文件的所有已知資訊。

除了這次事故之外，該檔案從未在組織中見過。如果情況是惡意軟體，那麼最好知道該檔案是否僅影響這台電腦。我們決定提交對該檔案的深入分析，以查看該檔案是否執行任何可疑活動。結果顯示可疑活動；然後，從檔案頁面中選擇Add Indicator，以確保 Defender for Endpoint 將使用該指示器進行偵測。

調查檔案

調查一個特定告警、行為或事故關聯的檔案的詳細資訊，以幫助確定該檔案是否表現出惡意活動、識別攻擊動機並了解違規的潛在範圍。

有多種方法可以存取特定檔案的詳細設定檔頁面。例如，可以使用搜尋功能，從Alert process tree, Incident graph, Artifact timeline中選擇，或選擇設備時間軸中列出的事件。可以從file view中的以下部分取得資訊：

File details, Malware detection, File prevalence

• File details, malware detection, and file prevalence
• Alerts
• Observed in organization
• Deep analysis
• File names

位於 profile page頂部，file information cards上方。可以在此處執行的操作包括：

• Stop and quarantine
• Add/edit indicator
• Download file
• Consult a threat expert
• Action center

Detailed profile page

檔案詳細資料、事件、惡意軟體偵測和file prevalence cards顯示有關檔案的各種屬性。我們將看到檔案的 MD5、病毒總數偵測率和 Microsoft Defender AV 偵測（如果有買）等詳細資訊，以及檔案在全球和組織內的流行程度。

「Alerts」頁籤提供與該檔案關聯的告警清單。此清單涵蓋的資訊大多與Alerts queue相同，但受影響設備所屬的設備群組除外。我們可以從column headers上方的工具列中選擇「自訂列」來選擇顯示的資訊類型。

Organization tab中的「Observed」可讓我們指定日期範圍以查看已使用該檔案觀察到的裝置。此選項最多顯示 100 個裝置。若要查看包含該檔案的所有設備，請從選項列標題上方的操作選單中選擇匯出，將標籤匯出為 CSV 檔案。

使用slider或range selector快速指定要檢查涉及檔案的事件的時間段。可以指定小至一天的時間窗口。這將只查看當時與該 IP 位址通訊的檔案，從而大大減少不必要的搜尋。

透過「Deep analysis」選項，可以提交檔案進行深度分析，以發現有關檔案行為及其在組織內的影響的更多詳細資訊。提交檔案後，一旦有結果，深度分析報告將顯示在此頁籤中。如果深度分析沒有發現任何內容，報告將為空，結果空間將保持空白。

深度檔案分析

網路安全調查通常由告警觸發。告警與一個或多個觀察到的檔案（通常是新的或未知的）相關。點擊檔案會將我們帶到file view，可以在其中查看檔案的metadata。為了豐富與檔案相關的資料，我們可以提交檔案進行深入分析。

深度分析功能在安全、儀表齊全的雲端環境中執行檔案。深入分析結果顯示檔案的活動、觀察到的行為以及相關的工件，例如刪除的檔案、註冊表修改以及與 IP 的通訊。深度分析目前支援對PE(portable executable) 檔案（包括 .exe 和 .dll 檔案）的廣泛分析。

對檔案進行深入分析需要幾分鐘的時間。檔案分析完成後，「深度分析」頁籤將更新以顯示最新可用結果的日期和時間以及報告本身的摘要。

深度分析摘要包括觀察到的行為清單，其中一些行為可能表明惡意活動，以及可觀察到的內容，包括聯繫的 IP 和在磁碟上建立的檔案。如果未找到任何內容，這些部分將顯示一條簡短訊息。

深度分析結果與威脅情報進行匹配，任何匹配都會產生適當的告警。

使用深度分析功能來調查任何檔案的詳細信息，通常是在調查告期間或我們懷疑惡意行為的任何其他原因。此功能可在profile page頁面的「深度分析」頁籤中使用。

當檔案在 Defender for Endpoint backend sample collection中可用時，或在支援提交進行深度分析的 Windows 10 裝置上觀察到該檔案時，就會啟用提交進行深度分析。如果在 Windows 10 裝置上未觀察到該檔案，也可以透過 Microsoft Security Center Portal手動提交sample，然後等待「Submit for deep analysis」按鈕可以按下去。

收集Sample後，Defender for Endpoint 在安全環境(一個snadbox)中執行該檔案，並建立觀察到的行為和相關工件的詳細報告，例如裝置上丟棄的檔案、與 IP 的通訊以及註冊表(registry)修改。

提交檔案進行深入分析：

1. 選擇要提交進行深入分析的檔案。可以從以下任意視圖中選擇或搜尋檔案：
   — Alerts:從工件時間軸的描述或詳細資訊中選擇檔案鏈接
   — Devices list:從組織部分的設備的描述或詳細資訊中選擇檔案鏈接
   — Search Box:從下拉式選單中選擇檔案並輸入檔案名
2. In the Deep analysis tab of the file view, select Submit.

這個分析僅支援 PE 文件，包括 .exe 和 .dll 文件。將顯示progress bar並提供有關分析不同階段的資訊。分析完成後，我們可以查看報告。

檢視deep analysis reports

檢視 Defender for Endpoint 提供的深度分析報告，以了解對我們提交的檔案進行深度分析的詳細資訊。此功能file view在中可用。

我們可以查看提供以下部分詳細資訊的綜合報告：

• Behaviors
• Observables

提供的詳細資訊可以幫助調查是否有潛在攻擊的跡象。

1. Select the file you submitted for deep analysis.
2. Select the Deep analysis tab. If there are any previous reports, the report summary will appear in this tab.

如果在嘗試提交檔案時遇到問題，請嘗試以下每個故障排除步驟。

1. 確保相關檔案是 PE 檔案。 PE 檔案通常具有 .exe 或 .dll 副檔名（可執行程式或應用程式）。
2. 確保服務可以存取該檔案，並且該檔案仍然存在，並且沒有損壞或修改。
3. 如果佇列(Queue)已滿或出現臨時連線或通訊錯誤，可以稍等片刻並嘗試再次提交檔案。
4. 如果未配置sample collection policy，則預設行為是允許樣本收集。如果已配置，請在再次提交檔案之前驗證政策設定是否允許樣本收集。配置範例收集後，請檢查以下Register value：

• Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
• Name: AllowSampleCollection
• Type: DWORD
• Hexadecimal value:
• Value = 0 — block sample collection
• Value = 1 — allow sample collection

5. 透過群組原則更改組織單位。

File response actions

透過停止和隔離檔案或封鎖檔案來快速回應偵測到的攻擊。對檔案執行操作後，可以在Action center查看活動詳細資訊。檔案的詳細profile頁面上提供了回應行動(Response actions)。

回應行動沿著檔案頁面頂部運行，包括：

• Stop and Quarantine File
• Add Indicator
• Download file
• Action center

Stop and quarantine file

我們可以透過停止惡意進程(malicious process)並隔離觀察到的檔案來遏制組織中的攻擊。

我們只能在以下情況下採取此行動：

• 正在執行操作的裝置運行的是 Windows 10 版本 1703 或更高版本
• 該檔案不屬於受信任的第三方發布者或未經 Microsoft 簽名
• Microsoft Defender 防毒軟體必須至少在被動模式下運作。

停止和隔離檔案操作包括停止正在執行的進程、隔離檔案以及刪除持久性資料（例如任何registry keys）。停止和隔離檔案操作僅限於最多 1000 個裝置。若要在大量裝置上停止檔案，參閱Add indicator to block or allow file。

1. 選擇要停止並隔離的檔案。可以從以下任意視圖中選擇檔案或使用搜尋框：
   Alerts — 從Artifact timeline的描述或詳細資訊中選擇相應的鏈接
   Search bar — 從下拉式選單中選擇檔案並輸入檔案名
2. 轉到頂部欄並選擇Stop and Quarantine File。
3. 說明原因，然後選擇確認。

Action center顯示提交資訊：

- Submission time - Shows when the action was submitted.

- Success - Shows the number of devices where the file has been stopped and quarantined.

- Failed - Shows the number of devices where the action failed and details about the failure.

- Pending - Shows the number of devices where the file is yet to be stopped and quarantined from. This can take time for cases when the device is offline or not connected to the network.

選擇任一status indicators可查看有關該行動的更多資訊。例如，選擇「Failed」可查看操作失敗的位置。當檔案從裝置中刪除時，使用者會收到通知。

為設備時間軸中檔案被停止和隔離的每個設備添加一個新事件。對於在整個組織中廣泛使用的檔案，在採取行動以驗證行動是否符合預期之前會顯示告警。

如果在調查後確定檔案是乾淨的，則可以roll back並從隔離區中刪除檔案。在隔離檔案的每台設備上執行以下命令。

1. 在裝置上開啟提升的命令列提示符號：
   — 轉到“Start”並輸入 cmd。
   — 右鍵單擊命令提示字元並選擇以管理員身份執行。
2. 輸入以下命令，然後按 Enter：

“%ProgramFiles%\Windows Defender\MpCmdRun.exe” –Restore –Name EUS:Win32/CustomEnterpriseBlock –All

Add indicator to block or allow a file

我們可以透過禁止潛在的惡意檔案或可疑的惡意軟體來防止攻擊在組織中進一步傳播。如果我們知道潛在的惡意 PE檔案，則可以封鎖它。此操作將封鎖在組織中的裝置上讀取、寫入或執行它。

要開始封鎖文件，首先需要在「Setting」中開啟「block」或「allow」功能。

當為檔案新增indicator hash時，可以選擇在組織中的裝置嘗試執行該檔案時發出告警並封鎖該檔案。被indicator自動封鎖的檔案不會顯示在檔案的Action center中，但告警仍會在Alert Queue中可見。若要停止封鎖檔案，請刪除指示器。您可以透過檔案設定檔頁面上的編輯指示器操作來執行此操作。此操作將在新增指標之前「 Add Indicator」操作所在的相同位置可見。也可以在「設定」頁面的Rules > Indicators下編輯指標。指標在此區域中按其檔案的雜湊值列出。

下載檔案

從回應操作中選擇「下載檔案」可下載包含檔案的受密碼保護的本機 .zip 檔案。當選擇此操作時，將出現一個彈出視窗。從彈出視窗中，可以記錄下載檔案的原因。也可以設定開啟檔案的密碼。如果 Defender for Endpoint 尚未儲存文件，將無法下載該文件。相反，會在同一位置看到“Collect file”按鈕。如果過去 30 天內未在組織中看到檔案，則Collect file將被停用。

在行動中心中檢視活動細節

行動中心提供有關對設備或檔案執行的操作的資訊。能夠查看以下詳細資訊：

• Investigation package collection
• Antivirus scan
• App restriction
• Device isolation

調查使用者帳號

識別具有最多告警的使用者號（在儀表板上顯示為「Users at risk」），並調查potentially compromised credentials的案例。或者，在調查告警或裝置時以關聯的使用者帳號為中心，以識別具有該使用者帳號的裝置之間可能的橫向移動。

可以在以下視圖中找到使用者帳號資訊：

• Dashboard
• Alert queue
• Device details page

這些視圖中提供了可點擊的使用者帳號連結。選擇該連結將進入 user account details page，其中顯示有關使用者帳號的更多詳細資訊。當調查使用者帳號實體時，我們將看到：

• User account details and logged on devices, role, log-on type, and other details
• Overview of the incidents and user’s devices
• Alerts related to this user
• Observed locations in the organization (devices logged on to)

左側的「User details pane」視窗提供有關使用者的資訊，例如相關的open incidents、active alerts、SAM name、SID、使用者登入的裝置數量、使用者首次和最後一次看到的時間、角色和登入訊息。根據啟用的整合功能，您將看到其他詳細資訊。

Overview tab顯示事故詳細資訊以及使用者已登入的裝置清單。可以展開裝置清單以查看每個裝置的登入事件的詳細資訊。

「Alerts」頁籤提供與使用者帳號關聯的告警清單。此清單是Alert queue的篩選視圖，顯示告警，其中使用者背景脈絡是所選使用者帳號、偵測到最後一次活動的日期、告警的簡短描述、與告警關聯的裝置、告警的嚴重性、告警在佇列中的狀態以及發給誰的告警。

透過「Observed in organization」頁籤，可以指定日期範圍以查看觀察到該使用者登入的裝置清單、每個裝置最頻繁和最不頻繁登入的使用者帳號以及每個裝置上觀察到的使用者總數。在Observed in organization的table中選擇一個item將展開該項目，顯示有關設備的更多詳細資訊。直接選擇項目中的連結會將帶到對應的頁面。

調查IP位置

檢查裝置和外部IP位址之間可能進行的通訊。

識別組織中與可疑或已知惡意 IP 位址通訊的所有裝置（C2 伺服器）有助於確定潛在的違規範圍。然後，可以隔離關聯的檔案和受感染的裝置。

我們可以在 IP address view中的下列部分找到資訊：

• IP worldwide / Reverse DNS names
  IP 位址詳細資訊部分顯示 IP 位址的屬性，例如其 ASN 及Reverse DNS names。
• Alerts related to this IP
  與此 IP 相關的告警部分提供與該 IP 關聯的告警清單。
• IP in organization
  organization中的 IP 部分提供有關組織中 IP 位址的相關程度的詳細資訊。
• Prevalence
  顯示有多少裝置已連接到此 IP 位址以及首次和最後一次看到該 IP 的時間。可以按時間段過濾此部分的結果；預設期限為 30 天。

最近觀察到的具有 IP 的設備

最近觀察到的具有 IP 的設備部分提供了在 IP 位址上觀察到的事件和關聯告警的時間順序視圖。

調查外部IP：

1. Select IP from the Search bar drop-down menu.
2. Enter the IP address in the Search field.
3. Select the search icon or press Enter.

這將顯示有關IP 位址的詳細資訊，包括註冊詳細資訊（如果有）、reverse IP（例如網域）、組織中與此IP 位址通訊的設備的相關度（在選定的時間段內）以及組織中的設備。

調查域名(Domain)

調查網域以查看企業網路中的裝置和伺服器是否已與已知的惡意網域進行通訊。可以使用搜尋功能或點擊裝置時間軸中的網域連結來調查網域。

可以在 URL view中查看以下部分的資訊：

• URL details, Contacts, Nameservers
• Alerts related to this URL
• URL in organization
• Most recent observed devices with URL

URL Worldwide部分列出了 URL、指向更多詳細資訊的連結、相關open incidents的數量以及告警的數量。

Incident顯示過去 180 天內事故中所有活動警報的長條圖(Bar chart)。

Prevalence提供有關特定時間段內組織內 URL 相關度的詳細資訊。

儘管預設時間段是過去的 30 天，但可以自訂範圍。可用的最短範圍是過去一天的相關率，而最長的範圍是過去六個月。

「Alerts」頁籤提供與 URL 關聯的告警清單。此處顯示的表格是「Alert queue」畫面上可見的告警的篩選版本，僅顯示與網域關聯的告警報、其嚴重性、狀態、關聯事件、分類、調查狀態等。

透過從列標題上方的操作選單中選擇自訂列，可以調整「警報」標籤以顯示更多或更少的資訊。也可以透過在同一選單上選擇每頁的項目來調整顯示的項目數量。

在Observed in organization tab提供了在 URL 上觀察到的事件和關聯告警的時間順序視圖。此選項包括時間軸和可自訂的表格，其中列出了事件詳細資訊，例如時間、設備以及所發生事件的簡要描述。

可以透過在表格標題上方的文字欄位中輸入日期來查看不同時間段的事件。也可以透過選擇時間軸的不同區域來自訂時間範圍。

調查網域：

1. Select URL from the Search bar drop-down menu.
2. Enter the URL in the Search field.
3. Select the search icon or press Enter. Details about the URL are displayed. Search results will only be returned for URLs observed in communications from devices in the organization.
4. Use the search filters to define the search criteria. You can also use the timeline search box to filter the displayed results of all devices in the organization observed communicating with the URL, the file associated with the communication and the last date observed.
5. Selecting any of the device names will take you to that device’s view, where you can continue to investigate reported alerts, behaviors, and events.