Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR
Observação
O Defender para Identidade não foi projetado para servir como uma solução de auditoria ou de registro que captura cada operação ou atividade nos servidores em que o sensor está instalado. Ele captura apenas os dados necessários para seus mecanismos de detecção e recomendação.
Este artigo explica as noções básicas de como trabalhar com alertas de segurança do Microsoft Defender para Identidade no Microsoft Defender XDR.
Os alertas do Defender para Identidade são integrados de maneira nativa ao Microsoft Defender XDR com um formato de página de alerta de identidade dedicado.
A página de alerta de identidade oferece aos clientes do Microsoft Defender para Identidade um sinal aprimorado entre domínios e novos recursos de resposta automatizada de identidade. Ele garante que você permaneça seguro e ajuda a melhorar a eficiência de suas operações de segurança.
Um dos benefícios de investigar alertas por meio do Microsoft Defender XDR é que os alertas do Microsoft Defender para Identidade são correlacionados com as informações obtidas de cada um dos outros produtos do pacote. Esses alertas aprimorados são consistentes com os outros formatos de alerta do Microsoft Defender XDR originados do Microsoft Defender para Office 365 e do Microsoft Defender para Ponto de Extremidade. A nova página elimina efetivamente a necessidade de navegar para outro portal de produto para investigar alertas associados à identidade.
Os alertas originados no Defender para Identidade agora podem disparar os recursos de AIR (Investigação e Resposta Automatizadas) do Microsoft Defender XDR, incluindo a correção automática de alertas e a mitigação de ferramentas e processos que podem contribuir para a atividade suspeita.
Importante
Como parte da convergência com o Microsoft Defender XDR, algumas opções e detalhes mudaram de sua localização no portal do Defender para Identidade. Leia os detalhes abaixo para descobrir onde encontrar os recursos novos e os já conhecidos.
Revisar alertas de segurança
Os alertas podem ser acessados de vários locais, incluindo a página Alertas, a página Incidentes, as páginas de Dispositivos individuais e a página Busca avançada de ameaças. Neste exemplo, analisaremos a página Alertas.
No Microsoft Defender XDR, vá para Incidentes & alertas e depois para Alertas.
Para ver os alertas do Defender para Identidade, no canto superior direito, escolha Filtrar e, em Origens de serviços, escolha Microsoft Defender para Identidade e depois Aplicar:
Os alertas são exibidos com informações nas seguintes colunas: Nome do alerta, Rótulos, Gravidade, Estado da investigação, Status, Categoria, Origem da detecção, Ativos afetados, Primeira atividade e Última atividade.
Categorias de alertas de segurança
Os alertas de segurança do Defender para Identidade são divididos nas categorias ou fases a seguir, como as fases observadas em uma típica kill chain de ataques cibernéticos.
- Alertas de reconhecimento
- Alertas de credencial comprometida
- Alertas de movimentação lateral
- Alertas de predominância de domínio
- Alertas de exfiltração
Gerenciar alertas
Se selecionar o Nome do alerta para um dos alertas, você irá para a página com detalhes sobre o alerta. No painel esquerdo, você verá um resumo sobre O que aconteceu:
Acima da caixa O que aconteceu estão os botões para Contas, Host de Destino e Host de Origem do alerta. Para outros alertas, talvez você veja botões para obter detalhes sobre hosts, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione um deles para obter mais detalhes sobre as entidades envolvidas.
No painel direito, você verá os Detalhes do alerta. Aqui você pode ver mais detalhes e executar várias tarefas:
Classificar este alerta: aqui você pode designar esse alerta como um Alerta verdadeiro ou um Alerta falso
Estado do alerta: em Definir Classificação, você pode classificar o alerta como Verdadeiro ou Falso. Em Atribuído a, você pode atribuir o alerta a si mesmo ou cancelar a atribuição.
Detalhes do alerta: em Detalhes do alerta, você pode encontrar mais informações sobre o alerta específico, seguir um link para a documentação sobre o tipo de alerta, ver a qual incidente o alerta está associado, revisar as investigações automatizadas vinculadas a esse tipo de alerta e ver os dispositivos e usuários afetados.
Comentários & histórico: aqui você pode adicionar comentários ao alerta e ver o histórico de todas as ações associadas a ele.
Gerenciar alerta: se selecionar Gerenciar alerta, você irá para um painel que permitirá editar o seguinte:
Status: você pode escolher Novo, Resolvido ou Em andamento.
Classificação: você pode escolher Alerta verdadeiro ou Alerta falso.
Comentário: você pode adicionar um comentário sobre o alerta.
Se você selecionar os três pontos ao lado de Gerenciar alerta, poderá Vincular alerta a outro incidente, Criar regra de supressão (disponível apenas para clientes de prévia) ou Perguntar aos especialistas do Defender.
Você também pode exportar o alerta para um arquivo do Excel. Para fazer isso, escolha Exportar.
Observação
No arquivo do Excel, agora você tem dois links disponíveis: Exibir no Microsoft Defender para Identidade e Exibir no Microsoft Defender XDR. Cada link levará você ao portal relevante e fornecerá informações sobre o alerta.
Ajustar alertas
Ajuste seus alertas para personalizá-los e otimizá-los, reduzindo falsos positivos. O ajuste de alertas permite que suas equipes de SOC se concentrem em alertas de prioridade alta e melhora a cobertura de detecção de ameaças em todo o sistema. No Microsoft Defender XDR, crie condições de regra com base em tipos de evidência e aplique sua regra em todo tipo de regra que corresponda às suas condições.
Para obter mais informações, consulte Ajustar um alerta.
Confira também
Saiba mais
- Experimente nosso guia interativo: Detectar atividades suspeitas e possíveis ataques com o Microsoft Defender para Identidade