Investigar e responder com Microsoft Defender XDR
Seguem-se as principais tarefas de investigação e resposta para Microsoft Defender XDR:
- Responder aos incidentes
- Rever e aprovar ações de remediação automática
- Procurar ameaças conhecidas nos seus dados
- Compreender os ciberataques mais recentes
Resposta a incidentes
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Uma vez que juntar os alertas individuais para obter informações sobre um ataque pode ser desafiante e moroso, Microsoft Defender XDR agrega automaticamente os alertas e as respetivas informações associadas a um incidente.
De forma contínua, tem de identificar os incidentes de prioridade mais alta para análise e resolução na fila de incidentes e prepará-los para resposta. Esta é uma combinação de:
- Atribuir prioridades à determinação dos incidentes de prioridade mais alta através da filtragem e ordenação da fila de incidentes. Isto também é conhecido como triagem.
- Gerir incidentes modificando o respetivo título, atribuindo-os a um analista, adicionando etiquetas e comentários e, quando resolvidos, classificando-os.
Para cada incidente, utilize o fluxo de trabalho de resposta a incidentes para analisar o incidente e os respetivos alertas e dados para conter o ataque, erradicar a ameaça, recuperar do ataque e aprender com o mesmo.
Investigação e correção automatizadas
Se a sua organização estiver a utilizar Microsoft Defender XDR, a sua equipa de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que for detetada uma atividade ou artefacto malicioso ou suspeito. Dado o fluxo contínuo de ameaças que podem entrar, as equipes de segurança geralmente enfrentam o desafio de lidar com um alto volume de alertas. Felizmente, Microsoft Defender XDR inclui capacidades de investigação e resposta automatizadas (AIR) que podem ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Após a conclusão de uma investigação automatizada, será emitido um veredito para cada evidência de um incidente. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de remediação são executadas automaticamente; noutros casos, as ações de remediação aguardam aprovação através do Centro de ação do Microsoft Defender XDR.
Para obter mais informações, veja Investigação e resposta automatizadas no Microsoft Defender XDR.
Pesquisa proativa de ameaças com investigação avançada
Não basta responder a ataques à medida que ocorrem. Para ataques expandidos e multifásico, como ransomware, tem de procurar proativamente as provas de um ataque em curso e tomar medidas para o parar antes de ser concluído.
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas no Microsoft Defender XDR que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. Este acesso flexível aos dados de Microsoft Defender XDR permite uma investigação sem restrições para ameaças conhecidas e potenciais.
Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para marcar e, em seguida, respondem a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.
Veja Proativamente investigar ameaças com investigação avançada no Microsoft Defender XDR para obter mais informações.
Antecipar-se a ameaças emergentes com a análise de ameaças
A análise de ameaças é uma capacidade de informações sobre ameaças no Microsoft Defender XDR concebida para ajudar a sua equipa de segurança a ser o mais eficiente possível enquanto enfrenta ameaças emergentes. Inclui análises detalhadas e informações sobre:
- Atores de ameaças ativos e as suas campanhas
- Técnicas de ataque populares e novas
- Vulnerabilidades críticas
- Superfícies de ataque comuns
- Malware predominante
A análise de ameaças também inclui informações sobre incidentes relacionados e recursos afetados no seu inquilino do Microsoft 365 para cada ameaça identificada.
Cada ameaça identificada inclui um relatório de analista, uma análise abrangente da ameaça escrita por investigadores de segurança da Microsoft que estão na vanguarda da deteção e análise de cibersegurança. Estes relatórios também podem fornecer informações sobre como os ataques aparecem no Microsoft Defender XDR.
Para obter mais informações, veja Análise de ameaças no Microsoft Defender XDR.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.