Exemplos automatizados de investigação e resposta (AIR) no Microsoft Defender para Office 365 Plano 2
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
A investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2 (incluído em licenças do Microsoft 365 como o E5 ou como uma subscrição autónoma) permite que a sua equipa do SecOps opere de forma mais eficiente e eficaz. A AIR inclui investigações automatizadas para ameaças conhecidas e fornece ações de remediação recomendadas. A equipa do SecOps pode rever as provas e aprovar ou rejeitar as ações recomendadas. Para obter mais informações sobre a AIR, veja Investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2.
Este artigo descreve como o AIR funciona através de vários exemplos:
- Exemplo: uma mensagem de phishing comunicada pelo utilizador inicia um manual de procedimentos de investigação
- Exemplo: um administrador de segurança aciona uma investigação do Explorer de Ameaças
- Exemplo: uma equipa de operações de segurança integra o AIR com o respetivo SIEM através da API de Atividade de Gestão de Office 365
Exemplo: uma mensagem de phishing comunicada pelo utilizador inicia um manual de procedimentos de investigação
Um utilizador recebe um e-mail com um aspeto semelhante a uma tentativa de phishing. O utilizador comunica a mensagem através dos suplementos Microsoft Report Message ou Report Phishing, o que resulta num alerta que é acionado pelo Email comunicado pelo utilizador como software maligno oupolítica de alerta phish, que inicia automaticamente o manual de procedimentos de investigação.
São avaliados vários aspetos da mensagem de e-mail comunicada. Por exemplo:
- O tipo de ameaça identificado
- Quem enviou a mensagem
- De onde a mensagem foi enviada (a enviar a infraestrutura)
- Se outras instâncias da mensagem foram entregues ou bloqueadas
- O panorama do inquilino, incluindo mensagens semelhantes e os seus veredictos através de e-mail clustering
- Se a mensagem está associada a campanhas conhecidas
- E mais.
O manual de procedimentos avalia e resolve automaticamente as submissões em que não é necessária nenhuma ação (o que acontece frequentemente nas mensagens comunicadas pelo utilizador). Para as restantes submissões, é fornecida uma lista das ações recomendadas a realizar na mensagem original e nas entidades associadas (por exemplo, ficheiros anexados, URLs incluídos e destinatários):
- Identificar mensagens de e-mail semelhantes através de pesquisas de clusters de e-mail.
- Determine se algum utilizador clicou em ligações maliciosas em mensagens de e-mail suspeitas.
- São atribuídos riscos e ameaças. Para obter mais informações, veja Detalhes e resultados de uma investigação automatizada.
- Passos de remediação. Para obter mais informações, veja Remediação de ações no Microsoft Defender para Office 365.
Exemplo: um administrador de segurança aciona uma investigação do Explorer de Ameaças
Está no Explorer (Explorer de Ameaças) em https://security.microsoft.com/threatexplorerv3Todas as vistas de e-mail, Software Maligno ou Phish. Está no separador Email (vista) da área de detalhes abaixo do gráfico. Selecione uma mensagem para investigar com um dos seguintes métodos:
Selecione uma ou mais entradas na tabela ao selecionar a caixa de marcar junto à primeira coluna.
A ação está disponível diretamente no separador.
Clique no valor Assunto de uma entrada na tabela. A lista de opções de detalhes que é aberta contém Tomar medidas
na parte superior da lista de opções.
Depois de selecionar Tomar medidas, selecione Iniciar investigação automatizada. Para obter mais informações, veja Email remediação.
À semelhança dos manuais de procedimentos acionados por um alerta, as investigações automáticas que são acionadas a partir do Threat Explorer incluem:
- Uma investigação de raiz.
- Passos para identificar e correlacionar ameaças. Para obter mais informações, veja Detalhes e resultados de uma investigação automatizada.
- Ações recomendadas para mitigar ameaças. Para obter mais informações, veja Remediação de ações no Microsoft Defender para Office 365.
Exemplo: uma equipa de operações de segurança integra o AIR com o respetivo SIEM através da API de Atividade de Gestão de Office 365
As capacidades AIR no Defender para Office 365 Plano 2 incluem relatórios e detalhes que a equipa do SecOps pode utilizar para monitorizar e lidar com ameaças. No entanto, também pode integrar capacidades AIR com outras soluções. Por exemplo:
- Sistemas de gestão de informações e eventos de segurança (SIEM).
- Sistemas de gestão de casos.
- Soluções de relatórios personalizadas.
Utilize a API de Atividade de Gestão de Office 365 para integração com estas soluções.
Para obter um exemplo de uma solução personalizada que integra alertas de mensagens de phishing comunicadas pelo utilizador que já foram processadas pela AIR num servidor SIEM e num sistema de gestão de casos, veja Blogue da Comunidade Tecnológica: Melhorar a Eficácia do SOC com Microsoft Defender para Office 365 e a API de Gestão de Office 365.
A solução integrada reduz significativamente o número de falsos positivos, o que permite à equipa do SecOps concentrar o seu tempo e esforço em ameaças reais.