Partilhar via


Análise de ameaças no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

A análise de ameaças é a nossa solução de informações sobre ameaças no produto por parte de investigadores especialistas em segurança da Microsoft. Foi concebido para ajudar as equipas de segurança a serem o mais eficientes possível enquanto enfrentam ameaças emergentes, tais como:

  • Atores de ameaças ativos e as suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Software maligno predominante

Pode aceder à análise de ameaças no canto superior esquerdo da barra de navegação do portal Microsoft Defender ou a partir de um cartão de dashboard dedicado que mostra as principais ameaças à sua organização, tanto em termos de impacto conhecido, como em termos de exposição.

Captura de ecrã da página de destino do Threat Analytics

Obter visibilidade sobre campanhas ativas ou em curso e saber o que fazer através da análise de ameaças pode ajudar a equipa de operações de segurança a tomar decisões informadas.

Com adversários mais sofisticados e novas ameaças emergindo frequentemente e predominantemente, é fundamental ser capaz de rapidamente:

  • Identificar e reagir a ameaças emergentes
  • Saiba se está atualmente a ser atacado
  • Avaliar o impacto da ameaça aos seus ativos
  • Reveja a sua resiliência ou exposição às ameaças
  • Identifique as ações de mitigação, recuperação ou prevenção que pode tomar para parar ou conter as ameaças

Cada relatório fornece uma análise de uma ameaça controlada e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.

Funções e permissões necessárias

São necessárias as seguintes funções e permissões para aceder à Análise de ameaças no portal do Defender:

  • Noções básicas dos dados de segurança (leitura)— para ver o relatório de análise de ameaças, os incidentes e alertas relacionados e os recursos afetados
  • Gestão de vulnerabilidades (leitura) e Classificação de Segurança (leitura)— para ver dados de exposição relacionados e ações recomendadas

Por predefinição, o acesso aos serviços disponíveis no portal do Defender é gerido coletivamente com Microsoft Entra funções globais. Se precisar de maior flexibilidade e controlo sobre o acesso a dados de produtos específicos e ainda não estiver a utilizar o Microsoft Defender XDR controlo de acesso baseado em funções (RBAC) unificado para a gestão de permissões centralizadas, recomendamos a criação de funções personalizadas para cada serviço. Saiba mais sobre como criar funções personalizadas

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Terá visibilidade para todos os relatórios de análise de ameaças, mesmo que tenha apenas um dos produtos suportados. No entanto, tem de ter cada produto e função para ver os incidentes, recursos, exposição e ações recomendadas do produto associados à ameaça.

Ver o dashboard de análise de ameaças

O dashboard de análise de ameaças (security.microsoft.com/threatanalytics3) realça os relatórios mais relevantes para a sua organização. Resume as ameaças nas secções seguintes:

  • Ameaças mais recentes — lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de impacto elevado — lista as ameaças que têm o maior impacto na sua organização. Esta secção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Ameaças de exposição mais elevadas — lista as ameaças às quais a sua organização tem a maior exposição. O nível de exposição a uma ameaça é calculado com duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos na sua organização podem ser explorados por essas vulnerabilidades.

Captura de ecrã do dashboard do Threat Analytics,

Selecione uma ameaça no dashboard para ver o relatório dessa ameaça. Também pode selecionar o campo Procurar para chave numa palavra-chave relacionada com o relatório de análise de ameaças que gostaria de ler.

Ver relatórios por categoria

Pode filtrar a lista de relatórios de ameaças e ver os relatórios mais relevantes de acordo com um tipo de ameaça específico ou por tipo de relatório.

  • Etiquetas de ameaças — ajudam-no a ver os relatórios mais relevantes de acordo com uma categoria de ameaças específica. Por exemplo, a etiqueta Ransomware inclui todos os relatórios relacionados com ransomware.
  • Tipos de relatório — ajudam-no a ver os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, a etiqueta Ferramentas & técnicas inclui todos os relatórios que abrangem ferramentas e técnicas.

As diferentes etiquetas têm filtros equivalentes que o ajudam a rever eficazmente a lista de relatórios de ameaças e a filtrar a vista com base numa etiqueta de ameaça específica ou num tipo de relatório. Por exemplo, para ver todos os relatórios de ameaças relacionados com a categoria de ransomware ou relatórios de ameaças que envolvam vulnerabilidades.

A equipa do Microsoft Threat Intelligence adiciona etiquetas de ameaça a cada relatório de ameaças. As seguintes etiquetas de ameaça estão atualmente disponíveis:

  • Ransomware
  • Extorsão
  • Phishing
  • Mãos no teclado
  • Grupo de atividades
  • Vulnerabilidade
  • Campanha de ataque
  • Ferramenta ou técnica

As etiquetas de ameaças são apresentadas na parte superior da página de análise de ameaças. Existem contadores para o número de relatórios disponíveis em cada etiqueta.

Captura de ecrã a mostrar as etiquetas do relatório de análise de ameaças.

Para definir os tipos de relatórios que pretende na lista, selecione Filtros, escolha a partir da lista e selecione Aplicar.

Captura de ecrã da lista Filtros.

Se definir mais do que um filtro, a lista de relatórios de análise de ameaças também pode ser ordenada por etiqueta de ameaça ao selecionar a coluna de etiquetas de ameaças:

Captura de ecrã a mostrar a coluna de etiquetas de ameaça.

Ver um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em várias secções:

Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas

A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.

Captura de ecrã da secção de descrição geral de um relatório de análise de ameaças.

Avaliar o impacto na sua organização

Cada relatório inclui gráficos concebidos para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Incidentes relacionados — fornece uma descrição geral do impacto da ameaça registada na sua organização com os seguintes dados:
    • Número de alertas ativos e o número de incidentes ativos a que estão associados
    • Gravidade de incidentes ativos
  • Alertas ao longo do tempo — mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. Idealmente, o gráfico deve mostrar alertas resolvidos dentro de alguns dias.
  • Recursos afetados — mostra o número de recursos distintos que têm atualmente, pelo menos, um alerta ativo associado à ameaça controlada. Os alertas são acionados para caixas de correio que receberam e-mails de ameaças. Reveja as políticas ao nível da organização e do utilizador para obter substituições que causem a entrega de e-mails de ameaças.

Rever a resiliência e postura de segurança

Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:

  • Ações recomendadas — mostra a percentagem de estado da ação ou o número de pontos que conseguiu para melhorar a postura de segurança. Execute as ações recomendadas para ajudar a resolver a ameaça. Pode ver a discriminação dos pontos por Categoria ou Estado.
  • Exposição de pontos finais — mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft

Na secção Relatório de analistas , leia a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .

Saiba mais sobre o relatório do analista

O separador Incidentes relacionados fornece a lista de todos os incidentes relacionados com a ameaça registada. Pode atribuir incidentes ou gerir alertas ligados a cada incidente.

Captura de ecrã da secção incidentes relacionados de um relatório de análise de ameaças.

Nota

Os incidentes e alertas associados à ameaça são obtidos a partir do Defender para Endpoint, Defender para Identidade, Defender para Office 365, Defender for Cloud Apps e Defender para Cloud.

Recursos afetados: obter lista de dispositivos, utilizadores, caixas de correio, aplicações e recursos na cloud afetados

O separador Ativos afetados mostra os recursos afetados pela ameaça ao longo do tempo. É apresentado:

  • Recursos afetados por alertas ativos
  • Recursos afetados por alertas resolvidos
  • Todos os recursos ou o número total de recursos afetados por alertas ativos e resolvidos

Os recursos estão divididos nas seguintes categorias:

  • Dispositivos
  • Utilizadores
  • Caixas de correio
  • Aplicações
  • Recursos da cloud

Captura de ecrã da secção ativos afetados de um relatório de análise de ameaças.

Exposição de pontos finais: Conhecer o estado de implementação das atualizações de segurança

A secção Exposição de Pontos finais fornece o nível de Exposição da sua organização à ameaça, que é calculado com base na gravidade das vulnerabilidades e configurações incorretas exploradas pela mesma e no número de dispositivos com estas fraquezas.

Esta secção também fornece o estado de implementação das atualizações de segurança de software suportadas para vulnerabilidades encontradas em dispositivos integrados. Incorpora dados de Gestão de vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de desagregação de várias ligações no relatório.

A secção Exposição de pontos finais de um relatório de análise de ameaças

No separador Ações recomendadas , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui configurações de segurança suportadas, tais como:

  • Proteção fornecida pela cloud
  • Proteção contra aplicações potencialmente indesejadas (PUA)
  • Proteção em tempo real

A secção Ações recomendadas de um relatório de análise de ameaças que mostra os detalhes da vulnerabilidade

Configurar notificações por e-mail para atualizações de relatórios

Pode configurar notificações por e-mail que lhe irão enviar atualizações em relatórios de análise de ameaças. Para criar notificações por e-mail, siga os passos em Obter notificações por e-mail para atualizações do Threat Analytics no Microsoft Defender XDR.

Outros detalhes e limitações do relatório

Ao analisar os dados da análise de ameaças, lembre-se dos seguintes fatores:

  • A lista de verificação no separador Ações recomendadas só apresenta recomendações registadas na Classificação de Segurança da Microsoft. Verifique o separador Relatório do analista para obter mais ações recomendadas que não são controladas na Classificação de Segurança.
  • As ações recomendadas não garantem uma resiliência total e refletem apenas as melhores ações possíveis necessárias para melhorá-la.
  • As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus Microsoft Defender.
  • A coluna Dispositivos configurados incorretamente na página principal Análise de ameaças mostra o número de dispositivos afetados por uma ameaça quando as ações recomendadas relacionadas com a ameaça não estão ativadas. No entanto, se os investigadores da Microsoft não ligarem quaisquer ações recomendadas, a coluna Dispositivos configurados incorretamente mostra o estado Não disponível.
  • A coluna Dispositivos vulneráveis na página principal Análise de ameaças mostra o número de dispositivos que executam software vulnerável a qualquer uma das vulnerabilidades ligadas à ameaça. No entanto, se os investigadores da Microsoft não ligarem quaisquer vulnerabilidades, a coluna Dispositivos vulneráveis mostra o estado Não disponível.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.