Incidentes e alertas no portal do Microsoft Defender
O portal Microsoft Defender reúne um conjunto unificado de serviços de segurança para reduzir a exposição a ameaças de segurança, melhorar a postura de segurança organizacional, detetar ameaças de segurança e investigar e responder a falhas. Estes serviços recolhem e produzem sinais que são apresentados no portal. Os dois principais tipos de sinais são:
Alertas: sinais resultantes de várias atividades de deteção de ameaças. Estes sinais indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente.
Incidentes: contentores que incluem coleções de alertas relacionados e contam a história completa de um ataque. Os alertas num único incidente podem ser provenientes de todas as soluções de segurança e conformidade da Microsoft, bem como de um grande número de soluções externas recolhidas através de Microsoft Sentinel e Microsoft Defender para a Cloud.
Incidentes de correlação e investigação
Embora possa investigar e mitigar as ameaças que os alertas individuais trazem à sua atenção, estas ameaças são ocorrências isoladas que não lhe dizem nada sobre uma história de ataque mais ampla e complexa. Pode procurar, pesquisar, investigar e correlacionar grupos de alertas que pertencem juntos numa única história de ataque, mas isso irá custar-lhe muito tempo, esforço e energia.
Em vez disso, os motores de correlação e os algoritmos no portal do Microsoft Defender agregam e correlacionam automaticamente alertas relacionados para formar incidentes que representam estas histórias de ataque maiores. O Defender identifica vários sinais como pertencentes à mesma história de ataque, utilizando a IA para monitorizar continuamente as suas origens de telemetria e adicionar mais provas a incidentes já abertos. Os incidentes contêm todos os alertas considerados relacionados entre si e com a história de ataque geral, e apresentam a história de várias formas:
- Linhas cronológicas de alertas e eventos não processados nos quais se baseiam
- Uma lista das táticas que foram utilizadas
- Listas de todos os utilizadores, dispositivos e outros recursos envolvidos e afetados
- Uma representação visual de como todos os jogadores na história interagem
- Registos de processos automáticos de investigação e resposta que Defender XDR iniciados e concluídos
- Coleções de provas que suportam a história do ataque: contas de utilizador e endereço de dispositivos de maus atores, ficheiros e processos maliciosos, informações sobre ameaças relevantes, etc.
- Um resumo textual da história do ataque
Os incidentes também lhe fornecem uma estrutura para gerir e documentar as suas investigações e resposta a ameaças. Para obter mais informações sobre a funcionalidade dos incidentes a este respeito, veja Gerir incidentes no Microsoft Defender.
Origens de alertas e deteção de ameaças
Os alertas no portal Microsoft Defender são provenientes de várias origens. Estas origens incluem os muitos serviços que fazem parte do Microsoft Defender XDR, bem como outros serviços com diferentes graus de integração com o portal Microsoft Defender.
Por exemplo, quando Microsoft Sentinel está integrado no portal do Microsoft Defender, o motor de correlação no portal do Defender tem acesso a todos os dados não processados ingeridos por Microsoft Sentinel, que pode encontrar nas tabelas de investigação Avançadas do Defender.
Microsoft Defender XDR também cria alertas. as capacidades de correlação exclusivas do Defender XDR fornecem outra camada de análise de dados e deteção de ameaças para todas as soluções que não são da Microsoft no seu património digital. Estas deteções produzem alertas Defender XDR, para além dos alertas já fornecidos pelas regras de análise do Microsoft Sentinel.
Dentro de cada uma destas origens, existe um ou mais mecanismos de deteção de ameaças que produzem alertas com base nas regras definidas em cada mecanismo.
Por exemplo, Microsoft Sentinel tem pelo menos quatro motores diferentes que produzem diferentes tipos de alertas, cada um com as suas próprias regras.
Ferramentas e métodos para investigação e resposta
O portal Microsoft Defender inclui ferramentas e métodos para automatizar ou ajudar na triagem, investigação e resolução de incidentes. Estas ferramentas são apresentadas na seguinte tabela:
Ferramenta/Método | Descrição |
---|---|
Gerir e investigar incidentes | Certifique-se de que prioriza os incidentes de acordo com a gravidade e, em seguida, trabalhe nos mesmos para investigar. Utilize a investigação avançada para procurar ameaças e avance para ameaças emergentes com a análise de ameaças. |
Investigar e resolver alertas automaticamente | Se o permitir, Microsoft Defender XDR podem investigar e resolver automaticamente alertas de origens do Microsoft 365 e do Entra ID através da automatização e da inteligência artificial. |
Configurar ações de interrupção automática de ataques | Utilize sinais de alta confiança recolhidos de Microsoft Defender XDR e Microsoft Sentinel para interromper automaticamente os ataques ativos à velocidade da máquina, contendo a ameaça e limitando o impacto. |
Configurar regras de automatização Microsoft Sentinel | Utilize regras de automatização para automatizar a triagem, a atribuição e a gestão de incidentes, independentemente da respetiva origem. Ajude ainda mais a eficiência da sua equipa ao configurar as regras para aplicar etiquetas a incidentes com base nos respetivos conteúdos, suprimir incidentes irrelevantes (falsos positivos) e fechar incidentes resolvidos que cumpram os critérios adequados, especificando um motivo e adicionando comentários. |
Caça proativa com investigação avançada | Utilize Linguagem de Pesquisa Kusto (KQL) para inspecionar proativamente eventos na sua rede ao consultar os registos recolhidos no portal do Defender. A investigação avançada suporta um modo orientado para os utilizadores que procuram a conveniência de um construtor de consultas. |
Tirar partido da IA com Microsoft Copilot para Segurança | Adicione IA para suportar analistas com fluxos de trabalho diários complexos e demorados. Por exemplo, o Microsoft Copilot para Segurança pode ajudar na investigação e resposta de incidentes ponto a ponto ao fornecer histórias de ataque claramente descritas, orientações de remediação acionáveis passo a passo e relatórios resumidos de atividade de incidentes, investigação de KQL de linguagem natural e análise de códigos especializados, otimizando a eficiência do SOC em todos os dados de todas as origens. Esta capacidade junta-se a outras funcionalidades baseadas em IA que Microsoft Sentinel traz para a plataforma unificada, nas áreas da análise de comportamento do utilizador e da entidade, deteção de anomalias, deteção de ameaças em várias fases e muito mais. |
Itens relacionados
Para saber mais sobre a correlação de alertas e a intercalação de incidentes no portal do Defender, veja Alertas, incidentes e correlação no Microsoft Defender XDR