Partilhar via


Planeamento de resposta a incidentes

Use esta tabela como uma lista de verificação para preparar seu Centro de Operações de Segurança (SOC) para responder a incidentes de segurança cibernética.

Concluído Atividade Description Benefício
Exercícios de mesa Conduza exercícios de tabela periódica de incidentes cibernéticos previsíveis com impacto nos negócios que forçam a gestão da sua organização a contemplar decisões difíceis baseadas em risco. Estabelece e ilustra firmemente a cibersegurança como uma questão de negócios. Desenvolve a memória muscular e aborda decisões difíceis e questões de direitos de decisão em toda a organização.
Determinar decisões e tomadores de decisão pré-ataque Como complemento aos exercícios de mesa, determine as decisões baseadas no risco, os critérios para a tomada de decisões e quem deve tomar e executar essas decisões. Por exemplo:

Quem/quando/se deve procurar assistência junto das autoridades policiais?

Quem/quando/se recrutar socorristas de incidentes?

Quem/quando/se pagar o resgate?

Quem/quando/se notificar os auditores externos?

Quem/quando/se notificar as autoridades reguladoras de privacidade?

Quem/quando/se notificar os reguladores de valores mobiliários?

Quem/quando/se notificar o conselho de administração ou o comité de auditoria?

Quem tem autoridade para encerrar cargas de trabalho de missão crítica?
Define os parâmetros de resposta iniciais e os contatos a serem envolvidos que agilizam a resposta a um incidente.
Manter o privilégio Normalmente, os conselhos podem ser privilegiados, mas os factos são detetáveis. Treine os principais líderes de incidentes na comunicação de conselhos, fatos e opiniões sob privilégio para que o privilégio seja preservado e o risco seja reduzido. Manter o privilégio pode ser um processo confuso ao considerar a infinidade de canais de comunicação, incluindo e-mail, plataformas de colaboração, chats, documentos, artefatos. Por exemplo, você pode usar o Microsoft Teams Rooms. Uma abordagem consistente entre o pessoal responsável por incidentes e o apoio a organizações externas pode ajudar a reduzir qualquer potencial exposição legal.
Considerações relativas ao abuso de informação privilegiada Contemplar notificações à administração que devem ser tomadas para reduzir o risco de violações de valores mobiliários. Conselhos e auditores externos tendem a apreciar que você tem mitigações que reduzirão o risco de negociações de títulos questionáveis durante períodos de turbulência.
Manual de papéis e responsabilidades de incidentes Estabelecer funções e responsabilidades básicas que permitam que vários processos mantenham o foco e avancem no progresso.

Quando sua equipe de resposta está remota, isso pode exigir outras considerações para fusos horários e transferência adequada para os investigadores.

Talvez seja necessário se comunicar entre outras equipes que possam estar envolvidas, como equipes de fornecedores.
Líder Técnico de Incidentes – Sempre no incidente, sintetizando insumos e achados e planejando as próximas ações.

Ligação de Comunicações – Remove o fardo de comunicar com a gerência do Líder de Incidentes Técnicos para que eles possam permanecer envolvidos no incidente sem perda de foco.

Esta atividade deve incluir a gestão de mensagens executivas e interações com terceiros, como reguladores.

Gravador de incidentes – Elimina o fardo de registrar descobertas, decisões e ações de um respondente de incidentes e produz uma contabilidade precisa do incidente do início ao fim.

Forward Planner – Trabalhando com proprietários de processos de negócios de missão crítica, formula atividades de continuidade de negócios e preparativos que contemplam o comprometimento do sistema de informação que dura 24, 48, 72, 96 horas ou mais.

Relações Públicas – No caso de um incidente suscetível de atrair a atenção do público, com o Forward Planner, contempla e elabora abordagens de comunicação pública que abordam resultados prováveis.
Manual de resposta a incidentes de privacidade Para satisfazer regulamentos de privacidade cada vez mais rigorosos, desenvolva um manual de propriedade conjunta entre o SecOps e o escritório de privacidade. Este manual permitirá uma avaliação rápida de potenciais problemas de privacidade que possam surgir de incidentes de segurança. É difícil avaliar os incidentes de segurança quanto ao seu potencial de afetar a privacidade, porque a maioria dos incidentes de segurança surge em um SOC altamente técnico. Os incidentes devem ser rapidamente apresentados a um escritório de privacidade (geralmente com uma expectativa de notificação de 72 horas) onde o risco regulatório é determinado.
Testes de penetração Conduza ataques simulados point-in-time contra sistemas críticos para os negócios, infraestrutura crítica e backups para identificar fraquezas na postura de segurança. Normalmente, essa atividade é conduzida por uma equipe de especialistas externos focados em contornar controles preventivos e superar vulnerabilidades importantes. À luz dos recentes incidentes de ransomware operados por seres humanos, devem ser realizados testes de penetração com base num maior âmbito de infraestruturas, em especial a capacidade de atacar e controlar cópias de segurança de sistemas e dados de missão crítica.
Equipa Vermelha / Equipa Azul / Equipa Roxa / Equipa Verde Realize ataques simulados contínuos ou periódicos contra sistemas críticos para os negócios, infraestrutura crítica, backups para identificar fraquezas na postura de segurança. Normalmente, esta atividade é conduzida por equipas de ataque interno (equipas vermelhas) que estão focadas em testar a eficácia dos controlos e equipas de detetives (equipas azuis).

Por exemplo, você pode usar o treinamento de simulação de ataque no Microsoft Defender XDR para Office 365 e tutoriais de ataque e simulações para Microsoft Defender XDR para ponto de extremidade.
As simulações de ataque de equipes Vermelhas, Azuis e Roxas, quando bem feitas, servem a uma infinidade de propósitos:
  • Permite que engenheiros de toda a organização de TI simulem ataques em suas próprias disciplinas de infraestrutura.
  • Evidencia lacunas na visibilidade e deteção.
  • Aumenta as habilidades de engenharia de segurança em todos os setores.
  • Serve como um processo mais contínuo e expansivo.


A Equipe Verde implementa mudanças na configuração de TI ou segurança.
Planejamento de continuidade de negócios Para processos de negócios de missão crítica, projetar e testar processos de continuidade que permitam que o mínimo viável de negócios funcione durante períodos de comprometimento dos sistemas de informação.

Por exemplo, use um plano de backup e restauração do Azure para proteger seus sistemas de negócios críticos durante um ataque para garantir uma recuperação rápida de suas operações de negócios.
  • Destaca o fato de que não há solução alternativa de continuidade para o comprometimento ou ausência de sistemas de TI.
  • Pode enfatizar a necessidade e o financiamento de resiliência digital sofisticada em vez de backup e recuperação mais simples.
Recuperação após desastre Para sistemas de informações que oferecem suporte a processos de negócios de missão crítica, você deve projetar e testar cenários de backup e recuperação quentes/frios e quentes/quentes, incluindo tempos de preparação. As organizações que realizam construções bare metal geralmente encontram atividades que são impossíveis de replicar ou não se encaixam nos objetivos de nível de serviço.

Sistemas de missão crítica executados em hardware não suportado muitas vezes não podem ser restaurados para hardware moderno.

A restauração de backups geralmente não é testada e enfrenta problemas. Os backups podem ainda estar off-line, de modo que os tempos de preparo não tenham sido considerados nos objetivos de recuperação.
Comunicações fora de banda Prepare-se para como você se comunicaria nos seguintes cenários:
  • Comprometimento do serviço de e-mail e colaboração
  • Resgate de repositórios de documentação
  • Indisponibilidade dos números de telefone do pessoal.
Embora seja um exercício difícil, determine como armazenar informações importantes imutavelmente em dispositivos off-line e locais para distribuição em escala. Por exemplo:
  • Números de telefone
  • Topologias
  • Construir documentos
  • Procedimentos de restauração de TI
Endurecimento, higiene e gestão do ciclo de vida De acordo com os 20 principais controles de segurança do Center for Internet Security (CIS), proteja sua infraestrutura e realize atividades de higiene completas. Em resposta aos recentes incidentes de ransomware operados por humanos, a Microsoft emitiu orientações específicas para proteger cada estágio da cadeia de destruição de ataques cibernéticos. Estas orientações aplicam-se às capacidades da Microsoft ou às capacidades de outros fornecedores. Destacam-se:
  • A criação e manutenção de cópias de segurança imutáveis no caso de sistemas resgatados. Você também pode considerar como manter arquivos de log imutáveis que complicam a capacidade do invasor de cobrir seus rastros.
  • Riscos relacionados a hardware não suportado para recuperação de desastres.
Planeamento de resposta a incidentes No início do incidente, decida sobre:
  • Parâmetros organizacionais importantes.
  • Atribuição de pessoas a funções e responsabilidades.
  • O senso de urgência (como 24x7 e horário comercial).
  • Pessoal para a sustentabilidade durante a duração.
Há uma tendência de jogar todos os recursos disponíveis em um incidente no início, na esperança de uma resolução rápida. Depois de reconhecer ou antecipar que um incidente irá durar um longo período de tempo, assuma uma postura diferente com os seus funcionários e fornecedores que lhes permita instalarem-se por um período mais longo.
Equipas de resposta a incidentes Estabeleçam expectativas claras uns com os outros. Um formato popular de relatório de atividades em curso inclui:
  • O que fizemos (e quais foram os resultados)?
  • O que estamos a fazer (e que resultados serão produzidos e quando)?
  • O que planeamos fazer a seguir (e quando é realista esperar resultados)?
Os socorristas de incidentes vêm com diferentes técnicas e abordagens, incluindo análise de caixa morta, análise de big data e a capacidade de produzir resultados incrementais. Começar com expectativas claras facilitará comunicações claras.

Recursos de resposta a incidentes

Principais recursos de segurança da Microsoft

Recurso Description
Relatório de Defesa Digital da Microsoft 2021 Um relatório que engloba aprendizados de especialistas em segurança, profissionais e defensores da Microsoft para capacitar pessoas em todos os lugares a se defenderem contra ameaças cibernéticas.
Arquiteturas de referência de segurança cibernética da Microsoft Um conjunto de diagramas de arquitetura visual que mostram os recursos de segurança cibernética da Microsoft e sua integração com plataformas de nuvem da Microsoft, como Microsoft 365 e Microsoft Azure, e plataformas e aplicativos de nuvem de terceiros.
Download do infográfico Minutes matter Uma visão geral de como a equipe SecOps da Microsoft faz a resposta a incidentes para mitigar ataques contínuos.
Operações de segurança do Azure Cloud Adoption Framework Orientação estratégica para líderes que estabelecem ou modernizam uma função de operação de segurança.
Práticas recomendadas de segurança da Microsoft para operações de segurança Como usar melhor seu centro SecOps para se mover mais rápido do que os invasores que atacam sua organização.
Modelo de segurança na nuvem da Microsoft para arquitetos de TI Segurança nos serviços e plataformas de nuvem da Microsoft para acesso a identidades e dispositivos, proteção contra ameaças e proteção de informações.
Documentação de segurança da Microsoft Orientações de segurança adicionais da Microsoft.