Compartilhar via


Interrupção automática de ataques no Microsoft Defender para Empresas

Um ataque operado por humanos é um ataque ativo de cibercriminosos que se infiltram numa organização, elevam os seus privilégios, navegam na rede e implementam ransomware ou roubam informações. Estes tipos de ataques podem ser catastróficos para operações empresariais, tendem a ser difíceis de resolver e, por vezes, continuam a ameaçar as operações empresariais após o encontro inicial. Para obter mais informações, veja Ataques de ransomware operados por humanos.

Para ajudar a proteger contra ataques operados por humanos ou outros ataques avançados, Microsoft Defender XDR adicionado a interrupção automática de ataques em novembro de 2022 para clientes empresariais. Agora, estas capacidades estão a chegar ao Defender para Empresas! Este artigo descreve como funciona a interrupção automática de ataques, como ver detalhes sobre um ataque e como obter estas capacidades.

Como funciona a interrupção automática de ataques

A interrupção automática do ataque foi concebida para:

  • Contenham ataques avançados em curso;
  • Limitar o impacto e a progressão dos ataques nos seus recursos empresariais (como dispositivos); e
  • Dê mais tempo à sua equipa de TI/segurança para remediar totalmente um ataque.

A interrupção automática de ataques utiliza informações de investigadores de segurança da Microsoft e modelos avançados de IA para contrariar as complexidades de ataques avançados. Limita o progresso de um ator de ameaças no início e reduz drasticamente o impacto global de um ataque, desde os custos associados à perda de produtividade. Veja alguns exemplos no Blogue de Segurança da Microsoft.

Com a interrupção automática do ataque, assim que um ataque operado por humanos é detetado num dispositivo, são tomadas medidas imediatamente para conter o dispositivo afetado e as contas de utilizador no dispositivo. É criado um incidente no portal Microsoft Defender (https://security.microsoft.com). Aí, a equipa de TI/segurança pode ver detalhes sobre o risco e a contenção status de recursos comprometidos durante e após o processo. Uma página Incidente fornece detalhes sobre o ataque e status atualizadas dos recursos afetados.

As ações de resposta automatizadas incluem:

  • Conter um dispositivo ao bloquear a comunicação de entrada/saída
  • Conter uma conta de utilizador ao desligar as ligações de utilizador atuais ao nível do dispositivo

Importante

  • Para ver informações sobre um ataque avançado detetado, tem de ter uma função adequada, como Leitor de Segurança ou Administrador de Segurança atribuído.
  • Para efetuar ações de remediação, libertar um dispositivo/utilizador contido ou reativar uma conta de utilizador, tem de ter a função Administrador de Segurança atribuída.
  • Veja Funções e permissões de segurança no Defender para Empresas.

Ver detalhes sobre um ataque no portal do Microsoft Defender

  1. No portal Microsoft Defender, aceda a Incidentes.

  2. Selecione um incidente marcado com Interrupção do Ataque.

  3. Reveja o gráfico de incidentes, que lhe permite obter toda a história do ataque e avaliar o impacto da interrupção do ataque e status.

  4. Quando estiver pronto para libertar uma conta de utilizador ou dispositivo contido ou reativar uma conta de utilizador, siga um dos seguintes passos:

    • Para libertar um dispositivo contido, selecione o dispositivo e, em seguida, selecione Libertar da contenção.
    • Para libertar um utilizador contido, selecione a conta de utilizador e, em seguida, no painel lateral, selecione Anular.

Os incidentes interrompidos incluem uma etiqueta para Attack Disruption e o tipo de ameaça específico identificado (como ransomware). Se a sua equipa de TI/segurança receber notificações por email de incidentes, estas etiquetas também serão apresentadas nos e-mails.

Quando um incidente é interrompido, o texto realçado aparece abaixo do título do incidente. Os dispositivos contidos ou contas de utilizador são listados com uma etiqueta que indica o respetivo status.

Controlar ações de interrupção de ataques no Centro de ação

O Centro de ação reúne todas as ações de remediação e resposta, quer essas ações tenham sido realizadas automaticamente ou manualmente. Pode ver todas as ações de interrupção automática de ataques no Centro de ação. Além disso, depois de a equipa de TI/segurança ter mitigado o risco e concluído a investigação de um incidente, pode libertar recursos contidos.

  1. No portal Microsoft Defender, aceda a Ações & submissões>Centro de ação.

  2. Selecione o separador Histórico .

  3. Selecione uma ação, como Conter utilizador ou Conter dispositivo e, em seguida, selecione Anular.

Para obter mais informações, veja Rever as ações de remediação no Centro de ação.

Como obter a interrupção automática de ataques

A interrupção automática de ataques está incorporada no Defender para Empresas; não tem de ativar explicitamente estas capacidades. É importante integrar todos os dispositivos da sua organização (computadores, telemóveis e tablets) para Defender para Empresas para que sejam protegidos o mais rapidamente possível.

Além disso, inscreva-se para receber funcionalidades de pré-visualização para que obtenha as funcionalidades mais recentes e maiores assim que estiverem disponíveis.