Compreender os alertas de segurança

Microsoft Defender para Identidade os alertas de segurança explicam em linguagem clara e gráficos que atividades suspeitas foram identificadas na sua rede e os atores e computadores envolvidos nas ameaças. Os alertas são classificados para gravidade, codificados por cores para facilitar a filtragem visual e organizados por fase de ameaça. Cada alerta foi concebido para o ajudar a compreender rapidamente exatamente o que está a acontecer na sua rede. As listas de evidências de alerta contêm links diretos para os usuários e computadores envolvidos, para ajudar a tornar suas investigações fáceis e diretas.

Neste artigo, irá aprender a estrutura dos alertas de segurança do Defender para Identidade e como utilizá-los.

• Estrutura de alertas de segurança
• Classificações de alerta de segurança
• Categorias de alertas de segurança
• Investigação de Alerta de Segurança Avançada
• Entidades relacionadas
• Defender para Identidade e NNR (Resolução de Nomes de Rede)

Estrutura de alertas de segurança

Cada alerta de segurança do Defender para Identidade inclui uma história de Alerta. Esta é a cadeia de eventos relacionada com este alerta por ordem cronológica e outras informações importantes relacionadas com o alerta.

Na página de alerta, pode:

• Gerir alerta – altere o status, a atribuição e a classificação do alerta. Também pode adicionar um comentário aqui.

• Exportar – transferir um relatório detalhado do Excel para análise

• Ligar alerta a outro incidente – ligar um alerta a um novo incidente existente

  

Para obter mais informações sobre alertas, veja Investigar alertas no Microsoft Defender XDR.

Classificações de alerta de segurança

Após uma investigação adequada, todos os alertas de segurança do Defender para Identidade podem ser classificados como um dos seguintes tipos de atividade:

• Verdadeiro positivo (TP): uma ação maliciosa detetada pelo Defender para Identidade.

• Positivo verdadeiro benigno (B-TP): uma ação detetada pelo Defender para Identidade real, mas não maliciosa, como um teste de penetração ou atividade conhecida gerada por uma aplicação aprovada.

• Falso positivo (FP): um falso alarme, o que significa que a atividade não aconteceu.

O alerta de segurança é um TP, B-TP ou FP?

Para cada alerta, faça as seguintes perguntas para determinar a classificação de alertas e ajudar a decidir o que fazer a seguir:

1. Quão comum é este alerta de segurança específico no seu ambiente?
2. O alerta foi acionado pelos mesmos tipos de computadores ou utilizadores? Por exemplo, servidores com a mesma função ou utilizadores do mesmo grupo/departamento? Se os computadores ou utilizadores forem semelhantes, pode optar por excluê-lo para evitar alertas futuros de FP adicionais.

Observação

Normalmente, um aumento de alertas do mesmo tipo reduz o nível de suspeita/importância do alerta. Para alertas repetidos, verifique as configurações e utilize os detalhes e definições dos alertas de segurança para compreender exatamente o que está a acontecer que aciona as repetições.

Categorias de alertas de segurança

Os alertas de segurança do Defender para Identidade estão divididos nas seguintes categorias ou fases, como as fases vistas numa cadeia de eliminação típica de ciberataques. Saiba mais sobre cada fase e os alertas concebidos para detetar cada ataque com as seguintes ligações:

• Alertas de reconhecimento
• Alertas de credenciais comprometidos
• Alertas de movimento lateral
• Alertas de dominância de domínio
• Alertas de exfiltração

Investigação avançada de alertas de segurança

Para obter mais detalhes sobre um alerta de segurança, selecione Exportar numa página de detalhes de alerta para transferir o relatório de alertas detalhado do Excel.

O ficheiro transferido inclui detalhes de resumo sobre o alerta no primeiro separador, incluindo:

• Cargo
• Descrição
• Hora de Início (UTC)
• Hora de Fim (UTC)
• Gravidade – Baixa/Média/Alta
• Estado – Aberto/Fechado
• Hora da Atualização de Estado (UTC)
• Ver no browser

Todas as entidades envolvidas, incluindo contas, computadores e recursos, são listadas, separadas pela respetiva função. Os detalhes são fornecidos para a entidade de origem, destino ou ataque, consoante o alerta.

A maioria dos separadores inclui os seguintes dados por entidade:

• Nome

• Detalhes

• Tipo

• SamName

• Computador de Origem

• Utilizador de Origem (se disponível)

• Controladores de Domínio

• Recurso Acedido: Hora, Computador, Nome, Detalhes, Tipo, Serviço.

• Entidades relacionadas: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json

• Todas as atividades não processadas capturadas pelos Sensores do Defender para Identidade relacionadas com o alerta (atividades de rede ou evento), incluindo:

  • Atividades de Rede
  • Atividades de Eventos

Alguns alertas têm separadores adicionais, como detalhes sobre:

• Contas atacadas quando o suposto ataque usou Força Bruta.
• Servidores do Sistema de Nomes de Domínio (DNS) quando os suspeitos atacados envolveram reconhecimento de mapeamento de rede (DNS).

Por exemplo:

Entidades relacionadas

Em cada alerta, o último separador fornece as Entidades Relacionadas. As entidades relacionadas são todas entidades envolvidas numa atividade suspeita, sem a separação da "função" que desempenharam no alerta. Cada entidade tem dois ficheiros Json, o Json de Entidade Exclusiva e o Json de Perfil de Entidade Exclusivo. Utilize estes dois ficheiros Json para saber mais sobre a entidade e para o ajudar a investigar o alerta.

Ficheiro Json de Entidade Exclusivo

Inclui os dados que o Defender para Identidade aprendeu com o Active Directory sobre a conta. Isto inclui todos os atributos, como Distinguished Name, SID, LockoutTime e PasswordExpiryTime. Para contas de utilizador, inclui dados como Departamento, Correio e Número de Telefone. Para contas de computador, inclui dados como OperatingSystem, IsDomainController e DnsName.

Ficheiro Json de Perfil de Entidade Exclusivo

Inclui todos os dados que o Defender para Identidade cria perfis na entidade. O Defender para Identidade utiliza as atividades de rede e eventos capturadas para saber mais sobre os utilizadores e computadores do ambiente. Os perfis do Defender para Identidade são informações relevantes por entidade. Estas informações contribuem com as capacidades de identificação de ameaças do Defender para Identidade.

Como posso utilizar as informações do Defender para Identidade numa investigação?

As investigações podem ser tão detalhadas quanto necessário. Seguem-se algumas ideias de formas de investigar com os dados fornecidos pelo Defender para Identidade.

• Verifique se todos os utilizadores relacionados pertencem ao mesmo grupo ou departamento.
• Os utilizadores relacionados partilham recursos, aplicações ou computadores?
• Uma conta está ativa mesmo que o passwordExpiryTime já tenha passado?

Defender para Identidade e NNR (Resolução de Nomes de Rede)

As capacidades de deteção do Defender para Identidade dependem da Resolução de Nomes de Rede (NNR) ativa para resolve IPs para computadores na sua organização. Com o NNR, o Defender para Identidade consegue correlacionar entre atividades não processadas (que contêm endereços IP) e os computadores relevantes envolvidos em cada atividade. Com base nas atividades não processadas, o Defender para Identidade cria perfis de entidades, incluindo computadores, e gera alertas.

Os dados NNR são cruciais para detetar os seguintes alertas:

• Suspeita de roubo de identidade (passagem da permissão)
• Ataque DCSync suspeito (replicação de serviços de diretório)
• Reconhecimento de mapeamento de rede (DNS)

Utilize as informações NNR fornecidas no separador Atividades de Rede do relatório de transferência de alertas para determinar se um alerta é um FP. Nos casos de um alerta FP , é comum ter o resultado de certeza NNR dado com pouca confiança.

Os dados do relatório de transferência são apresentados em duas colunas:

• Computador de origem/destino

  • Certeza – a certeza de baixa resolução pode indicar uma resolução de nomes incorreta.

• Computador de origem/destino

  • Método de resolução – fornece os métodos NNR utilizados para resolve o IP para o computador na organização.

Para obter mais informações sobre como trabalhar com alertas de segurança do Defender para Identidade, veja Trabalhar com alertas de segurança.

Conteúdo relacionado

• Investigar um utilizador
• Investigar um computador
• Trabalhar com caminhos de movimento lateral
• Consulte o fórum do Defender para Identidade!