Responder a um incidente usando o Microsoft Sentinel no portal do Azure com o Microsoft Defender XDR
Este artigo explica como resolver incidentes de segurança usando o Microsoft Sentinel no portal do Azure e no Microsoft Defender XDR. Conheça as diretrizes passo a passo sobre triagem, investigação e resolução para garantir a resposta rápida a incidentes.
- As atualizações sobre o ciclo de vida (status, proprietário, classificação) são compartilhadas entre os produtos.
- As evidências coletadas durante uma investigação são mostradas no incidente do Microsoft Sentinel.
Para obter mais informações sobre a integração do Microsoft Defender ao Microsoft Sentinel, consulte integração do Microsoft Defender XDR ao Microsoft Sentinel. Este guia interativo orienta você na detecção e resposta a ataques modernos com as funcionalidades de gerenciamento unificado de eventos e informações de segurança (SIEM) e detecção e resposta estendidas (XDR) da Microsoft.
Triagem de incidentes
Inicie a triagem no portal do Azure com o Microsoft Sentinel para examinar os detalhes do incidente e tomar medidas imediatas. Na página Incidentes, localize o incidente suspeito e atualize detalhes como: nome do responsável, status, e gravidade, ou adicionar comentários. Faça uma busca detalhada para obter informações adicionais para continuar sua investigação.
Para obter mais informações, consulte Navegar, fazer triagem e gerenciar incidentes do Microsoft Sentinel no portal do Azure
Investigação de incidentes
Use o portal do Azure como sua principal ferramenta de resposta a incidentes e, em seguida, alterne para o portal do Defender para uma investigação mais detalhada.
Por exemplo:
| Portal | Tarefas |
|---|---|
| no portal do Azure | Use o Microsoft Sentinel no portal do Azure para correlacionar o incidente com seus processos, políticas e procedimentos de segurança (3P). Em uma página de detalhes do incidente, selecione Investigar no Microsoft Defender XDR para abrir o mesmo incidente no portal do Defender. |
| no portal do Defender | Investigue detalhes como o escopo do incidente, os cronogramas dos ativos e as ações pendentes de auto-recuperação. Talvez você também precise corrigir manualmente as entidades, realizar uma resposta em tempo real e adicionar medidas de prevenção. Na guia História do Ataque na página de detalhes do incidente: - Exiba a história de ataque do incidente para entender seu escopo, gravidade, origem de detecção e quais entidades são afetadas. - Analise os alertas do incidente para entender sua origem, escopo e gravidade com a história do alerta dentro do incidente. - Conforme necessário, colete informações sobre dispositivos, usuários e caixas de correio afetados com o grafo. Selecione qualquer entidade para abrir uma janela de detalhes com todas as informações. - Veja como o Microsoft Defender XDR resolveu automaticamente alguns alertas com a guia Investigações do. - Conforme necessário, use as informações do conjunto de dados para o incidente na guia Evidência e Resposta. |
| no portal do Azure | Retorne ao portal do Azure para executar ações de incidentes extras, como: – Executar ações 3P de investigação e correção automatizadas - Criando guias estratégicos de orquestração, automação e resposta de segurança personalizados (SOAR) – Registrando evidências para o gerenciamento de incidentes, como comentários para registrar suas ações e os resultados de sua análise. - Adicionando medidas personalizadas. |
Para obter mais informações, consulte:
- Investigar detalhadamente os incidentes do Microsoft Sentinel no portal do Azure
- Gerenciar incidentes no Microsoft Defender
Automação com o Microsoft Sentinel
Use a funcionalidade de regras de automação e guia estratégico do Microsoft Sentinel:
Um guia estratégico é uma coleção de ações de investigação e correção executadas no portal do Microsoft Sentinel como uma rotina. Os guias estratégicos ajudam a automatizar e orquestrar sua resposta a ameaças. Eles são executados manualmente em incidentes, entidades ou alertas, ou automaticamente quando acionados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos.
As Regras de Automação permitem controlar centralmente a automação no Microsoft Sentinel, definindo e coordenando um pequeno conjunto de regras que se aplicam sob diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Resolução de incidentes
Quando a investigação for concluída e você tiver corrigido o incidente nos portais, resolva-o. Para obter mais informações, consulte Encerrando um incidente no portal do Azure.
Reporte o incidente ao responsável pela resposta a incidentes para possíveis ações de acompanhamento. Por exemplo:
- Informe seus analistas de segurança de camada 1 para detectar melhor o ataque antecipadamente.
- Pesquise o ataque na Análise de Ameaças do Microsoft Defender XDR e na comunidade de segurança para obter uma tendência de ataque de segurança.
- Registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e guias estratégicos padrão.
- Determine se as alterações na configuração de segurança são necessárias e implementá-las.
- Crie um guia estratégico de orquestração para automatizar sua resposta a ameaças para riscos semelhantes. Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
Conteúdo relacionado
Para obter mais informações, consulte: