Compartilhar via

Investigar recursos

  • Artigo

Microsoft Defender para Identidade fornece aos utilizadores Microsoft Defender XDR provas de quando os utilizadores, computadores e dispositivos realizaram atividades suspeitas ou mostram sinais de serem comprometidos.

Este artigo fornece recomendações sobre como determinar riscos para a sua organização, decidir como remediar e determinar a melhor forma de evitar ataques semelhantes no futuro.

Passos de investigação para utilizadores suspeitos

Observação

Para obter informações sobre como ver perfis de utilizador no Microsoft Defender XDR, veja Microsoft Defender XDR documentação.

Se um alerta ou incidente indicar que um utilizador pode estar suspeito ou comprometido, marcar e investigue o perfil de utilizador para obter os seguintes detalhes e atividades:

  • Identidade do utilizador

    • O utilizador é um utilizador confidencial (por exemplo, administrador ou numa lista de observação, etc.)?
    • Qual é a função deles na organização?
    • São significativos na árvore organizacional?

  • Investigar atividades suspeitas, tais como:

    • O utilizador tem outros alertas abertos no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Ponto de Extremidade, Microsoft Defender para a Cloud e/ou Microsoft Defender para Aplicativos de Nuvem?
    • O utilizador falhou nos inícios de sessão?
    • A que recursos acedeu o utilizador?
    • O utilizador acedeu a recursos de alto valor?
    • Era suposto o utilizador aceder aos recursos a que acedeu?
    • Em que dispositivos o utilizador iniciou sessão?
    • Era suposto o utilizador iniciar sessão nesses dispositivos?
    • Existe um caminho de movimento lateral (LMP) entre o utilizador e um utilizador confidencial?

Utilize as respostas a estas perguntas para determinar se a conta aparece comprometida ou se as atividades suspeitas implicam ações maliciosas.

Localize as informações de identidade nas seguintes áreas de Microsoft Defender XDR:

  • Páginas de detalhes de identidade individual
  • Página de detalhes de alertas individuais ou incidentes
  • Páginas de detalhes do dispositivo
  • Consultas de investigação avançadas
  • A página Centro de ação

Por exemplo, a imagem seguinte mostra os detalhes numa página de detalhes de identidade:

Captura de ecrã a mostrar a página de um utilizador específico no portal do Microsoft Defender.

Detalhes da identidade

Quando investigar uma identidade específica, verá os seguintes detalhes numa página de detalhes de identidade:

Área de página de detalhes de identidade Descrição
Separador Descrição geral Dados de identidade gerais, como o nível de risco de identidade Microsoft Entra, o número de dispositivos em que o utilizador tem sessão iniciada, quando o utilizador foi visto pela primeira vez e pela última vez, as contas do utilizador e informações mais importantes.

Utilize o separador Descrição geral para ver também gráficos para incidentes e alertas, a classificação de prioridade de investigação, uma árvore organizacional, etiquetas de entidade e uma atividade classificada linha do tempo.
Incidentes e alertas Listas incidentes ativos e alertas que envolvam o utilizador dos últimos 180 dias, incluindo detalhes como a gravidade do alerta e a hora em que o alerta foi gerado.
Observado na organização Inclui as seguintes sub-áreas:
- Dispositivos: os dispositivos nos quais a identidade iniciou sessão, incluindo a maioria e menos utilizados nos últimos 180 dias.
- Localizações: as localizações observadas da identidade nos últimos 30 dias.
- Grupos: todos os grupos no local observados para a identidade.
- Caminhos de movimento lateral – todos os caminhos de movimento lateral criados no perfil do ambiente no local.
Linha do tempo de identidade O linha do tempo representa atividades e alertas observados a partir da identidade de um utilizador dos últimos 180 dias, unificando entradas de identidade em Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Ponto de Extremidade.

Utilize o linha do tempo para se concentrar nas atividades que um utilizador realizou ou que lhes foram executadas em intervalos de tempo específicos. Selecione os 30 dias predefinidos para alterar o intervalo de tempo para outro valor incorporado ou para um intervalo personalizado.
Ações de correção Responda aos utilizadores comprometidos ao desativar as contas ou ao repor a palavra-passe. Depois de tomar medidas sobre os utilizadores, pode marcar os detalhes da atividade no Microsoft Defender XDR **Centro de ação.

Observação

A Classificação de Prioridade de Investigação foi preterida a 3 de dezembro de 2025. Como resultado, tanto a discriminação da Classificação de Prioridade de Investigação como os cartões de linha do tempo de atividade classificada foram removidos da IU.

Para obter mais informações, veja Investigar utilizadores na documentação do Microsoft Defender XDR.

Passos de investigação para grupos suspeitos

Se um alerta ou investigação de incidente estiver relacionado com um grupo do Active Directory, marcar a entidade de grupo para obter os seguintes detalhes e atividades:

  • Entidade de grupo

    • O grupo é um grupo confidencial, como Administradores de Domínio?
    • O grupo inclui utilizadores confidenciais?

  • Investigar atividades suspeitas, tais como:

    • O grupo tem outros alertas abertos e relacionados no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Ponto de Extremidade, Microsoft Defender para a Cloud e/ou Microsoft Defender para Aplicativos de Nuvem?
    • A que utilizadores foram adicionados ou removidos recentemente do grupo?
    • O grupo foi consultado recentemente e por quem?

Utilize as respostas a estas perguntas para ajudar na sua investigação.

No painel de detalhes de uma entidade de grupo, selecione Ir investigar ou Abrir linha do tempo para investigar. Também pode encontrar informações de grupo nas seguintes áreas de Microsoft Defender XDR:

  • Página de detalhes de alertas individuais ou incidentes
  • Páginas de detalhes do dispositivo ou do utilizador
  • Consultas de investigação avançadas

Por exemplo, a imagem seguinte mostra a atividade Operadores de Servidor linha do tempo, incluindo alertas e atividades relacionados dos últimos 180 dias:

Captura de ecrã do separador Linha Cronológica do grupo.

Passos de investigação para dispositivos suspeitos

Microsoft Defender XDR alerta lista todos os dispositivos e utilizadores ligados a cada atividade suspeita. Selecione um dispositivo para ver a página de detalhes do dispositivo e, em seguida, investigue os seguintes detalhes e atividades:

  • O que aconteceu na altura da atividade suspeita?

    • Que utilizador iniciou sessão no dispositivo?
    • Normalmente, esse utilizador inicia sessão ou acede ao dispositivo de origem ou destino?
    • Que recursos foram acedidos? Por que utilizadores? Se os recursos fossem acedidos, eram recursos de alto valor?
    • Era suposto o utilizador aceder a esses recursos?
    • O utilizador que acedeu ao dispositivo realizou outras atividades suspeitas?

  • Atividades mais suspeitas a investigar:

    • Foram abertos outros alertas ao mesmo tempo que este alerta no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Ponto de Extremidade, Microsoft Defender para a Cloud e/ou Microsoft Defender para Aplicativos de Nuvem?
    • Houve falhas nos inícios de sessão?
    • Foram implementados ou instalados novos programas?

Utilize as respostas a estas perguntas para determinar se o dispositivo aparece comprometido ou se as atividades suspeitas implicam ações maliciosas.

Por exemplo, a imagem seguinte mostra uma página de detalhes do dispositivo:

Captura de ecrã a mostrar uma página de detalhes do dispositivo.

Para obter mais informações, veja Investigar dispositivos na documentação do Microsoft Defender XDR.

Próximas etapas

Dica

Experimente o nosso guia interativo: Investigar e responder a ataques com Microsoft Defender para Identidade