Descrever a inteligência contra ameaças do Microsoft Defender

  • 5 minutos

Os analistas de inteligência contra ameaças lutam para equilibrar uma amplitude de ingestão de inteligência contra ameaças com a análise de qual inteligência contra ameaças representa as maiores ameaças à sua organização e/ou setor. Da mesma forma, os analistas de inteligência de vulnerabilidades lutam para correlacionar seu inventário de ativos com as informações sobre Vulnerabilidades e Exposições Comuns (CVE) para priorizar a investigação e a correção das vulnerabilidades mais críticas associadas à sua organização.

A Inteligência contra Ameaças do Microsoft Defender aborda esses desafios agregando e enriquecendo fontes de dados críticas e exibindo-as em uma interface inovadora e fácil de usar. Os analistas conseguem, então, correlacionar os indicadores de comprometimento (IOCs) aos respectivos artigos, perfis de agentes de ameaças e vulnerabilidades. O Defender TI também permite que os analistas colaborem em investigações com outros colegas que sejam usuários licenciados do Defender TI dentro de seu locatário.

A funcionalidade de Inteligência contra Ameaças do Microsoft Defender inclui:

  • Análise de ameaças
  • Perfis de Inteligência
  • Explorador de Inteligência
  • Projetos

Análise de ameaças

A análise de ameaças ajuda você, como um analista, a entender como as ameaças emergentes afetam o ambiente da sua organização.

Os relatórios de análise de ameaças fornecem uma análise de uma ameaça rastreada e diretrizes abrangentes sobre como se defender contra a ameaça em questão. Ele também incorpora dados de sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor. Você pode filtrar e pesquisar nos relatórios, mas o Defender TI também fornece um painel de controle.

O painel de análise de ameaças destaca os relatórios que são mais relevantes para sua organização. As ameaças são resumidas em três categorias:

  • Ameaças mais recentes: lista os relatórios de ameaças atualizados ou publicados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de alto impacto: lista as ameaças que exercem o maior impacto sobre a sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Maior exposição: lista as ameaças às quais sua organização tem a maior exposição. Seu nível de exposição a uma ameaça é calculado usando duas informações: a gravidade das vulnerabilidades associadas à ameaça e quantos dispositivos da sua organização poderiam ser explorados por essas vulnerabilidades.

Cada relatório fornece uma visão geral, um relatório de analista, incidentes relacionados, ativos afetados, exposição de pontos de extremidade e ações recomendadas.

Perfis de inteligência

Os perfis de inteligência são uma fonte definitiva do conhecimento compartilhável da Microsoft sobre ferramentas mal-intencionadas, vulnerabilidades e os agentes de ameaças rastreados. Esse conteúdo é especialmente selecionado e atualizado continuamente pelos especialistas em Inteligência contra Ameaças da Microsoft para fornecer um contexto de ameaças relevante e acionável.

Explorador de inteligência

O explorador de inteligência é o recurso em que os analistas podem examinar rapidamente os novos artigos em destaque e executar uma busca por palavra-chave, indicador ou ID de CVE para iniciar seus esforços de triagem, resposta a incidentes, busca focada e coleta de inteligência.

Os artigos da Inteligência contra Ameaças da Microsoft Defender são narrativas que fornecem insights sobre agentes de ameaças, conjuntos de ferramentas, ataques e vulnerabilidades. Os artigos resumem as diferentes ameaças e também se vinculam a um conteúdo acionável e aos principais IOCs para ajudar os usuários a tomarem providências.

O Defender TI oferece pesquisas de ID CVE para ajudar os usuários a identificar informações críticas sobre a CVE. As pesquisas de CVE-ID resultam em Artigos de Vulnerabilidade.

Projetos de inteligência

A Inteligência contra Ameaças do Microsoft Defender (Defender TI) permite que você crie projetos e organize os indicadores de interesse e de comprometimento (IOCs) de uma investigação. Os projetos contêm uma lista de todos os artefatos associados e um histórico detalhado que retém os nomes, as descrições, os colaboradores e perfis de monitoramento.

Inteligência contra Ameaças do Microsoft Defender no portal do Microsoft Defender

O Defender TI da Microsoft é vivenciado por meio do portal do Microsoft Defender.

O nó de Inteligência contra Ameaças no painel de navegação do portal do Microsoft Defender é o local onde você pode encontrar a funcionalidade de Inteligência contra Ameaças do Microsoft Defender.

Uma captura de tela das opções selecionáveis para a inteligência contra ameaças no painel de navegação do lado esquerdo do portal do Microsoft Defender.

Para ver uma captura de tela de cada uma das categorias, selecione a guia na imagem que se segue. Em cada caso, há um painel lateral que mostra o recurso incorporado do Microsoft Security Copilot.

Integração do Microsoft Security Copilot com as Informações sobre ameaças da Microsoft

O Copilot da Segurança se integra ao Microsoft Defender TI. Com o plug-in do Defender TI habilitado, o Copilot fornece informações sobre grupos de atividades de ameaças, indicadores de comprometimento (IOCs), ferramentas e inteligência contra ameaças contextual. Você pode usar prompts e livros de prompts para investigar incidentes, enriquecer seus fluxos de busca com informações de inteligência contra ameaças ou obter mais conhecimento sobre o cenário de ameaças globais ou da sua organização.

As funcionalidades da Inteligência contra Ameaças do Microsoft Defender no Copilot são prompts integrados que você pode usar, mas você também pode inserir seus próprios prompts com base nas funcionalidades com suporte. A imagem a seguir mostra apenas um subconjunto dos recursos com suporte.

Captura de tela dos recursos do sistema Defender TI que podem ser executados na experiência autônoma.

O Copilot também inclui um promptbook integrado que fornece informações do Defender TI, incluindo:

  • Avaliação do impacto da vulnerabilidade: gera um relatório resumindo a inteligência de uma vulnerabilidade conhecida, incluindo etapas sobre como resolvê-la.
  • Perfil do ator da ameaça: gera um relatório com o perfil de um grupo de atividades conhecido, incluindo sugestões de defesa em relação as suas ferramentas e táticas comuns.

A integração do Copilot com o Defender TI também pode ser experimentada por meio da experiência incorporada. Você pode experimentar a funcionalidade do Security Copilot para pesquisar inteligência sobre ameaças nas seguintes páginas do portal do Microsoft Defender:

  • Análise de ameaças
  • Perfis de inteligência
  • Explorador de inteligência
  • Projetos de inteligência

Para cada uma dessas páginas, você pode usar um dos prompts disponíveis ou inserir seu próprio prompt.

Captura de tela dos prompts do Copilot incorporados no Defender TI no portal do Microsoft Defender.