Gerar relatórios de inteligência contra ameaças

  • 6 minutos

A triagem e investigação de alertas de segurança pode ser uma tarefa demorada até mesmo para os analistas de segurança mais capacitados, e, para muitos, é difícil até mesmo saber por onde começar. Para muitos, é difícil saber por onde começar.

O Defender para Nuvem usa a análise para conectar as informações entre alertas de segurança distintos. Usando essas conexões, o Defender para Nuvem pode fornecer uma exibição de uma campanha de ataque e seus alertas relacionados para ajudá-lo a entender as ações do invasor e os recursos afetados.

Os incidentes aparecem na página alertas de Segurança. Selecione um incidente para exibir os alertas relacionados e obter mais informações.

Na página de visão geral do Defender para Nuvem, selecione o bloco Alertas de segurança. Os incidentes e alertas são listados. Observe que os incidentes de segurança têm um ícone diferente para alertas de segurança.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Para exibir detalhes, selecione um incidente. A página Incidente de segurança mostra mais detalhes.

Screenshot of Defender for Cloud Security Alert Incident details.

O painel esquerdo da página de incidente de segurança mostra informações de alto nível sobre o incidente de segurança: título, severidade, status, hora da atividade, descrição e o recurso afetado. Ao lado do recurso afetado, você pode ver as marcas relevantes do Azure. Use-as para inferir o contexto organizacional do recurso ao investigar o alerta.

O painel direito inclui a guia alertas com os alertas de segurança que foram correlacionados como parte desse incidente.

Para alternar para a guia Executar ação, selecione a guia ou o botão na parte inferior do painel direito. Use esta guia para executar ações adicionais, como:

  • Mitigar a ameaça – Fornece etapas de correção manual para este incidente de segurança

  • Evitar ataques futuros – Fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros

  • Disparar resposta automatizada – Fornece a opção para disparar um Aplicativo Lógico como uma resposta a este incidente de segurança

  • Suprimir alertas semelhantes – Fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

Para corrigir as ameaças no incidente, siga as etapas de correção fornecidas com cada alerta.

Gerar relatórios de inteligência contra ameaças

A proteção de ameaças do Defender para Nuvem funciona monitorando informações de segurança de seus recursos do Azure, de rede e de soluções de parceiros conectados automaticamente. Ele analisa essas informações geralmente correlacionando informações de várias fontes para identificar ameaças.

Quando o Defender para Nuvem identifica uma ameaça, ele dispara um alerta de segurança com informações sobre um evento, incluindo sugestões de correção. O Defender para Nuvem fornece relatórios de inteligência contra ameaças que contêm informações sobre ameaças detectadas para ajudar as equipes de resposta a incidentes a investigar e corrigir ameaças. O relatório inclui informações como:

  • Identidade ou associações do invasor (se essas informações estiverem disponíveis)

  • Objetivos dos invasores

  • Campanhas de ataque atuais e históricas (se essas informações estiverem disponíveis)

  • Táticas, ferramentas e procedimentos dos invasores

  • Indicadores associados de comprometimento (IoC), como URLs e hashes de arquivo

  • Vitimologia, que é a prevalência do setor e geográfica para auxiliar você na determinação se seus recursos do Azure estão em risco

  • Informações de atenuação e correção

O Defender para Nuvem tem três tipos de relatórios de ameaça, que podem variar de acordo com o ataque. Os relatórios disponíveis são:

  • Relatório de Grupo de Atividade: fornece análises avançadas sobre os invasores, seus objetivos e táticas.

  • Relatório de Campanha: concentra-se nos detalhes de campanhas de ataque específicas.

  • Relatório de Resumo de Ameaças: abrange todos os itens dos dois relatórios anteriores.

Esse tipo de informação é muito útil durante o processo de resposta a incidentes, em que há uma investigação em andamento para compreender a origem do ataque, as motivações do invasor e o que fazer para atenuar esse problema no futuro.

Para acessar o relatório de inteligência contra ameaças

Para gerar o relatório:

Na barra lateral do Defender para Nuvem, abra a página de alertas de segurança.

Selecione um alerta. A página de detalhes de alertas é aberta com mais detalhes sobre o alerta. Veja a seguir os indicadores de Ransomware detectados na página detalhes do alerta.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Selecione o link para o relatório, e um PDF será aberto no navegador padrão.