Deteção de ameaças na plataforma SecOps unificada da Microsoft
As ameaças de cibersegurança abundam no panorama tecnológico atual. Muito ruído é criado pelo espectro constante de violação e uma abundância de sinais disponíveis para centros de operações de segurança. A plataforma SecOps unificada da Microsoft separa as ameaças acionáveis do ruído. Cada serviço na plataforma SecOps unificada da Microsoft adiciona as suas próprias deteções otimizadas para corresponder à tez da solução que fornece e coloca tudo junto num único dashboard.
A plataforma SecOps unificada da Microsoft no portal do Microsoft Defender reúne deteções sob a forma de alertas e incidentes de Microsoft Defender XDR, Microsoft Sentinel e Microsoft Defender para a Cloud.
Deteção de ameaças no portal do Microsoft Defender
As equipas de segurança precisam de concentração e clareza para eliminar falsos positivos. O portal Microsoft Defender correlaciona e intercala alertas e incidentes de todas as soluções de conformidade e segurança da Microsoft suportadas e unifica a deteção de ameaças de soluções externas através de Microsoft Sentinel e Microsoft Defender para a Cloud. A correlação e intercalação destes sinais traz contexto e priorização avançados. Por exemplo, um ataque de phishing Adversary-in-The-Middle (AiTM) pode ter partes do puzzle de ameaças espalhadas por várias origens. O portal do Defender coloca essas peças juntas numa história de ataque, ao mesmo tempo que fornece uma interrupção do ataque e uma resposta guiada para remediar a ameaça.
A imagem seguinte mostra os incidentes dashboard a correlacionar sinais de vários serviços, incluindo as origens de deteção individuais para uma história de ataque completa do AiTM.
Cada produto de segurança da Microsoft suportado ativado desbloqueia mais sinais para transmitir para o portal do Defender. Para obter mais informações sobre como estes sinais são cosidos e priorizados, veja Incidentes e alertas no portal do Microsoft Defender.
Microsoft Defender XDR deteção de ameaças
Defender XDR tem uma capacidade de correlação exclusiva que fornece uma camada extra de análise de dados e deteção de ameaças. A tabela seguinte fornece exemplos de como os serviços de segurança suportados são otimizados para detetar ameaças que correspondam ao caráter da solução.
| serviço Defender XDR | Especialidade de deteção de ameaças |
|---|---|
| Microsoft Defender para Ponto de Extremidade | Microsoft Defender antivírus deteta software maligno polimórfico com análise heurística e baseada em comportamento em pontos finais, como dispositivos móveis, computadores de secretária e muito mais. |
| Microsoft Defender para Office 365 | Deteta phishing, software maligno, ligações armadas e muito mais no e-mail, Teams e OneDrive. |
| Microsoft Defender para Identidade | Deteta escalamento de privilégios, movimento lateral, deteção, evasão de defesa, persistência e muito mais em identidades no local e na cloud. |
| Microsoft Defender for Cloud Apps | Deteta atividades suspeitas através da análise comportamental de utilizadores e entidades (UEBA) em aplicações na cloud. |
| Gerenciamento de Vulnerabilidades do Microsoft Defender | Deteta vulnerabilidades em dispositivos que fornecem contexto significativo para investigações. |
| Microsoft Entra ID Protection | Deteta riscos associados a inícios de sessão como viagens impossíveis, IPs de ator de ameaças verificados, fuga de credenciais, sprays de palavra-passe e muito mais. |
| Prevenção de Perda de Dados da Microsoft | Deteta riscos e comportamento associados à partilha excessiva e à transferência de informações confidenciais em todos os serviços do Microsoft 365, aplicações do Office, pontos finais e muito mais. |
Para obter mais informações, consulte O que é Microsoft Defender XDR?
Microsoft Sentinel deteção de ameaças
Microsoft Sentinel ligado ao portal do Defender permite a recolha de dados de um grande número de origens da Microsoft e não da Microsoft, mas não fica por aqui. Com as capacidades de gestão de ameaças do Microsoft Sentinel, irá obter as ferramentas necessárias para detetar e organizar ameaças ao seu ambiente.
| Funcionalidade de gestão de ameaças | Capacidade de deteção | Para obter mais informações |
|---|---|---|
| Cobertura da MITRE ATT&CK | Organize a cobertura da deteção de ameaças e compreenda as lacunas. | Compreender a cobertura de segurança pela arquitetura MITRE ATT&CK® |
| Análise | As regras exploram constantemente os seus dados para gerar alertas e incidentes e integram esses sinais no portal do Defender. | Detetar ameaças fora da caixa |
| Listas de observação | Organize relações significativas no seu ambiente para melhorar a qualidade e atribuição de prioridades às deteções. | Listas de observação no Microsoft Sentinel |
| Pastas de trabalho | Detetar ameaças com informações visuais, especialmente para monitorizar o estado de funcionamento da sua recolha de dados e compreender as lacunas que impedem a deteção de ameaças adequada. | Visualizar os seus dados com livros |
| Regras de resumo | Otimiza os registos de volumes altos e ruidosos para detetar ameaças em dados de valor de baixa segurança. | Gerar alertas sobre correspondências de informações sobre ameaças em relação a dados de rede |
Para obter mais informações, veja Ligar Microsoft Sentinel ao portal do Microsoft Defender.
Microsoft Defender para deteção de ameaças na cloud
O Defender para a Cloud fornece deteção de ameaças para gerar alertas e incidentes ao monitorizar continuamente os recursos das clouds com análises de segurança avançadas. Estes sinais são integrados diretamente no portal do Defender para classificação de correlação e gravidade. Cada plano ativado no Defender para Cloud adiciona aos sinais de deteção transmitidos para o portal do Defender. Para obter mais informações, veja Alertas e incidentes no Microsoft Defender XDR.
O Defender para a Cloud deteta ameaças numa grande variedade de cargas de trabalho. A tabela seguinte apresenta exemplos de algumas das ameaças que deteta. Para obter mais informações sobre alertas específicos, veja Lista de referência de alertas de segurança.
| Plano do Defender para Cloud | Especialidade de deteção de ameaças |
|---|---|
| Defender para Servidores | Deteta ameaças para Linux e Windows com base em falhas antimalware, ataques sem ficheiros, ataques de mineração criptográfica e ransomware, ataques de força bruta e muito mais. |
| Defender para Armazenamento | Deteta conteúdo de phishing e distribuição de software maligno, acesso e deteção suspeitos, extração de dados invulgar e muito mais. |
| Defender para Contentores | Deteta ameaças no plano de controlo e no runtime da carga de trabalho para exposição de risco, atividade de extração maliciosa ou criptográfica, atividade da shell Web, simulações personalizadas e muito mais. |
| Defender para Bases de Dados | Deteta injeção de SQL, fuzzing, acesso invulgar, tentativas de força bruta e muito mais. |
| Defender para APIs | Deteta picos suspeitos no tráfego, acesso a partir de IPs maliciosos, técnicas de deteção e enumeração de pontos finais de API e muito mais. |
| Proteção contra ameaças de IA | Deteta ameaças em aplicações de IA geradoras para tentativas de jailbreak, exposição de dados confidenciais, IA danificada e muito mais. |
Para obter mais informações, veja Alertas de segurança e incidentes.