Interrupção automática de ataques no Microsoft Defender para Empresas
Um ataque operado por humanos é um ataque ativo de cibercriminosos que se infiltram numa organização, elevam os seus privilégios, navegam na rede e implementam ransomware ou roubam informações. Estes tipos de ataques podem ser catastróficos para operações empresariais, tendem a ser difíceis de resolver e, por vezes, continuam a ameaçar as operações empresariais após o encontro inicial. Para obter mais informações, veja Ataques de ransomware operados por humanos.
Para ajudar a proteger contra ataques operados por humanos ou outros ataques avançados, Microsoft Defender XDR adicionado a interrupção automática de ataques em novembro de 2022 para clientes empresariais. Agora, estas capacidades estão a chegar ao Defender para Empresas! Este artigo descreve como funciona a interrupção automática de ataques, como ver detalhes sobre um ataque e como obter estas capacidades.
Como funciona a interrupção automática de ataques
A interrupção automática do ataque foi concebida para:
- Contenham ataques avançados em curso;
- Limitar o impacto e a progressão dos ataques nos seus recursos empresariais (como dispositivos); e
- Dê mais tempo à sua equipa de TI/segurança para remediar totalmente um ataque.
A interrupção automática de ataques utiliza informações de investigadores de segurança da Microsoft e modelos avançados de IA para contrariar as complexidades de ataques avançados. Limita o progresso de um ator de ameaças no início e reduz drasticamente o impacto global de um ataque, desde os custos associados à perda de produtividade. Veja alguns exemplos no Blogue de Segurança da Microsoft.
Com a interrupção automática do ataque, assim que um ataque operado por humanos é detetado num dispositivo, são tomadas medidas imediatamente para conter o dispositivo afetado e as contas de utilizador no dispositivo. É criado um incidente no portal Microsoft Defender (https://security.microsoft.com). Aí, a equipa de TI/segurança pode ver detalhes sobre o risco e o estado de contenção dos recursos comprometidos durante e após o processo. Uma página Incidente fornece detalhes sobre o ataque e o estado atualizado dos recursos afetados.
As ações de resposta automatizadas incluem:
- Conter um dispositivo ao bloquear a comunicação de entrada/saída
- Conter uma conta de utilizador ao desligar as ligações de utilizador atuais ao nível do dispositivo
Importante
- Para ver informações sobre um ataque avançado detetado, tem de ter uma função adequada, como Leitor de Segurança ou Administrador de Segurança atribuído.
- Para efetuar ações de remediação, libertar um dispositivo/utilizador contido ou reativar uma conta de utilizador, tem de ter a função Administrador de Segurança atribuída.
- Veja Funções e permissões de segurança no Defender para Empresas.
Ver detalhes sobre um ataque no portal do Microsoft Defender
No portal Microsoft Defender, aceda a Incidentes.
Selecione um incidente marcado com Interrupção do Ataque.
Reveja o gráfico de incidentes, que lhe permite obter toda a história do ataque e avaliar o impacto e o estado da interrupção do ataque.
Quando estiver pronto para libertar uma conta de utilizador ou dispositivo contido ou reativar uma conta de utilizador, siga um dos seguintes passos:
- Para libertar um dispositivo contido, selecione o dispositivo e, em seguida, selecione Libertar da contenção.
- Para libertar um utilizador contido, selecione a conta de utilizador e, em seguida, no painel lateral, selecione Anular.
Os incidentes interrompidos incluem uma etiqueta para Attack Disruption
e o tipo de ameaça específico identificado (como ransomware). Se a sua equipa de TI/segurança receber notificações por e-mail de incidentes, estas etiquetas também serão apresentadas nos e-mails.
Quando um incidente é interrompido, o texto realçado aparece abaixo do título do incidente. Os dispositivos contidos ou contas de utilizador são listados com uma etiqueta que indica o respetivo estado.
Controlar ações de interrupção de ataques no Centro de ação
O Centro de ação reúne todas as ações de remediação e resposta, quer essas ações tenham sido realizadas automaticamente ou manualmente. Pode ver todas as ações de interrupção automática de ataques no Centro de ação. Além disso, depois de a equipa de TI/segurança ter mitigado o risco e concluído a investigação de um incidente, pode libertar recursos contidos.
No portal Microsoft Defender, aceda a Ações & submissões>Centro de ação.
Selecione o separador Histórico .
Selecione uma ação, como Conter utilizador ou Conter dispositivo e, em seguida, selecione Anular.
Para obter mais informações, veja Rever as ações de remediação no Centro de ação.
Como obter a interrupção automática de ataques
A interrupção automática de ataques está incorporada no Defender para Empresas; não tem de ativar explicitamente estas capacidades. É importante integrar todos os dispositivos da sua organização (computadores, telemóveis e tablets) para Defender para Empresas para que sejam protegidos o mais rapidamente possível.
Além disso, inscreva-se para receber funcionalidades de pré-visualização para que obtenha as funcionalidades mais recentes e maiores assim que estiverem disponíveis.