Investigar recursos
Microsoft Defender para Identidade fornece aos utilizadores Microsoft Defender XDR provas de quando os utilizadores, computadores e dispositivos realizaram atividades suspeitas ou mostram sinais de serem comprometidos.
Este artigo fornece recomendações sobre como determinar riscos para a sua organização, decidir como remediar e determinar a melhor forma de evitar ataques semelhantes no futuro.
Passos de investigação para utilizadores suspeitos
Nota
Para obter informações sobre como ver perfis de utilizador no Microsoft Defender XDR, veja Microsoft Defender XDR documentação.
Se um alerta ou incidente indicar que um utilizador pode estar suspeito ou comprometido, verifique e investigue o perfil de utilizador para obter os seguintes detalhes e atividades:
Identidade do utilizador
- O utilizador é um utilizador confidencial (por exemplo, administrador ou numa lista de observação, etc.)?
- Qual é a função deles na organização?
- São significativos na árvore organizacional?
Investigar atividades suspeitas, tais como:
- O utilizador tem outros alertas abertos no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Endpoint, Microsoft Defender para a Cloud e/ou Microsoft Defender for Cloud Apps?
- O utilizador falhou nos inícios de sessão?
- A que recursos acedeu o utilizador?
- O utilizador acedeu a recursos de alto valor?
- Era suposto o utilizador aceder aos recursos a que acedeu?
- Em que dispositivos o utilizador iniciou sessão?
- Era suposto o utilizador iniciar sessão nesses dispositivos?
- Existe um caminho de movimento lateral (LMP) entre o utilizador e um utilizador confidencial?
Utilize as respostas a estas perguntas para determinar se a conta aparece comprometida ou se as atividades suspeitas implicam ações maliciosas.
Localize as informações de identidade nas seguintes áreas de Microsoft Defender XDR:
- Páginas de detalhes de identidade individual
- Página de detalhes de alertas individuais ou incidentes
- Páginas de detalhes do dispositivo
- Consultas de investigação avançadas
- A página Centro de ação
Por exemplo, a imagem seguinte mostra os detalhes numa página de detalhes de identidade:
Detalhes da identidade
Quando investigar uma identidade específica, verá os seguintes detalhes numa página de detalhes de identidade:
Área de página de detalhes de identidade | Descrição |
---|---|
Separador Descrição geral | Dados de identidade gerais, como o nível de risco de identidade Microsoft Entra, o número de dispositivos em que o utilizador tem sessão iniciada, quando o utilizador foi visto pela primeira vez e pela última vez, as contas do utilizador e informações mais importantes. Utilize o separador Descrição Geral para ver também gráficos para incidentes e alertas, a classificação de prioridade de investigação, uma árvore organizacional, etiquetas de entidade e uma linha cronológica de atividade classificada. |
Incidentes e alertas | Listas incidentes ativos e alertas que envolvam o utilizador dos últimos 180 dias, incluindo detalhes como a gravidade do alerta e a hora em que o alerta foi gerado. |
Observado na organização | Inclui as seguintes sub-áreas: - Dispositivos: os dispositivos nos quais a identidade iniciou sessão, incluindo a maioria e menos utilizados nos últimos 180 dias. - Localizações: as localizações observadas da identidade nos últimos 30 dias. - Grupos: todos os grupos no local observados para a identidade. - Caminhos de movimento lateral – todos os caminhos de movimento lateral criados no perfil do ambiente no local. |
Linha cronológica da identidade | A linha cronológica representa atividades e alertas observados a partir da identidade de um utilizador dos últimos 180 dias, unificando as entradas de identidade em Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps e Microsoft Defender para Endpoint. Utilize a linha cronológica para se concentrar nas atividades que um utilizador realizou ou que lhes foram executadas em intervalos de tempo específicos. Selecione os 30 dias predefinidos para alterar o intervalo de tempo para outro valor incorporado ou para um intervalo personalizado. |
Ações de remediação | Responda aos utilizadores comprometidos ao desativar as contas ou ao repor a palavra-passe. Depois de tomar medidas sobre os utilizadores, pode verificar os detalhes da atividade no Microsoft Defender XDR **Centro de ação. |
Nota
A Classificação de Prioridade de Investigação foi preterida a 3 de dezembro de 2025. Como resultado, tanto a discriminação da Classificação de Prioridade de Investigação como os cartões de linha cronológica da atividade classificada foram removidos da IU.
Para obter mais informações, veja Investigar utilizadores na documentação do Microsoft Defender XDR.
Passos de investigação para grupos suspeitos
Se um alerta ou investigação de incidentes estiver relacionado com um grupo do Active Directory, verifique a entidade do grupo para obter os seguintes detalhes e atividades:
Entidade de grupo
- O grupo é um grupo confidencial, como Administradores de Domínio?
- O grupo inclui utilizadores confidenciais?
Investigar atividades suspeitas, tais como:
- O grupo tem outros alertas abertos e relacionados no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Endpoint, Microsoft Defender para a Cloud e/ou Microsoft Defender for Cloud Apps?
- A que utilizadores foram adicionados ou removidos recentemente do grupo?
- O grupo foi consultado recentemente e por quem?
Utilize as respostas a estas perguntas para ajudar na sua investigação.
No painel de detalhes de uma entidade de grupo, selecione Ir investigar ou Abrir linha cronológica para investigar. Também pode encontrar informações de grupo nas seguintes áreas de Microsoft Defender XDR:
- Página de detalhes de alertas individuais ou incidentes
- Páginas de detalhes do dispositivo ou do utilizador
- Consultas de investigação avançadas
Por exemplo, a imagem seguinte mostra a linha cronológica da atividade Operadores de Servidor , incluindo alertas e atividades relacionados dos últimos 180 dias:
Passos de investigação para dispositivos suspeitos
Microsoft Defender XDR alerta lista todos os dispositivos e utilizadores ligados a cada atividade suspeita. Selecione um dispositivo para ver a página de detalhes do dispositivo e, em seguida, investigue os seguintes detalhes e atividades:
O que aconteceu na altura da atividade suspeita?
- Que utilizador iniciou sessão no dispositivo?
- Normalmente, esse utilizador inicia sessão ou acede ao dispositivo de origem ou destino?
- Que recursos foram acedidos? Por que utilizadores? Se os recursos fossem acedidos, eram recursos de alto valor?
- Era suposto o utilizador aceder a esses recursos?
- O utilizador que acedeu ao dispositivo realizou outras atividades suspeitas?
Atividades mais suspeitas a investigar:
- Foram abertos outros alertas ao mesmo tempo que este alerta no Defender para Identidade ou noutras ferramentas de segurança, como Microsoft Defender para Endpoint, Microsoft Defender para a Cloud e/ou Microsoft Defender for Cloud Apps?
- Houve falhas nos inícios de sessão?
- Foram implementados ou instalados novos programas?
Utilize as respostas a estas perguntas para determinar se o dispositivo aparece comprometido ou se as atividades suspeitas implicam ações maliciosas.
Por exemplo, a imagem seguinte mostra uma página de detalhes do dispositivo:
Para obter mais informações, veja Investigar dispositivos na documentação do Microsoft Defender XDR.
Passos seguintes
- Investigar Caminhos de Movimento Lateral (LMPs)
- Investigar utilizadores no Microsoft Defender XDR
- Investigar incidentes no Microsoft Defender XDR
Sugestão
Experimente o nosso guia interativo: Investigar e responder a ataques com Microsoft Defender para Identidade