Investigação e resposta automatizadas (AIR) no Plano 2 do Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Como os alertas de segurança aparecem numa organização do Microsoft 365 em https://security.microsoft.com/alerts, cabe à equipa de operações de segurança (SecOps) rever, priorizar e responder a esses alertas. Acompanhar o volume de alertas recebidos pode ser avassalador. Automatizar algumas dessas tarefas pode ajudar.

Microsoft Defender para Office 365 Plano 2 (incluído em licenças do Microsoft 365 como o E5 ou como uma subscrição autónoma) inclui poderosas capacidades de investigação e resposta automatizada (AIR) que poupam tempo e esforço para as equipas secOps.

A AIR triagem de alto impacto, alertas de volume elevado ao concluir investigações ao nível da organização. As investigações da AIR expandem-se sobre deteções ou fornecem análises adicionais para determinar o estado da ameaça para a organização. Quando o AIR identifica ameaças, coloca em fila as ações de remediação de ameaças para que o pessoal do SecOps aprove. A AIR resulta nos seguintes benefícios:

• Processos de investigação automatizados em resposta a ameaças bem conhecidas.
• Ações de remediação adequadas a aguardar aprovação, permitindo que a equipa do SecOps responda de forma eficaz às ameaças detetadas.
• A sua equipa do SecOps consegue concentrar-se em tarefas de prioridade mais alta sem perder de vista alertas importantes que são acionados.

O AIR no Defender para Office 365 Plano 2 requer que o registo de auditoria esteja ativado (está ativado por predefinição).

O fluxo geral do AR

É acionado um alerta e um manual de procedimentos de segurança inicia uma investigação automatizada, o que resulta em resultados e ações recomendadas. Eis o fluxo geral do AIR, passo a passo:

1. Uma investigação automatizada é iniciada de uma das seguintes formas:

   • Alertas específicos concebidos para iniciar o AIR. Estes alertas incluem:

     • Algo suspeito é identificado no e-mail (por exemplo, a própria mensagem, um anexo, um URL ou uma conta de utilizador comprometida).

     • Remoção automática de zero horas (ZAP).

     • Submissões de utilizadores.

     • O utilizador clica em alertas.

     • Comportamento suspeito da caixa de correio.

       Sugestão

       Certifique-se de que revê regularmente os alertas da sua organização. Para obter mais informações sobre políticas de alerta que acionam investigações automatizadas, veja as políticas de alerta predefinidas na categoria Gestão de ameaças. As entradas que contêm o valor Sim para investigação automatizada podem acionar investigações automatizadas. Se estes alertas estiverem desativados ou substituídos por alertas personalizados, o AIR não será acionado.

   • Um analista de segurança aciona manualmente a investigação ao selecionar Tomar medidas no Explorador de Ameaças, Investigação avançada, deteção personalizada, na página da entidade Email ou no painel de resumo Email. Para obter mais informações, veja Investigação de ameaças: Email remediação. Para obter exemplos, veja Exemplos de investigação e resposta automatizada (AIR) no Microsoft Defender para Office 365 Plano 2.

2. A investigação automatizada avalia e analisa a natureza do alerta, a mensagem envolvida e as provas adicionais em torno da mensagem. O âmbito da investigação pode aumentar com base nas provas que são descobertas e recolhidas durante a investigação.

3. Durante e após uma investigação automatizada, estão disponíveis detalhes e resultados . Os resultados podem incluir ações recomendadas para o pessoal do SecOps para remediar as ameaças encontradas.

4. A equipa do SecOps analisa os resultados e recomendações da investigação (na própria investigação, no incidente ou no Centro de Ação) e aprova ou rejeita as ações de remediação.

   Sugestão

   Nenhuma ação de remediação ocorre automaticamente. As ações de remediação requerem aprovação manual por parte do pessoal do SecOps. As capacidades AIR poupam tempo ao aceder às ações de remediação recomendadas com todos os detalhes para tomar uma decisão informada.

   A AIR também poupa tempo ao avaliar e resolver automaticamente alertas e incidentes em que não foram encontradas ameaças. Este resultado é muito comum em cenários de submissão de utilizadores. A AIR fecha a investigação se não forem encontradas ameaças ou se forem encontradas ameaças em mensagens que já tenham sido remediadas. Normalmente,

5. Uma vez que as ações de remediação pendentes são aprovadas ou rejeitadas, a investigação automatizada é concluída.

   A investigação automatizada é fechada automaticamente se não forem identificadas ações recomendadas. Os detalhes da investigação ainda estão disponíveis na página Investigações em https://security.microsoft.com/airinvestigation.

Durante e após cada investigação automatizada, a equipa do SecOps pode realizar as seguintes tarefas:

• Ver detalhes sobre um alerta relacionado com uma investigação
• Ver os detalhes dos resultados de uma investigação
• Rever e aprovar ações como resultado de uma investigação

Permissões e licenciamento necessários para a AIR

Tem de lhe ser atribuídas permissões para utilizar o AIR. Tem as seguintes opções:

• Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):
  • Iniciar uma investigação automatizada ou Aprovar ou rejeitar ações recomendadas: Operações de segurança/Email ações de remediação avançadas (gerir).
• Email & permissões de colaboração no portal do Microsoft Defender:
  • Configurar funcionalidades AIR: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
  • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
    • Associação nos grupos de funções Gestão da Organização, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • A função Procurar e Remover , atribuída apenas aos grupos de funções Investigador de Dados ou Gestão da Organização por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
• Microsoft Entra permissões: dê aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365:
  • Configurar funcionalidades AIR Associação nas funções Administrador Global ou Administrador de Segurança .
  • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
    • Associação nas funções Administrador Global, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • Associação a um grupo de funções de colaboração Email & com a função Procurar e Remover atribuída, conforme descrito anteriormente.

Para utilizar o AIR, tem de lhe ser atribuída uma licença para o Defender para Office 365 Plano 2 (incluído na sua subscrição ou numa licença de suplemento).

Passos seguintes

• Exemplos de AR
• Ver detalhes e resultados de uma investigação automatizada
• Rever e aprovar ações pendentes
• Ver ações de remediação pendentes ou concluídas