Guia de Operações de Segurança do Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Este artigo fornece uma descrição geral dos requisitos e tarefas para operações com êxito Microsoft Defender para Office 365 na sua organização. Estas tarefas ajudam a garantir que o seu centro de operações de segurança (SOC) fornece uma abordagem fiável e de alta qualidade para proteger, detetar e responder a ameaças de segurança relacionadas com o e-mail e a colaboração.
O resto deste guia descreve as atividades necessárias para o pessoal do SecOps. As atividades são agrupadas em tarefas prescritivas diárias, semanais, mensais e ad hoc.
Um artigo complementar deste guia fornece uma descrição geral para gerir incidentes e alertas de Defender para Office 365 na página Incidentes no portal do Microsoft Defender.
O Guia de Operações de Segurança Microsoft Defender XDR contém informações adicionais que pode utilizar para planeamento e desenvolvimento.
Para obter um vídeo sobre estas informações, consulte https://youtu.be/eQanpq9N1Ps.
Atividades diárias
Monitorizar a fila Microsoft Defender XDR Incidentes
A página Incidentes no portal Microsoft Defender em https://security.microsoft.com/incidents (também conhecida como fila Incidentes) permite-lhe gerir e monitorizar eventos a partir das seguintes origens no Defender para Office 365:
Para obter mais informações sobre a fila Incidentes, veja Priorizar incidentes no Microsoft Defender XDR.
O plano de triagem para monitorizar a fila Incidentes deve utilizar a seguinte ordem de precedência para incidentes:
- Foi detetado um clique de URL potencialmente malicioso.
- Utilizador impedido de enviar e-mails.
- Foram detetados padrões de envio de e-mail suspeitos.
- Email comunicados pelo utilizador como software maligno ou phish e Vários utilizadores reportaram e-mails como software maligno ou phish.
- Email mensagens que contêm ficheiro malicioso removido após a entrega, Email mensagens que contêm URL malicioso removido após a entrega e Email mensagens de uma campanha removidas após a entrega.
- Phish entregue devido a uma substituição de ETR, Phish entregue porque a pasta E-mail de Lixo de um utilizador está desativada e Phish entregue devido a uma política de permissão de IP
- Software maligno não zapped porque ZAP está desativado e Phish não zapped porque ZAP está desativado.
A gestão da fila de incidentes e as pessoas responsáveis são descritas na tabela seguinte:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Triagem de incidentes na fila Incidentes em https://security.microsoft.com/incidents. | Diariamente | Verifique se todos os incidentes de gravidade Média e Alta de Defender para Office 365 são triagem. | Equipa de Operações de Segurança |
Investigue e tome medidas de Resposta em incidentes. | Diariamente | Investigue todos os incidentes e realize ativamente as ações de resposta recomendadas ou manuais. | Equipa de Operações de Segurança |
Resolver incidentes. | Diariamente | Se o incidente tiver sido remediado, resolva o incidente. Resolver o incidente resolve todos os alertas ativos ligados e relacionados. | Equipa de Operações de Segurança |
Classificar incidentes. | Diariamente | Classificar incidentes como verdadeiros ou falsos. Para alertas verdadeiros, especifique o tipo de ameaça. Esta classificação ajuda a sua equipa de segurança a ver padrões de ameaças e a defender a sua organização dos mesmos. | Equipa de Operações de Segurança |
Gerir deteções de falsos positivos e falsos negativos
No Defender para Office 365, gere falsos positivos (correio válido marcado como incorreto) e falsos negativos (correio incorreto permitido) nas seguintes localizações:
- A página Submissões (submissões de administrador).
- A Lista de Permissões/Bloqueios do Inquilino
- Explorador de Ameaças
Para obter mais informações, veja a secção Gerir deteções de falsos positivos e falsos negativos mais à frente neste artigo.
A gestão de falsos positivos e falsos negativos e as pessoas responsáveis são descritas na seguinte tabela:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Submeta falsos positivos e falsos negativos à Microsoft em https://security.microsoft.com/reportsubmission. | Diariamente | Forneça sinais à Microsoft ao comunicar e-mails, URLs e deteções de ficheiros incorretos. | Equipa de Operações de Segurança |
Analise os detalhes da submissão do administrador. | Diariamente | Compreenda os seguintes fatores para as submissões que efetuar à Microsoft:
|
Equipa de Operações de Segurança Administração de Segurança |
Adicione entradas de bloco na Lista de Permissões/Bloqueios do Inquilino em https://security.microsoft.com/tenantAllowBlockList. | Diariamente | Utilize a Lista de Permissões/Bloqueios do Inquilino para adicionar entradas de blocos para deteções de URL, ficheiro ou remetente falsos negativos, conforme necessário. | Equipa de Operações de Segurança |
Liberte falso positivo da quarentena. | Diariamente | Depois de o destinatário confirmar que a mensagem foi colocada em quarentena incorretamente, pode lançar ou aprovar pedidos de versão para os utilizadores. Para controlar o que os utilizadores podem fazer às suas próprias mensagens em quarentena (incluindo libertação ou lançamento de pedidos), veja Políticas de quarentena. |
Equipa de Operações de Segurança Equipa de Mensagens |
Rever campanhas de phishing e software maligno que resultaram em e-mails entregues
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja as campanhas de e-mail. | Diariamente |
Reveja as campanhas de e-mail direcionadas para a sua organização em https://security.microsoft.com/campaigns. Concentre-se nas campanhas que resultaram na entrega de mensagens aos destinatários. Remover mensagens de campanhas existentes em caixas de correio de utilizador. Esta ação só é necessária quando uma campanha contém e-mails que ainda não foram remediados por ações de incidentes, remoção automática de zero horas (ZAP) ou remediação manual. |
Equipa de Operações de Segurança |
Atividades semanais
Rever tendências de deteção de e-mail em relatórios de Defender para Office 365
No Defender para Office 365, pode utilizar os seguintes relatórios para rever as tendências de deteção de e-mail na sua organização:
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja os relatórios de deteção de e-mail em: | Semanalmente | Reveja as tendências de deteção de e-mail para software maligno, phishing e spam em comparação com um bom e-mail. A observação ao longo do tempo permite-lhe ver padrões de ameaças e determinar se precisa de ajustar as suas políticas de Defender para Office 365. | Administração de Segurança Equipa de Operações de Segurança |
Controlar e responder a ameaças emergentes com a Análise de ameaças
Utilize a Análise de ameaças para rever ameaças ativas e populares.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja as ameaças na Análise de ameaças em https://security.microsoft.com/threatanalytics3. | Semanalmente | A Análise de ameaças fornece uma análise detalhada, incluindo os seguintes itens:
|
Equipa de Operações de Segurança Equipa de investigação de ameaças |
Reveja os utilizadores principais visados para software maligno e phishing
Utilize o separador Utilizadores principais visados (vista) na área de detalhes das vistas Todos os e-mails, Software Maligno e Phish no Explorador de Ameaças para detetar ou confirmar os utilizadores que são os principais alvos de software maligno e e-mail de phishing.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Veja o separador Utilizadores principais visados no Explorador de Ameaças em https://security.microsoft.com/threatexplorer. | Semanalmente | Utilize as informações para decidir se precisa de ajustar políticas ou proteções para estes utilizadores. Adicione os utilizadores afetados às contas Priority para obter os seguintes benefícios:
|
Administração de Segurança Equipa de Operações de Segurança |
Reveja as principais campanhas de software maligno e phishing que visam a sua organização
As Vistas de Campanha revelam ataques de software maligno e phishing contra a sua organização. Para obter mais informações, consulte Vistas de Campanha no Microsoft Defender para Office 365.
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Utilize As Vistas de Campanha em https://security.microsoft.com/campaigns para rever ataques de software maligno e phishing que o afetam. | Semanalmente | Saiba mais sobre os ataques e técnicas e o que Defender para Office 365 conseguiu identificar e bloquear. Utilize Transferir relatório de ameaças nas Vistas de Campanha para obter informações detalhadas sobre uma campanha. |
Equipa de Operações de Segurança |
Atividades ad hoc
Investigação manual e remoção de e-mails
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Investigue e remova e-mails incorretos no https://security.microsoft.com/threatexplorer Explorador de Ameaças com base em pedidos de utilizador. | Ad hoc | Utilize a ação Acionar investigação no Explorador de Ameaças para iniciar um manual de procedimentos de investigação e resposta automatizado em qualquer e-mail dos últimos 30 dias. Acionar manualmente uma investigação poupa tempo e esforço ao incluir centralmente:
Para obter mais informações, veja Exemplo: Uma mensagem de phish reportada pelo utilizador inicia um manual de procedimentos de investigação Em alternativa, pode utilizar o Explorador de Ameaças para investigar manualmente e-mails com poderosas capacidades de pesquisa e filtragem e tomar medidas de resposta manuais diretamente a partir do mesmo local. Ações manuais disponíveis:
|
Equipa de Operações de Segurança |
Proativamente investigar ameaças
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Investigação regular e proativa para ameaças em:. | Ad hoc | Procure ameaças com o Explorador de Ameaças e a Investigação avançada. | Equipa de Operações de Segurança Equipa de investigação de ameaças |
Partilhar consultas de investigação. | Ad hoc | Partilhe consultas úteis frequentemente utilizadas na equipa de segurança para uma investigação e remediação manuais mais rápidas. Utilize controladores de ameaças e consultas partilhadas na Investigação avançada. |
Equipa de Operações de Segurança Equipa de investigação de ameaças |
Crie regras de deteção personalizadas em https://security.microsoft.com/custom_detection. | Ad hoc | Crie regras de deteção personalizadas para monitorizar proativamente eventos, padrões e ameaças com base em dados Defender para Office 365 na Investigação Avançada. As regras de deteção contêm consultas de investigação avançadas que geram alertas com base nos critérios correspondentes. | Equipa de Operações de Segurança Equipa de investigação de ameaças |
Rever as configurações da política de Defender para Office 365
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja a configuração das políticas de Defender para Office 365 em https://security.microsoft.com/configurationAnalyzer. | Ad hoc Mensalmente |
Utilize o Analisador de configuração para comparar as definições de política existentes com os valores Standard ou Strict recomendados para Defender para Office 365. O Analisador de configuração identifica alterações acidentais ou maliciosas que podem reduzir a postura de segurança da sua organização. Em alternativa, pode utilizar a ferramenta ORCA baseada no PowerShell. |
Administração de Segurança Equipa de Mensagens |
Reveja as substituições de deteção no Defender para Office 365 emhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad hoc Mensalmente |
Utilize a vista Ver dados por Substituição > do sistema Gráfico pela vista Razão no relatório de estado proteção contra ameaças para rever o e-mail que foi detetado como phishing, mas entregue devido às definições de substituição de políticas ou utilizadores. Investigue, remova ou ajuste ativamente as substituições para evitar a entrega de e-mails que foram determinados como maliciosos. |
Administração de Segurança Equipa de Mensagens |
Rever deteções de spoof e de representação
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja as informações de inteligência do Spoof e as informações de deteção de representação em. | Ad hoc Mensalmente |
Utilize as informações de inteligência de spoof e as informações de representação para ajustar a filtragem de deteções de spoof e de representação. | Administração de Segurança Equipa de Mensagens |
Rever a associação à conta de prioridade
Atividade | Cadência | Descrição | Persona |
---|---|---|---|
Reveja quem é definido como uma conta de prioridade em https://security.microsoft.com/securitysettings/userTags. | Ad hoc | Mantenha a associação de contas prioritárias atualizada com alterações organizacionais para obter os seguintes benefícios para esses utilizadores:
Utilize etiquetas de utilizador personalizadas para outros utilizadores obterem:
|
Equipa de Operações de Segurança |
Anexo
Saiba mais sobre Microsoft Defender para Office 365 ferramentas e processos
Os membros das equipas de resposta e operações de segurança precisam de integrar ferramentas e funcionalidades Defender para Office 365 em processos de resposta e investigações existentes. Aprender sobre novas ferramentas e capacidades pode demorar algum tempo, mas é uma parte fundamental do processo de integração. A forma mais simples de os membros da secOps e da equipa de segurança de e-mail saberem mais sobre Defender para Office 365 é utilizar os conteúdos de formação disponíveis como parte do conteúdo de formação ninja em https://aka.ms/mdoninja.
O conteúdo é estruturado para diferentes níveis de conhecimento (Fundamentals, Intermediate e Advanced) com vários módulos por nível.
Também estão disponíveis breves vídeos para tarefas específicas no canal do YouTube Microsoft Defender para Office 365.
Permissões para Defender para Office 365 atividades e tarefas
As permissões para gerir Defender para Office 365 no portal do Microsoft Defender e no PowerShell baseiam-se no modelo de permissões de controlo de acesso baseado em funções (RBAC). O RBAC é o mesmo modelo de permissões utilizado pela maioria dos serviços do Microsoft 365. Para obter mais informações, veja Permissões no portal do Microsoft Defender.
Nota
Privileged Identity Management (PIM) no Microsoft Entra ID também é uma forma de atribuir as permissões necessárias ao pessoal do SecOps. Para obter mais informações, veja Privileged Identity Management (PIM) e porquê utilizá-lo com Microsoft Defender para Office 365.
As seguintes permissões (funções e grupos de funções) estão disponíveis no Defender para Office 365 e podem ser utilizadas para conceder acesso aos membros da equipa de segurança:
Microsoft Entra ID: funções centralizadas que atribuem permissões a todos os serviços do Microsoft 365, incluindo Defender para Office 365. Pode ver as funções de Microsoft Entra e os utilizadores atribuídos no portal do Microsoft Defender, mas não pode geri-las diretamente aí. Em vez disso, gere Microsoft Entra funções e membros em https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. As funções mais frequentes utilizadas pelas equipas de segurança são:
colaboração Exchange Online e Email &: funções e grupos de funções que concedem permissões específicas para Microsoft Defender para Office 365. As seguintes funções não estão disponíveis no Microsoft Entra ID, mas podem ser importantes para as equipas de segurança:
Função de pré-visualização (Email & colaboração): atribua esta função aos membros da equipa que precisam de pré-visualizar ou transferir mensagens de e-mail como parte de atividades de investigação. Permite que os utilizadores pré-visualizem e transfiram mensagens de e-mail de caixas de correio na nuvem com o Explorador de Ameaças (Explorador) ou deteções em tempo real e a página de entidade Email.
Por predefinição, a função Pré-visualização é atribuída apenas aos seguintes grupos de funções:
- Investigador de Dados
- Gestor de Deteção de Dados Eletrónicos
Pode adicionar utilizadores a esses grupos de funções ou pode criar um novo grupo de funções com a função pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizado.
Função de Pesquisa e Remoção (Email & colaboração): aprove a eliminação de mensagens maliciosas conforme recomendado pelo AIR ou tome medidas manuais em mensagens em experiências de investigação como o Explorador de Ameaças.
Por predefinição, a função Procurar e Remover é atribuída apenas aos seguintes grupos de funções:
- Investigador de Dados
- Organization Management
Pode adicionar utilizadores a esses grupos de funções ou pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
Gestor AllowBlockList do Inquilino (Exchange Online): gerir entradas de permissão e bloqueio na Lista de Permissões/Bloqueios do Inquilino. Bloquear URLs, ficheiros (com hash de ficheiro) ou remetentes é uma ação de resposta útil a tomar ao investigar e-mails maliciosos que foram entregues.
Por predefinição, esta função é atribuída apenas ao grupo de funções Operador de Segurança no Exchange Online, não no Microsoft Entra ID. A associação à função Operador de Segurança no Microsoft Entra IDnão lhe permite gerir entradas da Lista de Permissões/Bloqueios de Inquilinos.
Os membros das funções de Administrador de Segurança ou gestão da Organização no Microsoft Entra ID ou os grupos de funções correspondentes no Exchange Online conseguem gerir entradas na Lista de Permissões/Bloqueios de Inquilinos.
Integração SIEM/SOAR
Defender para Office 365 expõe a maioria dos seus dados através de um conjunto de APIs programáticas. Estas APIs ajudam-no a automatizar fluxos de trabalho e a utilizar plenamente as capacidades de Defender para Office 365. Os dados estão disponíveis através das APIs Microsoft Defender XDR e podem ser utilizados para integrar Defender para Office 365 em soluções SIEM/SOAR existentes.
API de Incidentes: Defender para Office 365 alertas e investigações automatizadas são partes ativas de incidentes no Microsoft Defender XDR. As equipas de segurança podem concentrar-se no que é crítico ao agrupar o âmbito de ataque completo e todos os recursos afetados em conjunto.
API de transmissão em fluxo de eventos: permite o envio de eventos e alertas em tempo real para um único fluxo de dados à medida que acontecem. Os tipos de eventos suportados no Defender para Office 365 incluem:
Os eventos contêm dados do processamento de todos os e-mails (incluindo mensagens intra-organização) nos últimos 30 dias.
API de Investigação Avançada: permite a investigação de ameaças entre produtos.
API de Avaliação de Ameaças: pode ser utilizada para comunicar spam, URLs de phishing ou anexos de software maligno diretamente à Microsoft.
Para ligar Defender para Office 365 incidentes e dados não processados com Microsoft Sentinel, pode utilizar o conector Microsoft Defender XDR (M365D)
Pode utilizar o seguinte exemplo de "Hello World" para testar o acesso da API às APIs Microsoft Defender: Hello World para Microsoft Defender XDR API REST.
Para obter mais informações sobre a integração de ferramentas SIEM, veja Integrar as ferramentas SIEM com Microsoft Defender XDR.
Resolver falsos positivos e falsos negativos no Defender para Office 365
As mensagens comunicadas pelo utilizador e as submissões de mensagens de e-mail são sinais de reforço positivo críticos para os nossos sistemas de deteção de machine learning. As submissões ajudam-nos a rever, fazer a triagem, aprender rapidamente e mitigar ataques. Comunicar ativamente falsos positivos e falsos negativos é uma atividade importante que fornece feedback aos Defender para Office 365 quando são cometidos erros durante a deteção.
As organizações têm várias opções para configurar mensagens comunicadas pelo utilizador. Consoante a configuração, as equipas de segurança podem ter um envolvimento mais ativo quando os utilizadores submetem falsos positivos ou falsos negativos à Microsoft:
As mensagens comunicadas pelo utilizador são enviadas para a Microsoft para análise quando as definições comunicadas pelo utilizador estão configuradas com uma das seguintes definições:
- Enviar as mensagens comunicadas para: apenas para a Microsoft.
- Enviar as mensagens comunicadas para: Microsoft e a minha caixa de correio de relatórios.
Os membros das equipas de segurança devem fazer submissões de administradores add hoc quando a equipa de operações detetar falsos positivos ou falsos negativos que não foram comunicados pelos utilizadores.
Quando as mensagens comunicadas pelo utilizador são configuradas para enviar mensagens apenas para a caixa de correio da organização, as equipas de segurança devem enviar ativamente falsos positivos comunicados pelo utilizador e falsos negativos para a Microsoft através de submissões de administrador.
Quando um utilizador comunica uma mensagem como phishing, Defender para Office 365 gera um alerta e o alerta aciona um manual de procedimentos AIR. A lógica do incidente correlaciona estas informações com outros alertas e eventos sempre que possível. Esta consolidação de informações ajuda as equipas de segurança a fazer a triagem, investigar e responder a mensagens comunicadas pelo utilizador.
O pipeline de submissão no serviço segue um processo totalmente integrado quando as mensagens de relatório do utilizador e os administradores submetem mensagens. Este processo inclui:
- Redução de ruído.
- Triagem automatizada.
- Classificação por analistas de segurança e soluções baseadas em machine learning em parceiros humanos.
Para obter mais informações, consulte Comunicar um e-mail no Defender para Office 365 - Microsoft Tech Community.
Os membros da equipa de segurança podem fazer submissões a partir de várias localizações no portal do Microsoft Defender em https://security.microsoft.com:
Administração submissão: utilize a página Submissões para submeter spam, phishing, URLs e ficheiros suspeitos à Microsoft.
Diretamente a partir do Explorador de Ameaças através de uma das seguintes ações de mensagem:
- Relatório limpo
- Reportar phishing
- Reportar software maligno
- Spam de relatório
Pode selecionar até 10 mensagens para efetuar uma submissão em massa. Administração submissões criadas com estes métodos são visíveis nos respetivos separadores na página Submissões.
Para a mitigação a curto prazo de falsos negativos, as equipas de segurança podem gerir diretamente entradas de blocos para ficheiros, URLs e domínios ou endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos.
Para a mitigação a curto prazo de falsos positivos, as equipas de segurança não podem gerir diretamente entradas de permissões para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, têm de utilizar submissões de administrador para comunicar a mensagem de e-mail como um falso positivo. Para obter instruções, consulte Comunicar um bom e-mail à Microsoft.
A quarentena no Defender para Office 365 contém ficheiros e mensagens potencialmente perigosos ou indesejados. As equipas de segurança podem ver, libertar e eliminar todos os tipos de mensagens em quarentena para todos os utilizadores. Esta capacidade permite que as equipas de segurança respondam eficazmente quando uma mensagem ou ficheiro falso positivo é colocado em quarentena.
Integrar ferramentas de relatórios de terceiros com Defender para Office 365 mensagens comunicadas pelo utilizador
Se a sua organização utilizar uma ferramenta de relatórios de terceiros que permita que os utilizadores comuniquem internamente e-mails suspeitos, pode integrar a ferramenta com as capacidades de mensagens comunicadas pelo utilizador de Defender para Office 365. Esta integração proporciona os seguintes benefícios às equipas de segurança:
- Integração com as capacidades AIR do Defender para Office 365.
- Triagem simplificada.
- Tempo de resposta e investigação reduzidos.
Designe a caixa de correio de relatórios para onde as mensagens comunicadas pelo utilizador são enviadas na página Definições comunicadas pelo utilizador no portal Microsoft Defender em https://security.microsoft.com/securitysettings/userSubmission. Para obter mais informações, veja Definições comunicadas pelo utilizador.
Nota
- A caixa de correio de relatórios tem de ser uma caixa de correio Exchange Online.
- A ferramenta de relatórios de terceiros tem de incluir a mensagem reportada original como uma mensagem não comprimida. EML ou . Anexo MSG na mensagem que é enviada para a caixa de correio de relatórios (não reencaminhe apenas a mensagem original para a caixa de correio de relatórios). Para obter mais informações, veja Formato de submissão de mensagens para ferramentas de relatórios de terceiros.
- A caixa de correio de relatórios requer pré-requisitos específicos para permitir que as mensagens potencialmente más sejam entregues sem serem filtradas ou alteradas. Para obter mais informações, veja Requisitos de configuração para a caixa de correio de relatórios.
Quando uma mensagem comunicada por um utilizador chega à caixa de correio de relatórios, Defender para Office 365 gera automaticamente o alerta com o nome Email comunicado pelo utilizador como software maligno ou phish. Este alerta inicia um manual de procedimentos AIR. O manual de procedimentos executa uma série de passos de investigações automatizadas:
- Recolher dados sobre o e-mail especificado.
- Recolha dados sobre as ameaças e entidades relacionadas com esse e-mail (por exemplo, ficheiros, URLs e destinatários).
- Indique as ações recomendadas para a equipa secOps tomar com base nas conclusões da investigação.
Email comunicados pelo utilizador como alertas de software maligno ou phish, as investigações automatizadas e as respetivas ações recomendadas estão automaticamente correlacionadas com incidentes no Microsoft Defender XDR. Esta correlação simplifica ainda mais o processo de triagem e resposta para as equipas de segurança. Se vários utilizadores reportarem as mesmas mensagens ou mensagens semelhantes, todos os utilizadores e mensagens estão correlacionados com o mesmo incidente.
Os dados de alertas e investigações no Defender para Office 365 são automaticamente comparados com alertas e investigações nos outros produtos Microsoft Defender XDR:
- Microsoft Defender para Endpoint
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Identidade
Se for detetada uma relação, o sistema cria um incidente que dá visibilidade para todo o ataque.