Investigar e responder com Microsoft Defender XDR
Seguem-se as principais tarefas de investigação e resposta para Microsoft Defender XDR:
- Responder a incidentes
- Rever e aprovar ações de remediação automática
- Procurar ameaças conhecidas nos seus dados
- Compreender os ciberataques mais recentes
Resposta a incidentes
Os serviços e aplicações do Microsoft 365 criam alertas quando detetam um evento ou atividade suspeita ou maliciosa. Os alertas individuais fornecem pistas valiosas sobre um ataque concluído ou em curso. No entanto, os ataques normalmente utilizam várias técnicas em diferentes tipos de entidades, como dispositivos, utilizadores e caixas de correio. O resultado são vários alertas para múltiplas entidades no seu inquilino. Uma vez que juntar os alertas individuais para obter informações sobre um ataque pode ser desafiante e moroso, Microsoft Defender XDR agrega automaticamente os alertas e as respetivas informações associadas a um incidente.
De forma contínua, tem de identificar os incidentes de prioridade mais alta para análise e resolução na fila de incidentes e prepará-los para resposta. Esta é uma combinação de:
- Atribuir prioridades à determinação dos incidentes de prioridade mais alta através da filtragem e ordenação da fila de incidentes. Isto também é conhecido como triagem.
- Gerir incidentes modificando o respetivo título, atribuindo-os a um analista, adicionando etiquetas e comentários e, quando resolvidos, classificando-os.
Para cada incidente, utilize o fluxo de trabalho de resposta a incidentes para analisar o incidente e os respetivos alertas e dados para conter o ataque, erradicar a ameaça, recuperar do ataque e aprender com o mesmo.
Investigação e remediação automatizadas
Se a sua organização estiver a utilizar Microsoft Defender XDR, a sua equipa de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que for detetada uma atividade ou artefacto malicioso ou suspeito. Dado o fluxo interminável de ameaças que podem surgir, as equipas de segurança enfrentam frequentemente o desafio de abordar o elevado volume de alertas. Felizmente, Microsoft Defender XDR inclui capacidades de investigação e resposta automatizadas (AIR) que podem ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada prova de um incidente. Dependendo do veredicto, as ações de remediação são identificadas. Em alguns casos, as ações de remediação são executadas automaticamente; noutros casos, as ações de remediação aguardam aprovação através do Centro de ação do Microsoft Defender XDR.
Para obter mais informações, veja Investigação e resposta automatizadas no Microsoft Defender XDR.
Pesquisa proativa de ameaças com investigação avançada
Não basta responder a ataques à medida que ocorrem. Para ataques expandidos e multifásico, como ransomware, tem de procurar proativamente as provas de um ataque em curso e tomar medidas para o parar antes de ser concluído.
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas no Microsoft Defender XDR que lhe permite explorar até 30 dias de dados não processados. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. Este acesso flexível aos dados de Microsoft Defender XDR permite uma investigação sem restrições para ameaças conhecidas e potenciais.
Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para verificar e, em seguida, responder a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.
Veja Proativamente investigar ameaças com investigação avançada no Microsoft Defender XDR para obter mais informações.
Antecipar-se a ameaças emergentes com a análise de ameaças
A análise de ameaças é uma capacidade de informações sobre ameaças no Microsoft Defender XDR concebida para ajudar a sua equipa de segurança a ser o mais eficiente possível enquanto enfrenta ameaças emergentes. Inclui análises detalhadas e informações sobre:
- Atores de ameaças ativos e as suas campanhas
- Técnicas de ataque populares e novas
- Vulnerabilidades críticas
- Superfícies de ataque comuns
- Software maligno predominante
A análise de ameaças também inclui informações sobre incidentes relacionados e recursos afetados no seu inquilino do Microsoft 365 para cada ameaça identificada.
Cada ameaça identificada inclui um relatório de analista, uma análise abrangente da ameaça escrita por investigadores de segurança da Microsoft que estão na vanguarda da deteção e análise de cibersegurança. Estes relatórios também podem fornecer informações sobre como os ataques aparecem no Microsoft Defender XDR.
Para obter mais informações, veja Análise de ameaças no Microsoft Defender XDR.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.