Responder a um incidente usando o Microsoft Sentinel no portal do Azure com o Microsoft Defender XDR
Este artigo explica como resolver incidentes de segurança usando o Microsoft Sentinel no portal do Azure e o Microsoft Defender XDR. Aprenda orientações passo a passo sobre triagem, investigação e resolução para garantir uma resposta rápida a incidentes.
- As atualizações sobre o ciclo de vida (status, proprietário, classificação) são compartilhadas entre os produtos.
- As provas recolhidas durante uma investigação são apresentadas no incidente do Microsoft Sentinel.
Para obter mais informações sobre a integração do Microsoft Defender com o Microsoft Sentinel, consulte integração do Microsoft Defender XDR com o Microsoft Sentinel. Este guia interativo conduz o utilizador na detecção e resposta a ataques modernos com as capacidades unificadas de SIEM (gestão de informações e eventos de segurança) e XDR (detecção e resposta estendidas) da Microsoft.
Triagem de incidentes
Inicie a triagem no portal do Azure com o Microsoft Sentinel para rever os detalhes do incidente e tomar medidas imediatas. Na página Incidentes, localize o incidente suspeito e atualize detalhes como nome do proprietário, status e gravidade ou adicione comentários. Analise detalhadamente para obter informações adicionais para continuar sua investigação.
Para obter mais informações, consulte navegar, triar e gerenciar incidentes do Microsoft Sentinel no portal do Azure
Investigação de incidentes
Use o portal do Azure como sua principal ferramenta de resposta a incidentes e alterne para o portal do Defender para uma investigação mais detalhada.
Por exemplo:
| Portais | Tarefas |
|---|---|
| No portal do Azure | Use o Microsoft Sentinel no portal do Azure para correlacionar o incidente com seus processos, políticas e procedimentos de segurança (3P). Em uma página de detalhes do incidente, selecione Investigar no Microsoft Defender XDR para abrir o mesmo incidente no portal do Defender. |
| No portal do Defender | Investigue detalhes como o escopo do incidente, cronogramas dos ativos e ações de autorrecuperação pendentes. Também pode ser necessário remediar manualmente entidades, realizar resposta em tempo real e adicionar medidas de prevenção. Na guia da página de detalhes do incidente história do ataque: - Veja a história de ataque do incidente para entender seu escopo, gravidade, origem de deteção e quais entidades são afetadas. - Analise os alertas do incidente para entender sua origem, escopo e gravidade com a história de alerta dentro do incidente. - Conforme necessário, reúna informações sobre dispositivos, usuários e caixas de correio impactados com o gráfico. Selecione qualquer entidade para abrir uma janela suspensa com todos os detalhes. - Veja como o Microsoft Defender XDR resolveu automaticamente alguns alertas com a guia Investigações. - Conforme necessário, use as informações no conjunto de dados sobre o incidente da guia 'Evidência e Resposta'. |
| No portal do Azure | Retorne ao portal do Azure para executar ações de incidentes extras, como: - Realização de ações automatizadas de investigação e remediação 3P - Criação de manuais personalizados para orquestração, automação e resposta de segurança (SOAR) - Registro de evidências para gerenciamento de incidentes, como comentários para registrar suas ações e os resultados de sua análise. - Adição de medidas personalizadas. |
Para mais informações, consulte:
- Investigue incidentes do Microsoft Sentinel em profundidade no portal do Azure
- Gerenciar incidentes no Microsoft Defender
Automação com o Microsoft Sentinel
Use o manual do Microsoft Sentinel e a funcionalidade de regras de automação:
Um manual de procedimentos é uma coleção de ações de investigação e remediação que se executa a partir do portal Microsoft Sentinel como parte de uma rotina. Os playbooks ajudam a automatizar e orquestrar a sua resposta a ameaças. Eles são executados manualmente em incidentes, entidades ou alertas, ou automaticamente quando acionados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com guiões.
As regras de automação permitem gerenciar centralmente a automação no Microsoft Sentinel definindo e coordenando um pequeno conjunto de regras que se aplicam em diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Resolução de incidentes
Quando sua investigação for concluída e você tiver corrigido o incidente nos portais, resolva-o. Para obter mais informações, consulte Encerramento de um incidente no portal do Azure.
Denuncie o incidente ao seu lead de resposta a incidentes para possíveis ações de acompanhamento. Por exemplo:
- Informe seus analistas de segurança de nível 1 para detetar melhor o ataque com antecedência.
- Pesquise o ataque no Microsoft Defender XDR Threat Analytics e na comunidade de segurança para ver uma tendência de ataque de segurança.
- Registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e playbooks padrão.
- Determine se são necessárias alterações na configuração de segurança e implemente-as.
- Crie um manual de orquestração para automatizar sua resposta a ameaças para riscos semelhantes. Para mais informações, consulte Automatize a resposta a ameaças com playbooks no Microsoft Sentinel.
Conteúdo relacionado
Para mais informações, consulte: