Explore a caça avançada
A caça avançada é uma ferramenta de caça a ameaças baseada em consulta que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores de ameaça e entidades. O acesso flexível aos dados permite a busca sem restrições de ameaças conhecidas e potenciais.
Você pode usar as mesmas consultas de caça a ameaças para criar regras de deteção personalizadas. Essas regras são executadas automaticamente para verificar e, em seguida, responder a suspeitas de atividade de violação, máquinas mal configuradas e outras descobertas. O recurso de caça avançada suporta consultas que verificam um conjunto de dados mais amplo de:
Microsoft Defender para Ponto Final
Microsoft Defender para Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender para Identidade
Para usar a caça avançada, ative o Microsoft Defender XDR.
Atualidade dos dados e frequência de atualização
Os dados de caça avançada podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.
Dados de eventos ou atividades — preenche tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A caça avançada recebe esses dados quase imediatamente após os sensores que os coletam transmiti-los com sucesso para os serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores íntegros em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis no Microsoft Defender for Endpoint e no Microsoft Defender for Identity.
Dados de entidade — preenche tabelas com informações sobre usuários e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Ative Directory e logs de eventos. Para fornecer dados atualizados, as tabelas são atualizadas com novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registro que contém o conjunto de dados mais recente e abrangente sobre cada entidade.
Time zone
As informações de tempo na caça avançada estão na zona UTC.
Esquema de dados
O esquema de caça avançada é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar efetivamente consultas que abrangem várias tabelas, você precisa entender as tabelas e as colunas no esquema de caça avançado.
Obter informações do esquema
Ao construir consultas, use a referência de esquema interna para obter rapidamente as seguintes informações sobre cada tabela no esquema:
Descrição da tabela — tipo de dados contidos na tabela e a fonte desses dados.
Colunas — todas as colunas da tabela.
Tipos de ação — valores possíveis na coluna ActionType que representam os tipos de evento suportados pela tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de eventos.
Consulta de exemplo — consultas de exemplo que apresentam como a tabela pode ser utilizada.
Acessar a referência do esquema
Para acessar rapidamente a referência de esquema, selecione a ação Exibir referência ao lado do nome da tabela na representação do esquema. Você também pode selecionar Referência de esquema para procurar uma tabela.
Aprenda as tabelas de esquema
A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela vincula-se a uma página que descreve os nomes de coluna dessa tabela. Os nomes de tabelas e colunas também são listados na central de segurança como parte da representação de esquema na tela de busca avançada.
Nome da tabela | Description |
---|---|
AlertEvidence | Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas |
AlertInfo | Alertas do Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security e Microsoft Defender for Identity, incluindo informações de gravidade e categorização de ameaças |
CloudAppEvents | Eventos envolvendo contas e objetos no Office 365 e outros aplicativos e serviços na nuvem |
DeviceEvents | Vários tipos de eventos, incluindo eventos acionados por controles de segurança, como o Windows Defender Antivírus e a proteção contra exploração |
DeviceFileCertificateInfo | Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos finais |
DeviceFileEvents | Criação, modificação e outros eventos do sistema de arquivos |
DeviceImageLoadEvents | Eventos de carregamento de DLL |
DeviceInfo | Informações da máquina, incluindo informações do SO |
DeviceLogonEvents | Entradas e outros eventos de autenticação em dispositivos |
DeviceNetworkEvents | Conexão de rede e eventos relacionados |
DeviceNetworkInfo | Propriedades de rede de dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes conectadas e domínios |
DeviceProcessEvents | Criação de processos e eventos relacionados |
DeviceRegistryEvents | Criação e modificação de entradas de registo |
DeviceTvmSecureConfigurationAssessment | Eventos de avaliação de Threat & Vulnerability Management, indicando o status de várias configurações de segurança em dispositivos |
DeviceTvmSecureConfigurationAssessmentKB | Base de conhecimento de várias configurações de segurança utilizadas pelo Threat & Vulnerability Management para avaliar dispositivos; inclui mapeamentos para vários padrões e benchmarks |
DeviceTvmSoftwareInventory | Inventário de software instalado em dispositivos, incluindo informações de versão e status de fim de suporte |
DeviceTvmSoftwareVulnerabilidades | Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade |
DeviceTvmSoftwareVulnerabilidadesKB | Base de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente |
EmailAttachmentInfo | Informações sobre arquivos anexados a e-mails |
EmailEvents | Eventos de email do Microsoft 365, incluindo eventos de entrega e bloqueio de email |
Endereço electrónicoPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, depois que o Microsoft 365 entregou os emails na caixa de correio do destinatário |
EmailUrlInfo | Informações sobre URLs em e-mails |
IdentityDirectoryEvents | Eventos que envolvem um controlador de domínio local que executa o Ative Directory (AD). Esta tabela abrange uma variedade de eventos relacionados à identidade e eventos do sistema no controlador de domínio. |
IdentityInfo | Informações da conta de várias fontes, incluindo o Microsoft Entra ID |
IdentityLogonEvents | Eventos de autenticação no Ative Directory e nos serviços online da Microsoft |
IdentityQueryEvents | Consultas para objetos do Ative Directory, como usuários, grupos, dispositivos e domínios |
Deteções personalizadas
Com deteções personalizadas, você pode monitorar e responder proativamente a vários eventos e estados do sistema, incluindo suspeita de atividade de violação e pontos de extremidade mal configurados. Isso é possível graças a regras de deteção personalizáveis que disparam automaticamente alertas e ações de resposta.
As deteções personalizadas funcionam com caça avançada, que fornece uma linguagem de consulta poderosa e flexível que abrange um amplo conjunto de informações de eventos e sistemas da sua rede. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.
As deteções personalizadas fornecem:
Alertas para deteções baseadas em regras criadas a partir de consultas de caça avançadas
Ações de resposta automática que se aplicam a arquivos e dispositivos
Criar regras de deteção
Para criar regras de deteção:
1. Prepare a consulta.
Na Central de Segurança do Microsoft Defender, vá para Caça avançada e selecione uma consulta existente ou crie uma nova consulta. Ao usar uma nova consulta, execute-a para identificar erros e entender possíveis resultados.
Importante
Para evitar que o serviço retorne muitos alertas, cada regra se limita a gerar apenas 100 alertas sempre que é executado. Antes de criar uma regra, ajuste sua consulta para evitar alertar para atividades normais do dia a dia.
Para usar uma consulta para uma regra de deteção personalizada, a consulta deve retornar as seguintes colunas:
Carimbo de Data/Hora
DeviceId
ReportId
Consultas simples, como aquelas que não usam o operador de projeto ou resumo para personalizar ou agregar resultados, normalmente retornam essas colunas comuns.
Há várias maneiras de garantir que consultas mais complexas retornem essas colunas. Por exemplo, se você preferir agregar e contar por DeviceId, ainda poderá retornar Timestamp e ReportId obtendo-os do evento mais recente envolvendo cada dispositivo.
A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId) com deteções antivírus e usa isso para localizar apenas os dispositivos com mais de cinco deteções. Para retornar o carimbo de data/hora mais recente e o ReportID correspondente, ele usa o operador summarize com a função arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Crie uma nova regra e forneça detalhes do alerta.
Com a consulta no editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes de alerta:
Nome da deteção—nome da regra de deteção
Frequência — intervalo para executar a consulta e executar uma ação. Ver orientações adicionais abaixo
Título do alerta—título exibido com alertas acionados pela regra
Gravidade — risco potencial do componente ou atividade identificado pela regra.
Categoria—tipo de componente ou atividade de ameaça, se houver.
Técnicas MITRE ATT&CK — uma ou mais técnicas de ataque identificadas pela regra, conforme documentado na estrutura MITRE ATT&CK. Esta seção não está disponível com determinadas categorias de alerta, como malware, ransomware, atividade suspeita e software indesejado
Descrição—mais informações sobre o componente ou atividade identificado pela regra
Ações recomendadas — ações adicionais que os respondentes podem tomar em resposta a um alerta
3. Frequência da regra
Quando salva, uma nova regra de deteção personalizada é executada imediatamente e verifica se há correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos e durações de retrospetiva com base na frequência escolhida:
A cada 24 horas — funciona a cada 24 horas, verificando dados dos últimos 30 dias
A cada 12 horas — funciona a cada 12 horas, verificando dados das últimas 48 horas
A cada 3 horas — funciona a cada 3 horas, verificando dados das últimas 12 horas
A cada hora — funciona de hora em hora, verificando dados das últimas 4 horas
Contínuo (NRT) — é executado continuamente, verificando dados de eventos à medida que são coletados e processados em tempo quase real (NRT)
Selecione a frequência que corresponde à proximidade com que você deseja monitorar as deteções e considere a capacidade da sua organização de responder aos alertas.
Nota
Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) permite aumentar a capacidade da sua organização de identificar ameaças mais rapidamente.
4. Escolha as entidades impactadas.
Identifique as colunas nos resultados da consulta onde você espera encontrar a entidade principal afetada ou afetada. Por exemplo, uma consulta pode retornar IDs de dispositivo e de usuário. Identificar qual dessas colunas representa a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.
Você pode selecionar apenas uma coluna para cada tipo de entidade. As colunas que não são retornadas pela sua consulta não podem ser selecionadas.
5. Especificar ações.
Sua regra de deteção personalizada pode executar ações automaticamente em arquivos ou dispositivos retornados pela consulta.
Ações em dispositivos
Estas ações são aplicadas a dispositivos na coluna DeviceId dos resultados da consulta:
Isolar dispositivo — aplica isolamento total de rede, impedindo que o dispositivo se conecte a qualquer aplicativo ou serviço, exceto para o serviço Defender for Endpoint.
Coletar pacote de investigação — coleta informações do dispositivo em um arquivo ZIP.
Executar verificação antivírus — executa uma verificação completa do Microsoft Defender Antivírus no dispositivo
Iniciar investigação — inicia uma investigação automatizada no dispositivo
Ações em arquivos
Essas ações são aplicadas a arquivos na coluna SHA1 ou InitiatingProcessSHA1 dos resultados da consulta:
Permitir/Bloquear—adiciona automaticamente o arquivo à sua lista de indicadores personalizada para que ele seja sempre permitido ou bloqueado de ser executado. Você pode definir o escopo dessa ação para que ela seja executada somente em grupos de dispositivos selecionados. Este âmbito de aplicação é independente do âmbito de aplicação da regra.
Arquivo de quarentena — exclui o arquivo de seu local atual e coloca uma cópia em quarentena
6. Defina o escopo da regra.
Defina o escopo para especificar quais dispositivos são cobertos pela regra:
Todos os dispositivos
Grupos de dispositivos específicos
Apenas os dados dos dispositivos no âmbito serão consultados. Além disso, as ações serão tomadas apenas nesses dispositivos.
7. Reveja e ative a regra.
Depois de revisar a regra, selecione Criar para salvá-la. A regra de deteção personalizada é executada imediatamente. Ele é executado novamente com base na frequência configurada para verificar correspondências, gerar alertas e executar ações de resposta.