Resposta a incidentes no portal Microsoft Defender
Um incidente no portal Microsoft Defender é uma coleção de alertas relacionados e dados associados que compõem a história de um ataque. É também um arquivo de caso que seu SOC pode usar para investigar esse ataque e gerenciar, implementar e documentar a resposta a ele.
Os serviços microsoft Sentinel e Microsoft Defender criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem evidências valiosas de um ataque concluído ou em andamento. No entanto, ataques cada vez mais prevalentes e sofisticados normalmente empregam uma variedade de técnicas e vetores contra diferentes tipos de entidades de ativo, como dispositivos, usuários e caixas de correio. O resultado são vários alertas, de várias fontes, para várias entidades de ativos em sua propriedade digital.
Como os alertas individuais contam apenas parte da história e, como agrupar alertas individuais manualmente para obter informações sobre um ataque pode ser desafiador e demorado, a plataforma de operações de segurança unificada identifica automaticamente alertas relacionados, tanto do Microsoft Sentinel quanto do Microsoft Defender XDR, e agrega-os e suas informações associadas a um incidente.
Agrupar alertas relacionados a um incidente oferece uma visão abrangente de um ataque. Por exemplo, você poderá ver:
- Onde o ataque foi iniciado.
- Quais táticas foram usadas.
- Até onde o ataque foi para sua propriedade digital.
- O escopo do ataque, como quantos dispositivos, usuários e caixas de correio foram afetados.
- Todos os dados associados ao ataque.
A plataforma de operações de segurança unificada no portal Microsoft Defender inclui métodos para automatizar e ajudar na triagem, investigação e resolução de incidentes.
O Microsoft Copilot no Defender aproveita a IA para dar suporte a analistas com fluxos de trabalho diários complexos e demorados, incluindo investigação e resposta de incidentes de ponta a ponta com histórias de ataque claramente descritas, diretrizes de correção acionáveis passo a passo e relatórios resumidos de atividades de incidentes, busca de KQL de linguagem natural e análise de código de especialistas, otimizando a eficiência do SOC no Microsoft Sentinel e Defender XDR dados.
Essa funcionalidade se soma à outra funcionalidade baseada em IA que o Microsoft Sentinel traz para a plataforma unificada, nas áreas de análise de comportamento de usuário e entidade, detecção de anomalias, detecção de ameaças em vários estágios e muito mais.
A interrupção automatizada de ataque usa sinais de alta confiança coletados do Microsoft Defender XDR e do Microsoft Sentinel para interromper automaticamente ataques ativos na velocidade do computador, contendo a ameaça e limitando o impacto.
Se habilitado, Microsoft Defender XDR poderá investigar e resolve automaticamente alertas de fontes do Microsoft 365 e da ID do Entra por meio de automação e inteligência artificial. Você também pode executar etapas adicionais de correção para resolve ataque.
As regras de automação do Microsoft Sentinel podem automatizar a triagem, a atribuição e o gerenciamento de incidentes, independentemente de sua origem. Eles podem aplicar marcas a incidentes com base em seu conteúdo, suprimir incidentes barulhentos (falsos positivos) e fechar incidentes resolvidos que atendam aos critérios apropriados, especificando um motivo e adicionando comentários.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal Microsoft Defender.
Incidentes e alertas no portal Microsoft Defender
Dica
Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.
Você gerencia incidentes do Investigation & response > Incidents & alerts Incidents > on the quick launch of the Microsoft Defender portal. Veja um exemplo:
Selecionar um nome de incidente exibe a página de incidentes, começando com toda a história de ataque do incidente, incluindo:
Página de alerta dentro do incidente: o escopo de alertas relacionados ao incidente e suas informações na mesma guia.
Grafo: uma representação visual do ataque que conecta as diferentes entidades suspeitas que fazem parte do ataque com as entidades de ativos que compõem os destinos do ataque, como usuários, dispositivos, aplicativos e caixas de correio.
Você pode exibir o ativo e outros detalhes da entidade diretamente do grafo e agir sobre eles com opções de resposta, como desabilitar uma conta, excluir um arquivo ou isolar um dispositivo.
A página de incidentes consiste nas seguintes guias:
História de ataque
Mencionada acima, essa guia inclui o linha do tempo do ataque, incluindo todos os alertas, entidades de ativos e ações de correção tomadas.
Alertas
Todos os alertas relacionados ao incidente, suas fontes e informações.
Ativos
Todos os ativos (entidades protegidas, como dispositivos, usuários, caixas de correio, aplicativos e recursos de nuvem) que foram identificados como parte ou relacionados ao incidente.
Investigações
Todas as investigações automatizadas disparadas por alertas no incidente, incluindo o status das investigações e seus resultados.
Evidência e resposta
Todas as entidades suspeitas nos alertas do incidente, que constituem evidências que dão suporte à história do ataque. Essas entidades podem incluir endereços IP, arquivos, processos, URLs, chaves e valores do registro e muito mais.
Resumo
Uma visão geral rápida dos ativos afetados associados aos alertas.
Observação
Se você vir um alerta de tipo de alerta sem suporte status, isso significa que os recursos automatizados de investigação não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.
Exemplo de fluxo de trabalho de resposta a incidentes no portal Microsoft Defender
Aqui está um exemplo de fluxo de trabalho para responder a incidentes no Microsoft 365 com o portal Microsoft Defender.
Em uma base contínua, identifique os incidentes de maior prioridade para análise e resolução na fila de incidentes e prepare-os para resposta. Esta é uma combinação de:
- Deseja determinar os incidentes de maior prioridade por meio da filtragem e classificação da fila de incidentes.
- Gerenciando incidentes modificando seu título, atribuindo-os a um analista e adicionando marcas e comentários.
Você pode usar as regras de automação do Microsoft Sentinel para triagem e gerenciamento automático (e até mesmo responder a) alguns incidentes conforme eles são criados, removendo os incidentes mais fáceis de manipular de ocupar espaço em sua fila.
Considere estas etapas para seu próprio fluxo de trabalho de resposta a incidentes:
Estágio | Etapas |
---|---|
Para cada incidente, inicie uma investigação e análise de ataque e alerta. |
|
Após ou durante sua análise, execute a contenção para reduzir qualquer impacto adicional do ataque e da erradicação da ameaça de segurança. | Por exemplo, |
Na medida do possível, recupere-se do ataque restaurando os recursos do locatário para o estado em que estavam antes do incidente. | |
Resolva o incidente e documente suas descobertas. | Leve tempo para o aprendizado pós-incidente para: |
Se você for novo na análise de segurança, confira a introdução à resposta ao primeiro incidente para obter informações adicionais e passar por um incidente de exemplo.
Para obter mais informações sobre a resposta a incidentes em produtos microsoft, consulte este artigo.
Integrando operações de segurança no portal Microsoft Defender
Aqui está um exemplo de integração de processos de SecOps (operações de segurança) no portal Microsoft Defender.
Tarefas diárias podem incluir:
- Gerenciamento de incidentes
- Revisar ações automatizadas de investigação e resposta (AIR) no Centro de Ações
- Revisando a análise de ameaças mais recente
- Respondendo a incidentes
As tarefas mensais podem incluir:
- Revisando as configurações do AIR
- Revisando pontuação segura e Gerenciamento de Vulnerabilidades do Microsoft Defender
- Relatórios para sua cadeia de gerenciamento de segurança de TI
Tarefas trimestrais podem incluir um relatório e um briefing de resultados de segurança para o CISO (Chief Information Security Officer).
Tarefas anuais podem incluir a realização de um grande incidente ou exercício de violação para testar sua equipe, sistemas e processos.
Tarefas diárias, mensais, trimestrais e anuais podem ser usadas para atualizar ou refinar processos, políticas e configurações de segurança.
Consulte Integrando Microsoft Defender XDR em suas operações de segurança para obter mais detalhes.
Recursos do SecOps em produtos da Microsoft
Para obter mais informações sobre SecOps entre os produtos da Microsoft, confira estes recursos:
Notificações de incidentes por email
Você pode configurar o portal Microsoft Defender para notificar sua equipe com um email sobre novos incidentes ou atualizações para incidentes existentes. Você pode optar por obter notificações com base em:
- Gravidade do alerta
- Fontes de alerta
- Grupo de dispositivos
Para configurar notificações por email para incidentes, confira obter notificações por email em incidentes.
Treinamento para analistas de segurança
Use este módulo de aprendizado do Microsoft Learn para entender como usar Microsoft Defender XDR para gerenciar incidentes e alertas.
Treinamento: | Investigar incidentes com Microsoft Defender XDR |
---|---|
Microsoft Defender XDR unifica dados de ameaças de vários serviços e usa a IA para combiná-los em incidentes e alertas. Saiba como minimizar o tempo entre um incidente e seu gerenciamento para resposta e resolução subsequentes. 27 min – 6 Unidades |
Próximas etapas
Use as etapas listadas com base no nível de experiência ou função em sua equipe de segurança.
Nível de experiência
Siga esta tabela para obter seu nível de experiência com análise de segurança e resposta a incidentes.
Nível | Etapas |
---|---|
New |
|
Experiente |
|
Função de equipe de segurança
Siga esta tabela com base na função da equipe de segurança.
Role | Etapas |
---|---|
Respondente de incidentes (Camada 1) | Comece com a fila de incidentes da página Incidentes do portal Microsoft Defender. Aqui você pode:
|
Investigador de segurança ou analista (Camada 2) |
|
Analista de segurança avançado ou caçador de ameaças (Camada 3) |
|
Gerente do SOC | Confira como integrar Microsoft Defender XDR ao SOC (Centro de Operações de Segurança). |
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de