Investigar alertas no Microsoft Defender XDR

  • Artigo

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

Nota

Este artigo descreve os alertas de segurança no Microsoft Defender XDR. No entanto, pode utilizar alertas de atividade para enviar notificações por e-mail a si próprio ou a outros administradores quando os utilizadores efetuam atividades específicas no Microsoft 365. Para obter mais informações, consulte Criar alertas de atividade – Microsoft Purview | Microsoft Docs.

Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Normalmente, os alertas fazem parte de um ataque mais amplo e fornecem pistas sobre um incidente.

No Microsoft Defender XDR, os alertas relacionados são agregados para formar incidentes. Os incidentes fornecerão sempre o contexto mais amplo de um ataque. No entanto, analisar alertas pode ser útil quando for necessária uma análise mais profunda.

A fila Alertas mostra o conjunto atual de alertas. Aceda à fila de alertas a partir de Incidentes & alertas Alertas > na iniciação rápida do portal Microsoft Defender.

A secção Alertas no portal do Microsoft Defender

Os alertas de diferentes soluções de segurança da Microsoft, como Microsoft Defender para Endpoint, Microsoft Defender para Office 365 e Microsoft Defender XDR são apresentados aqui.

Por predefinição, a fila de alertas no portal do Microsoft Defender apresenta os alertas novos e em curso dos últimos 30 dias. O alerta mais recente encontra-se no topo da lista para que possa vê-lo primeiro.

Na fila de alertas predefinida, pode selecionar Filtrar para ver um painel Filtro , a partir do qual pode especificar um subconjunto dos alertas. Eis um exemplo.

A secção Filtros no portal Microsoft Defender.

Pode filtrar alertas de acordo com estes critérios:

  • Gravidade
  • Estado
  • Origens de serviço
  • Entidades (os recursos afetados)
  • Estado de investigação automatizado

Funções necessárias para alertas de Defender para Office 365

Terá de ter qualquer uma das seguintes funções para aceder a alertas de Microsoft Defender para Office 365:

  • Para Microsoft Entra funções globais:

    • Administrador global
    • Administrador de segurança
    • Operador de Segurança
    • Leitor Global
    • Leitor de Segurança

  • Grupos de Funções de Conformidade do & de Segurança Office 365

    • Administrador de Conformidade
    • Organization Management

  • Uma função personalizada

Analisar um alerta

Para ver a página de alerta principal, selecione o nome do alerta. Eis um exemplo.

Captura de ecrã a mostrar os detalhes de um alerta no portal do Microsoft Defender

Também pode selecionar a ação Abrir a página de alerta principal no painel Gerir alerta .

Uma página de alerta é composta por estas secções:

  • História do alerta, que é a cadeia de eventos e alertas relacionados com este alerta por ordem cronológica
  • Detalhes do resumo

Ao longo de uma página de alerta, pode selecionar as reticências (...) ao lado de qualquer entidade para ver as ações disponíveis, como ligar o alerta a outro incidente. A lista de ações disponíveis depende do tipo de alerta.

Origens de alertas

Microsoft Defender XDR alertas podem ser provenientes de soluções como Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender para Identidade, Microsoft Defender for Cloud Apps, o suplemento de governação de aplicações para Microsoft Defender for Cloud Apps, Microsoft Entra ID Protectione Prevenção de Perda de Dados da Microsoft. Poderá reparar em alertas com carateres pré-anexados no alerta. A tabela seguinte fornece orientações para o ajudar a compreender o mapeamento de origens de alertas com base no caráter pré-endido do alerta.

Nota

  • Os GUIDs pré-definidos são específicos apenas para experiências unificadas, como a fila de alertas unificados, a página de alertas unificados, a investigação unificada e o incidente unificado.
  • O caráter de pré-fim não altera o GUID do alerta. A única alteração ao GUID é o componente pré-end.
Origem do alerta Caráter de pré-end
Microsoft Defender XDR ra
ta para ThreatExperts
ea para DetectionSource = DetectionSource.CustomDetection
Microsoft Defender para Office 365 fa{GUID}
Exemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para Endpoint da ou ed para alertas de deteção personalizados
Microsoft Defender para Identidade aa{GUID}
Exemplo: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exemplo: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad
Governação de Aplicações ma
Prevenção de Perda de Dados da Microsoft dl

Configurar Microsoft Entra serviço de alertas de IP

  1. Aceda ao portal do Microsoft Defender (security.microsoft.com), selecione Definições>Microsoft Defender XDR.

  2. Na lista, selecione Definições do serviço de alerta e, em seguida, configure o serviço de alertas Microsoft Entra ID Protection.

    Captura de ecrã a mostrar Microsoft Entra ID Protection definição de alertas no portal do Microsoft Defender.

Por predefinição, apenas os alertas mais relevantes para o centro de operações de segurança estão ativados. Se quiser obter todas as Microsoft Entra deteções de risco de IP, pode alterá-la na secção Definições do serviço de alerta.

Também pode aceder às definições do Serviço de alertas diretamente a partir da página Incidentes no portal do Microsoft Defender.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Analisar recursos afetados

A secção Ações tomadas tem uma lista de recursos afetados, como caixas de correio, dispositivos e utilizadores afetados por este alerta.

Também pode selecionar Ver no centro de ação para ver o separador Histórico do Centro de ação no portal Microsoft Defender.

Analisar a função de um alerta na história do alerta

O bloco de alerta apresenta todos os recursos ou entidades relacionados com o alerta numa vista de árvore de processos. O alerta no título é aquele em foco quando acede pela primeira vez à página do alerta selecionado. Os recursos na história do alerta são expansíveis e clicáveis. Fornecem informações adicionais e aceleram a sua resposta, permitindo-lhe tomar medidas diretamente no contexto da página de alerta.

Nota

A secção do bloco de alertas pode conter mais do que um alerta, com alertas adicionais relacionados com a mesma árvore de execução a aparecer antes ou depois do alerta que selecionou.

Ver mais informações de alerta na página de detalhes

A página de detalhes mostra os detalhes do alerta selecionado, com detalhes e ações relacionados com o mesmo. Se selecionar qualquer um dos recursos ou entidades afetados na história do alerta, a página de detalhes é alterada para fornecer informações contextuais e ações para o objeto selecionado.

Depois de selecionar uma entidade de interesse, a página de detalhes muda para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando esta estiver disponível e opções para tomar medidas nesta entidade diretamente a partir da página de alerta.

Gerir alertas

Para gerir um alerta, selecione Gerir alerta na secção de detalhes de resumo da página de alerta. Para um único alerta, eis um exemplo do painel Gerir alerta .

Captura de ecrã da secção Gerir alerta no portal do Microsoft Defender

O painel Gerir alerta permite-lhe ver ou especificar:

  • O estado do alerta (Novo, Resolvido, Em curso).
  • A conta de utilizador a que foi atribuído o alerta.
  • A classificação do alerta:
    • Não Definido (predefinição).
    • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para alertas que indiquem com precisão uma ameaça real. Especificar este tipo de ameaça alerta a sua equipa de segurança vê padrões de ameaças e atua para defender a sua organização dos mesmos.
    • Atividade informativa e esperada com um tipo de atividade. Utilize esta opção para alertas tecnicamente precisos, mas que representem um comportamento normal ou atividade de ameaça simulada. Geralmente, quer ignorar estes alertas, mas espera-os para atividades semelhantes no futuro em que as atividades são acionadas por atacantes reais ou software maligno. Utilize as opções nesta categoria para classificar alertas para testes de segurança, atividade da equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
    • Falso positivo para tipos de alertas que foram criados mesmo quando não existe atividade maliciosa ou para um falso alarme. Utilize as opções nesta categoria para classificar alertas identificados por engano como eventos ou atividades normais como maliciosos ou suspeitos. Ao contrário dos alertas de "Atividade informativa e esperada", que também pode ser útil para detetar ameaças reais, geralmente não quer ver estes alertas novamente. Classificar alertas como falsos positivos ajuda Microsoft Defender XDR melhorar a qualidade de deteção.
  • Um comentário sobre o alerta.

Nota

Por volta de 29 de agosto de 2022, os valores de determinação de alertas anteriormente suportados ("Apt" e "Pessoal de Segurança") serão preteridos e deixarão de estar disponíveis através da API.

Nota

Uma forma de gerir alertas através da utilização de etiquetas. A capacidade de identificação para Microsoft Defender para Office 365 está a ser implementada incrementalmente e está atualmente em pré-visualização.

Atualmente, os nomes de etiquetas modificados só são aplicados a alertas criados após a atualização. Os alertas que foram gerados antes da modificação não refletirão o nome da etiqueta atualizada.

Para gerir um conjunto de alertas semelhante a um alerta específico, selecione Ver alertas semelhantes na caixa INSIGHT na secção de detalhes de resumo da página de alerta.

Captura de ecrã a mostrar a seleção de um alerta no portal do Microsoft Defender

No painel Gerir alertas , pode classificar todos os alertas relacionados ao mesmo tempo. Eis um exemplo.

Captura de ecrã da gestão de alertas relacionados no portal do Microsoft Defender

Se já tiverem sido classificados alertas semelhantes no passado, pode poupar tempo ao utilizar Microsoft Defender XDR recomendações para saber como os outros alertas foram resolvidos. Na secção de detalhes do resumo, selecione Recomendações.

Captura de ecrã a mostrar um exemplo de recomendações para um alerta

O separador Recomendações fornece conselhos e ações de próximo passo para investigação, remediação e prevenção. Eis um exemplo.

Captura de ecrã de um exemplo de recomendações de alertas

Otimizar um alerta

Enquanto analista do centro de operações de segurança (SOC), um dos principais problemas é a triagem do número total de alertas que são acionados diariamente. O tempo de um analista é valioso, querendo concentrar-se apenas em alertas de alta gravidade e alta prioridade. Entretanto, os analistas também são obrigados a fazer a triagem e a resolver alertas de prioridade inferior, que tendem a ser um processo manual.

A otimização de alertas permite otimizar e gerir alertas com antecedência. Isto simplifica a fila de alertas e poupa tempo de triagem ao ocultar ou resolver alertas automaticamente, sempre que ocorre um determinado comportamento organizacional esperado e as condições das regras são cumpridas.

Pode criar condições de regra com base em "tipos de provas", como ficheiros, processos, tarefas agendadas e muitos outros tipos de provas que acionam o alerta. Depois de criar a regra, pode aplicar a regra no alerta selecionado ou em qualquer tipo de alerta que cumpra as condições da regra para otimizar o alerta.

Além disso, a funcionalidade também abrange alertas provenientes de várias origens de serviço Microsoft Defender XDR. A funcionalidade de otimização de alertas na pré-visualização pública está a receber alertas de cargas de trabalho como o Defender para Endpoint, Defender para Office 365, Defender para Identidade, Defender para Aplicações na Cloud, Microsoft Entra ID Protection (MICROSOFT ENTRA IP), entre outros, se estas origens estiverem disponíveis na sua plataforma e plano. Anteriormente, a capacidade de otimização de alertas só captura alertas da carga de trabalho do Defender para Endpoint.

Nota

Recomendamos a utilização da otimização de alertas, anteriormente conhecida como supressão de alertas, com cuidado. Em determinadas situações, uma aplicação empresarial interna conhecida ou testes de segurança acionam uma atividade esperada e não quer ver estes alertas. Assim, pode criar uma regra para ajustar estes tipos de alerta.

Criar condições de regra para otimizar alertas

Existem duas formas de otimizar um alerta no Microsoft Defender XDR. Para otimizar um alerta a partir da página Definições :

  1. Aceda a Definições. No painel esquerdo, aceda a Regras e selecione Otimização de alertas.

    Captura de ecrã da opção Otimização de alertas na página Definições do Microsoft Defender XDR.

    Selecione Adicionar nova regra para otimizar um novo alerta. Também pode editar uma regra existente nesta vista ao selecionar uma regra na lista.

    Captura de ecrã a mostrar a adição de novas regras na página Otimização de alertas.

  2. No painel Otimizar alerta , pode selecionar origens de serviço onde a regra se aplica no menu pendente em Origens de serviço.

    Captura de ecrã a mostrar o menu pendente origem do serviço na página Otimizar um alerta.

    Nota

    São apresentados apenas os serviços aos quais o utilizador tem permissão.

  3. Adicione indicadores de comprometimento (IOCs) que acionam o alerta na secção IOCs . Pode adicionar uma condição para parar o alerta quando acionado por um COI específico ou por qualquer COI adicionado no alerta.

    Os IOCs são indicadores como ficheiros, processos, tarefas agendadas e outros tipos de provas que acionam o alerta.

    Captura de ecrã do menu COI na página Otimizar um alerta.

    Para definir várias condições de regra , utilize AS, OU e opções de agrupamento para criar uma relação entre estes múltiplos "tipos de evidência" que causam o alerta.

    1. Por exemplo, selecione a prova de acionamento Função de Entidade: Acionador, igual a e qualquer para parar o alerta quando acionado por qualquer COI adicionado no alerta. Todas as propriedades desta "evidência" serão preenchidos automaticamente como um novo subgrupo nos respetivos campos abaixo.

    Nota

    Os valores da condição não são sensíveis a maiúsculas e minúsculas.

    1. Pode editar e/ou eliminar propriedades desta "prova" consoante o seu requisito (utilizando carateres universais, quando suportado).

    2. Além de ficheiros e processos, o script da Interface de Análise AntiMalware (AMSI), o evento Windows Management Instrumentation (WMI) e as tarefas agendadas são alguns dos tipos de provas adicionados recentemente que pode selecionar na lista pendente de tipos de provas.

    3. Para adicionar outro COI, clique em Adicionar filtro.

    Nota

    É necessário adicionar pelo menos um COI à condição de regra para otimizar qualquer tipo de alerta.

  4. Na secção Ação , tome a ação adequada para Ocultar alerta ou Resolver alerta.

    Introduza Nome, Descrição e clique em Guardar.

    Nota

    O título do alerta (Nome) baseia-se no tipo de alerta (IoaDefinitionId), que decide o título do alerta. Dois alertas com o mesmo tipo de alerta podem ser alterados para um título de alerta diferente.

    Captura de ecrã do menu Ação na página Otimizar um alerta.

Para otimizar um alerta a partir da página Alertas :

  1. Selecione um alerta na página Alertas em Incidentes e alertas. Em alternativa, pode selecionar um alerta ao rever os detalhes do incidente na página Incidente.

    Pode otimizar um alerta através do painel Otimizar alerta que é aberto automaticamente no lado direito da página de detalhes do alerta.

    Captura de ecrã a mostrar o painel Otimizar um alerta numa página alerta.

  2. Selecione as condições em que o alerta se aplica na secção Tipos de alerta . Selecione Apenas este tipo de alerta para aplicar a regra no alerta selecionado.

    No entanto, para aplicar a regra em qualquer tipo de alerta que cumpra as condições da regra, selecione Qualquer tipo de alerta com base nas condições do COI.

    Captura de ecrã a mostrar o painel Otimizar um alerta a realçar a secção Tipos de alerta.

  3. O preenchimento da secção Âmbito é necessário se a otimização do alerta for específica do Defender para Ponto Final. Selecione se a regra se aplica a todos os dispositivos na organização ou a um dispositivo específico.

    Nota

    A aplicação da regra a todas as organizações requer uma permissão de função administrativa.

    Captura de ecrã do painel Otimizar um alerta a realçar a secção Âmbito.

  4. Adicione condições na secção Condições para parar o alerta quando acionado por um COI específico ou por qualquer COI adicionado no alerta. Pode selecionar um dispositivo específico, vários dispositivos, grupos de dispositivos, toda a organização ou por utilizador nesta secção.

    Nota

    Tem de ter Administração permissão quando o Âmbito está definido apenas para Utilizador. Administração permissão não é necessária quando o Âmbito está definido para Utilizador, juntamente com Grupos de dispositivos.

    Captura de ecrã do painel Otimizar um alerta a realçar a secção Condições.

  5. Adicione IOCs onde a regra se aplica na secção IOCs . Pode selecionar Qualquer COI para parar o alerta independentemente da "evidência" que causou o alerta.

    Captura de ecrã a mostrar o painel Otimizar um alerta a realçar a secção IOCs.

  6. Em alternativa, pode selecionar Preenchimento automático de todos os alertas 7 IOCs relacionados na secção IOCs para adicionar todos os tipos de provas relacionados com alertas e as respetivas propriedades de uma só vez na secção Condições .

    Captura de ecrã a mostrar o preenchimento automático de todos os IOCs relacionados com alertas.

  7. Na secção Ação , tome a ação adequada para Ocultar alerta ou Resolver alerta.

    Introduza Nome, Comentário e clique em Guardar.

    Captura de ecrã da secção Ação no painel Otimizar alerta.

  8. Impedir que os IOCs sejam bloqueados no futuro:

    Depois de guardar a regra de otimização de alertas, na página Criação de regras com êxito apresentada, pode adicionar os IOCs selecionados como indicadores à "lista de permissões" e impedir que sejam bloqueados no futuro.

    Todos os IOCs relacionados com alertas serão apresentados na lista.

    Os IOCs selecionados nas condições de supressão serão selecionados por predefinição.

    1. Por exemplo, pode adicionar ficheiros para permitir a seleção de provas (COI). Por predefinição, o ficheiro que acionou o alerta está selecionado.
    2. Introduza o âmbito no âmbito Selecionar a que se aplicar. Por predefinição, o âmbito do alerta relacionado está selecionado.
    3. Clique em Guardar. Agora, o ficheiro não está bloqueado, uma vez que está na lista de permissões.

  9. A nova funcionalidade de otimização de alertas está disponível por predefinição.

    No entanto, pode voltar à experiência anterior no portal do Microsoft Defender ao navegar para Definições > Microsoft Defender XDR > Otimização do Alerta de Regras >e, em seguida, desativar o botão de alternar Nova criação de regras de otimização ativada.

    Nota

    Em breve, só estará disponível a nova experiência de otimização de alertas. Não poderá voltar à experiência anterior.

  10. Editar regras existentes:

    Pode sempre adicionar ou alterar as condições da regra e o âmbito das regras novas ou existentes no portal do Microsoft Defender, selecionando a regra relevante e clicando em Editar regra.

    Para editar regras existentes, certifique-se de que o botão de alternar Nova criação de regras de otimização de alertas ativada está ativado.

Resolver um alerta

Depois de analisar um alerta e este poder ser resolvido, aceda ao painel Gerir alerta para o alerta ou alertas semelhantes e marque o estado como Resolvido e, em seguida, classifique-o como um Verdadeiro positivo com um tipo de ameaça, uma atividade Informativa, esperada com um tipo de atividade ou um Falso positivo.

Classificar alertas ajuda a Microsoft Defender XDR melhorar a qualidade da deteção.

Utilizar o Power Automate para fazer a triagem de alertas

As equipas de operações de segurança modernas (SecOps) precisam de automatização para funcionar eficazmente. Para se concentrarem na investigação e investigação de ameaças reais, as equipas do SecOps utilizam o Power Automate para fazer a triagem através da lista de alertas e eliminar os que não são ameaças.

Critérios para resolver alertas

  • O utilizador tem a mensagem Fora do Escritório ativada
  • O utilizador não está identificado como de alto risco

Se ambos forem verdadeiros, o SecOps marca o alerta como uma viagem legítima e resolve-o. Uma notificação é publicada no Microsoft Teams depois de o alerta ser resolvido.

Ligar o Power Automate ao Microsoft Defender for Cloud Apps

Para criar a automatização, precisará de um token de API antes de poder ligar o Power Automate ao Microsoft Defender for Cloud Apps.

  1. Abra Microsoft Defender, selecione Definições>Token da APIdas Aplicações> na Cloud e, em seguida, selecione Adicionar token no separador Tokens de API.

  2. Forneça um nome para o token e, em seguida, selecione Gerar. Guarde o token, pois irá precisar dele mais tarde.

Criar um fluxo automatizado

Veja este breve vídeo para saber como a automatização funciona de forma eficiente para criar um fluxo de trabalho suave e como ligar o Power Automate ao Defender para Cloud Apps.

Passos seguintes

Conforme necessário para incidentes em processo, continue a investigação.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.