Analisar seu primeiro incidente no Microsoft Defender XDR

Aplica-se a:

• Microsoft Defender XDR

Entender o contexto que envolve incidentes é essencial na análise de ataques. Combinar sua experiência e experiência com os recursos e recursos da Microsoft Defender XDR garantem uma resolução mais rápida de incidentes e a segurança da sua organização contra ataques cibernéticos.

As ameaças de hoje à segurança de dados – BEC (compromisso de email comercial), malware como backdoors e ransomware, violações organizacionais e ataques de estado-nação – exigem ações rápidas, inteligentes e decisivas dos respondentes de incidentes. Ferramentas como Microsoft Defender XDR permitem que as equipes de resposta detectem, triagem e investiguem incidentes por meio de sua experiência de painel único de vidro e encontrem as informações necessárias para tomar essas decisões oportunas.

Tarefas de investigação

As investigações geralmente envolvem respondentes exibindo vários aplicativos enquanto verificam simultaneamente várias fontes de inteligência contra ameaças. Às vezes, as investigações são estendidas para caçar outras ameaças. Documentar fatos e soluções em uma investigação de ataque é uma tarefa importante adicional que fornece histórico e contexto para o uso de outros investigadores ou para investigações posteriores. Essas tarefas de investigação são simplificadas ao usar Microsoft Defender XDR por meio do seguinte:

• Pivoting – o portal agrega informações de ataque importantes contextualizadas entre as cargas de trabalho do Defender habilitadas em sua organização. O portal consolida todas as informações entre os componentes de um único ataque (arquivo, URL, caixa de correio, conta de usuário ou dispositivo), mostrando relações e linha do tempo de atividades. Com todas as informações disponíveis em uma página, o portal permite que os respondentes de incidentes girem entre entidades e eventos relacionados para encontrar as informações necessárias para tomar decisões.

• Caça – os caçadores de ameaças podem encontrar ameaças conhecidas e possíveis dentro de uma organização por meio da capacidade avançada de caça do portal usando consultas Kusto. Se você for novo no Kusto, use o modo guiado para caçar ameaças.

• Insight – quando aplicável, os respondentes de incidentes podem exibir ações para eventos e alertas detectados anteriormente para ajudar as investigações presentes. Insights adicionais também são adicionados automaticamente a eventos e alertas por meio dos próprios esforços de inteligência contra ameaças da Microsoft e de fontes como o MITRE ATT&estrutura CK® e VirusTotal.

• Colaboração – as equipes de operações de segurança podem exibir as decisões e ações de cada membro da equipe em incidentes e alertas passados e presentes por meio de recursos do portal, como comentários, marcação, sinalização e atribuição. A colaboração adicional com o serviço de detecção e resposta gerenciada da Microsoft por meio do Defender Experts para XDR e Especialistas do Defender para Busca também estão disponíveis quando uma organização requer uma resposta aumentada.

Visão geral do ataque

A história do ataque fornece aos respondentes de incidentes uma visão geral completa e contextualizada do que aconteceu em um ataque. Os respondentes podem exibir todos os alertas e eventos relacionados, incluindo as ações de correção automatizadas tomadas por Microsoft Defender XDR para mitigar um ataque.

Na história do ataque, você pode se aprofundar nos detalhes de um ataque explorando as guias disponíveis na página de incidentes. Você pode corrigir rapidamente ataques comuns, como phishing, spray de senha e comprometimento de aplicativo mal-intencionado por meio de guias estratégicos de resposta a incidentes acessíveis no portal. Esses guias estratégicos contêm diretrizes de detecção, resposta e mitigação que dão suporte a investigações de incidentes.

Este vídeo de como investigar um ataque em Microsoft Defender XDR e como usar os recursos do portal em sua investigação orienta você através da história do ataque e da página de incidentes.

Investigando ameaças

Ameaças complexas como ataques adversários no meio e ransomware geralmente exigem investigação manual. Um respondente de incidentes que enfrenta esses ataques complicados procura as seguintes informações cruciais:

• Presença de malware ou uso suspeito de ferramentas e aplicativos
• Pistas sobre quaisquer canais de comunicação ou pontos de entrada usados por qualquer entidade mal-intencionada ou suspeita
• Pistas apontando para um possível compromisso de identidade
• Identificar qual é o impacto na postura de segurança e dados da organização

As seções a seguir contêm tutoriais e vídeos de recursos de Microsoft Defender XDR que ajudam as equipes de resposta a incidentes na investigação de vários ataques complexos.

Investigações de ransomware

O Ransomware continua a ser uma ameaça significativa para as organizações. A Microsoft tem os seguintes recursos para ajudá-lo a investigar e responder a ataques de ransomware:

• Guias: Da detecção à proteção: guia da Microsoft para combater ataques de ransomware
• Tutorial: Guia estratégico de investigação do Ransomware
• Vídeo: Investigando ataques de ransomware em Microsoft Defender XDR (parte 1)
• Vídeo: Investigando ataques de ransomware em Microsoft Defender XDR (parte 2)

análise de ataques baseada em Email

Identificar e rastrear identidades modificadas, criadas ou roubadas são essenciais para investigar ataques de phishing e BEC. Use os seguintes recursos ao investigar esses ataques:

• Tutorial: Investigar email mal-intencionado
• Tutorial: Investigar usuários
• Tutorial: Investigar uma conta de usuário
• Blog: Comprometimento Total de Identidade: as lições de Resposta a Incidentes da Microsoft sobre como proteger o compromisso da Identidade do Active Directory também podem ser investigadas usando sinais do Defender para Identidade.
• Tutorial: Exemplo de um ataque de email de phishing
• Tutorial: Exemplo de um ataque baseado em identidade

Os vídeos a seguir discutem como investigar ataques de phishing e BEC em Microsoft Defender XDR:

• Vídeo: Investigando phishing do BEC e do AiTM em Microsoft Defender XDR
• Vídeo: Defender contra spearphishing e phishing usando Defender para Office 365

Investigue um compromisso de identidade e saiba o que você pode fazer para conter um ataque por meio deste vídeo:

• Investigando ameaças de identidade usando o Defender para Identidade

Análise de malware

As informações e os recursos de um arquivo mal-intencionado são fundamentais para investigar malware. Microsoft Defender XDR, na maioria dos casos, pode detonar o arquivo para mostrar dados críticos, incluindo hash, metadados, prevalência dentro da organização e recursos de arquivo com base nas técnicas do MITRE ATT&CK®. Isso remove a necessidade de fazer testes de caixa preta ou análise estática de arquivos. Você pode exibir informações de arquivo do grafo de incidentes ou exibindo uma árvore de processo de alerta, um artefato linha do tempo ou um dispositivo linha do tempo.

Os recursos a seguir fornecem detalhes sobre como usar os recursos do portal na investigação de arquivos:

• Tutorial: Investigar arquivos
• Vídeo: Investigando malware em Microsoft Defender XDR

Análise de aplicativos arriscados e prevenção de ameaças baseadas em nuvem

Atores mal-intencionados podem explorar aplicativos baseados em nuvem. Os aplicativos podem inadvertidamente vazar informações confidenciais por meio de abuso ou uso indevido. Os respondentes de incidentes que investigam e protegem aplicativos em ambientes de nuvem podem usar os seguintes recursos em que o Defender para Aplicativos de Nuvem é implantado em suas organizações:

• Tutorial: Investigar aplicativos mal-intencionados e comprometidos
• Tutorial: Investigar aplicativos OAuth arriscados
• Tutorial: Proteger aplicativos de nuvem
• Tutorial: Proteger aplicativos em tempo real

Descubra como você pode proteger seus aplicativos de nuvem em tempo real com este vídeo da carga de trabalho do Defender para Aplicativos de Nuvem:

• Vídeo: Proteção de aplicativos de nuvem e arquivos relacionados por meio do Defender para Aplicativos na Nuvem

Análise de violação

Ataques de estado-nação, ataques contra infraestruturas críticas e violações organizacionais geralmente exigem que um invasor estabeleça pontos de comunicação quando estiver em uma rede. Os respondentes de incidentes procuram pistas identificando tráfego suspeito ou trocas entre uma origem e um destino. A Microsoft tem os seguintes tutoriais para investigar componentes de comunicação:

• Investigar domínios e URLs
• Investigar um endereço IP
• Investigar eventos de conexão que ocorrem por meio de proxies de encaminhamento
• Investigar atividades suspeitas de usuário e dispositivo por meio do Defender para Identidade
• Identificar e investigar caminhos de movimento lateral no Defender para Identidade
• Investigar dispositivos na lista de dispositivos defender para ponto de extremidade

Os invasores geralmente usam vulnerabilidades para obter acesso a uma organização. Alguns ataques de ransomware inicialmente se aproveitam de vulnerabilidades não corrigidas, como a vulnerabilidade do Log4Shell. Os recursos a seguir ajudam os respondentes a incidentes a identificar vulnerabilidades e dispositivos vulneráveis em sua organização por meio do serviço Defender para Gerenciamento de Vulnerabilidades:

• Tutorial: identificar vulnerabilidades em sua organização
• Tutorial: Procurar dispositivos expostos
• Tutorial: Avaliar o risco da sua organização por meio da pontuação exposição
• Vídeo: Gerenciamento de ameaças e vulnerabilidades por meio do Gerenciamento de Vulnerabilidades do Defender

As violações também acontecem por meio de vários dispositivos, como telefones e tablets que se conectam à rede da sua organização. Os respondentes de incidentes podem investigar ainda mais esses dispositivos no portal. O vídeo a seguir fala sobre as principais ameaças de dispositivos móveis e como você pode investigar estes:

• Defesa contra ameaças móveis no Microsoft Defender XDR

Recursos para inteligência contra ameaças e caça

As funcionalidades internas de inteligência contra ameaças da Microsoft Defender XDR e as equipes de resposta a incidentes de ajuda à caça no desempenho da proteção proativa contra ameaças e ataques emergentes. Você tem acesso direto às informações mais recentes sobre ameaças e ataques emergentes por meio da análise de ameaças do portal.

Use a inteligência na análise de ameaças para mergulhar profundamente em novas ameaças com o seguinte vídeo:

Procure ameaças proativamente dentro da organização usando a funcionalidade de caça avançada interna do portal.

Os recursos a seguir fornecem mais informações sobre como usar a caça avançada:

• Aprender a linguagem de consulta Kusto
• Criar consultas de caça usando o modo guiado
• Procurar ameaças entre entidades

Estenda sua inteligência contra ameaças com as últimas pesquisas de segurança e as alterações das equipes de pesquisa de segurança da Microsoft:

• Blog de Segurança da Microsoft
• Informações do ator de ameaças da Microsoft

Colabore com os especialistas da Microsoft para resposta a incidentes e busca de ameaças para aprimorar as funcionalidades das equipes de operações de segurança. Saiba mais sobre nossos especialistas e como engajá-los nos seguintes recursos:

• Especialistas do Defender para XDR
• Caça de ameaças com Especialistas do Defender para Busca

Próxima etapa

• Corrigir seu primeiro incidente
• Explorar os recursos do portal por meio de demonstrações de vídeo no treinamento do Ninja Virtual Microsoft Defender XDR

Confira também

• Entender incidentes
• Investigar incidentes
• Investigar alertas
• Conheça os recursos e funções do portal por meio do treinamento Microsoft Defender XDR Ninja

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.