Entender os conceitos de inteligência contra ameaças

  • Artigo

Aplica-se a:

Observação

Experimente nossas novas APIs usando a API de segurança do MS Graph. Saiba mais em: Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Vários eventos mal-intencionados complexos, atributos e informações contextuais compreendem ataques avançados de segurança cibernética. Identificar e decidir qual dessas atividades se qualifica como suspeita pode ser uma tarefa desafiadora. Seu conhecimento de atributos conhecidos e atividades anormais específicas para sua indústria é fundamental para saber quando chamar um comportamento observado como suspeito.

Com Microsoft Defender XDR, você pode criar alertas personalizados de ameaças que podem ajudá-lo a controlar possíveis atividades de ataque em sua organização. Você pode sinalizar eventos suspeitos para juntar pistas e possivelmente parar uma cadeia de ataque. Esses alertas de ameaça personalizados só aparecerão em sua organização e sinalizarão eventos que você definiu para rastreá-los.

Antes de criar alertas de ameaças personalizados, é importante saber os conceitos por trás de definições de alerta e indicadores de comprometimento (IOCs) e a relação entre eles.

Definições de alerta

Definições de alerta são atributos contextuais que podem ser usados coletivamente para identificar pistas iniciais sobre um possível ataque de segurança cibernética. Esses indicadores normalmente são uma combinação de atividades, características e ações tomadas por um invasor para alcançar com êxito o objetivo de um ataque. Monitorar essas combinações de atributos é fundamental para obter um ponto de vista contra ataques e possivelmente interferir na cadeia de eventos antes que o objetivo de um invasor seja atingido.

Indicadores de comprometimento (COI)

Os IOCs são eventos mal-intencionados conhecidos individualmente que indicam que uma rede ou dispositivo já foi violado. Ao contrário das definições de alerta, esses indicadores são considerados como evidência de uma violação. Eles são frequentemente vistos depois que um ataque já foi realizado e o objetivo foi alcançado, como exfiltração. Manter o controle de IOCs também é importante durante investigações forenses. Embora possa não ser capaz de intervir com uma cadeia de ataque, a coleta desses indicadores pode ser útil para criar melhores defesas para possíveis ataques futuros.

Relação entre definições de alerta e IOCs

No contexto de Microsoft Defender XDR e Microsoft Defender para Ponto de Extremidade, as definições de alerta são contêineres para IOCs e define o alerta, incluindo os metadados gerados para uma correspondência específica do COI. Vários metadados são fornecidos como parte das definições de alerta. Metadados como nome de definição de alerta de ataque, gravidade e descrição são fornecidos junto com outras opções.

Cada COI define a lógica de detecção concreta com base em seu tipo, valor e ação, que determina como ele é correspondido. Ele está associado a uma definição de alerta específica que define como uma detecção é exibida como um alerta no console Microsoft Defender XDR.

Aqui está um exemplo de um COI:

  • Tipo: Sha1
  • Valor: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Ação: Igual a

Os IOCs têm uma relação de muitos para um com definições de alerta, de modo que uma definição de alerta pode ter muitos IOCs que correspondem a ela.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.