Interrupção automática de ataque no Microsoft Defender XDR

Aplica-se a:

• Microsoft Defender XDR

Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com alta confiança. Enquanto um ataque está em andamento, Defender XDR interrompe o ataque contendo automaticamente ativos comprometidos que o invasor está usando por meio de interrupção automática do ataque.

A interrupção automática do ataque limita a movimentação lateral no início e reduz o impacto geral de um ataque, de custos associados à perda de produtividade. Ao mesmo tempo, ele deixa as equipes de operações de segurança no controle completo de investigar, corrigir e colocar ativos novamente online.

Este artigo fornece uma visão geral da interrupção automatizada de ataque e inclui links para as próximas etapas e outros recursos.

Como funciona a interrupção automática do ataque

A interrupção automática do ataque foi projetada para conter ataques em andamento, limitar o impacto sobre os ativos de uma organização e fornecer mais tempo para as equipes de segurança corrigirem totalmente o ataque. A interrupção do ataque usa toda a amplitude de nossos sinais XDR (detecção e resposta estendidas), levando em conta todo o ataque para agir no nível de incidente. Essa funcionalidade é diferente de métodos de proteção conhecidos, como prevenção e bloqueio com base em um único indicador de comprometimento.

Embora muitas plataformas XDR e de orquestração de segurança, automação e resposta (SOAR) permitam que você crie suas ações de resposta automática, a interrupção automática de ataque é interna e usa insights de pesquisadores de segurança da Microsoft e modelos avançados de IA para combater as complexidades de ataques avançados. A interrupção automática do ataque considera todo o contexto de sinais de diferentes fontes para determinar ativos comprometidos.

A interrupção automática do ataque opera em três estágios principais:

• Ele usa a capacidade do Defender XDR de correlacionar sinais de muitas fontes diferentes em um único incidente de alta confiança por meio de insights de pontos de extremidade, identidades, ferramentas de email e colaboração e aplicativos SaaS.
• Ele identifica ativos controlados pelo invasor e usados para espalhar o ataque.
• Ele usa automaticamente ações de resposta em produtos Microsoft Defender relevantes para conter o ataque em tempo real isolando os ativos afetados.

Essa capacidade de alteração de jogo limita o progresso de um ator de ameaça no início e reduz drasticamente o impacto geral de um ataque, de custos associados à perda de produtividade.

Estabelecer alta confiança ao tomar medidas automáticas

Entendemos que tomar medidas automáticas às vezes vem com hesitação das equipes de segurança, dado o potencial impacto que pode ter em uma organização. Portanto, as funcionalidades de interrupção automática de ataque em Defender XDR são projetadas para contar com sinais de alta fidelidade. Ele também usa a correlação de incidentes do Defender XDR com milhões de sinais de produto do Defender em email, identidade, aplicativos, documentos, dispositivos, redes e arquivos. Insights da investigação contínua de milhares de incidentes pela equipe de pesquisa de segurança da Microsoft garantem que a interrupção automática do ataque mantenha uma alta taxa de sinal para ruído (SNR).

As investigações são essenciais para monitorar nossos sinais e o cenário de ameaças de ataque para garantir proteção de alta qualidade e precisa.

Dica

Este artigo descreve como a interrupção de ataque funciona. Para configurar esses recursos, consulte Configurar recursos de interrupção de ataque no Microsoft Defender XDR.

Ações de resposta automatizadas

A interrupção automática de ataque usa ações de resposta XDR baseadas na Microsoft. Exemplos dessas ações são:

• O dispositivo contém - com base na capacidade do Microsoft Defender para Ponto de Extremidade, essa ação é uma contenção automática de um dispositivo suspeito para bloquear qualquer comunicação de entrada/saída com o referido dispositivo.

• Desabilitar o usuário - com base na funcionalidade do Microsoft Defender para Identidade, essa ação é uma suspensão automática de uma conta comprometida para evitar danos adicionais, como movimentação lateral, uso de caixa de correio mal-intencionada ou execução de malware.

• Conter usuário - com base na funcionalidade do Microsoft Defender para Ponto de Extremidade, essa ação de resposta contém automaticamente identidades suspeitas temporariamente para ajudar a bloquear qualquer movimento lateral e criptografia remota relacionada à comunicação de entrada com os dispositivos integrados do Defender para Ponto de Extremidade.

Para obter mais informações, consulte ações de correção em Microsoft Defender XDR.

Ações de resposta automatizadas para SAP com o Microsoft Sentinel (versão prévia)

Se você estiver usando a plataforma de operações de segurança unificada e implantar a solução do Microsoft Sentinel para aplicativos SAP, também poderá implantar a interrupção automática de ataque para SAP.

Por exemplo, implante a interrupção de ataque para que o SAP contenha ativos comprometidos bloqueando usuários suspeitos do SAP no caso de um ataque de manipulação de processo financeiro.

Depois que o risco é mitigado, Microsoft Defender administradores podem desbloquear manualmente os usuários que foram bloqueados automaticamente pela resposta de interrupção de ataque. A capacidade de desbloquear manualmente os usuários está disponível no centro de ação Microsoft Defender e somente para usuários que foram bloqueados por interrupção de ataque.

Para usar a interrupção de ataque para SAP, implante um novo agente conector de dados ou verifique se o agente está usando a versão 90847355 ou superior e, em seguida, atribua e aplique as funções necessárias do Azure e do SAP. Para saber mais, veja:

• Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
• Atualize o agente do conector de dados SAP do Microsoft Sentinel, especialmente Atualize seu sistema para interrupção automática de ataque.

Embora você configure a interrupção de ataque no portal do Azure e no sistema SAP, a interrupção automática de ataque em si aparece apenas na plataforma de operações de segurança unificada no portal Microsoft Defender.

Identificar quando ocorre uma interrupção de ataque em seu ambiente

A página de incidentes Defender XDR refletirá as ações automáticas de interrupção de ataque por meio da história de ataque e o status indicado por uma barra amarela (Figura 1). O incidente mostra uma marca de interrupção dedicada, realça a status dos ativos contidos no grafo de incidentes e adicione uma ação ao Centro de Ações.

Figura 1. Exibição de incidente mostrando a barra amarela onde a interrupção automática do ataque tomou medidas

O Defender XDR experiência do usuário agora inclui indicações visuais adicionais para garantir a visibilidade dessas ações automáticas. Você pode encontrá-los nas seguintes experiências:

1. Na fila de incidentes:

   • Uma marca intitulada Interrupção de Ataque aparece ao lado de incidentes afetados

2. Na página incidente:

   • Uma marca intitulada Interrupção de Ataque
   • Uma faixa amarela na parte superior da página que realça a ação automática tomada
   • O ativo atual status é mostrado no grafo de incidentes se uma ação for feita em um ativo, por exemplo, conta desabilitada ou dispositivo contido

3. Por meio da API:

   Uma cadeia de caracteres (interrupção de ataque) é adicionada ao final dos títulos de incidentes com alta confiança que provavelmente serão interrompidos automaticamente. Por exemplo:

   Ataque de fraude financeira do BEC iniciado a partir de uma conta comprometida (interrupção de ataque)

Para obter mais informações, confira exibir detalhes e resultados da interrupção do ataque.

Próximas etapas

• Configurando a interrupção automática do ataque no Microsoft Defender XDR
• Exibir detalhes e resultados
• Obter notificações por email para ações de resposta

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.