Corrigir seu primeiro incidente no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Microsoft Defender XDR fornece recursos de detecção e análise para garantir a contenção e a erradicação de ameaças. A contenção inclui etapas para reduzir o impacto do ataque, enquanto a erradicação garante que todos os rastreamentos da atividade do invasor sejam removidos da rede.
A correção em Microsoft Defender XDR pode ser automatizada ou por meio de ações manuais realizadas pelos respondentes de incidentes. As ações de correção podem ser tomadas em dispositivos, arquivos e identidades.
Correção automática
Microsoft Defender XDR aproveita sua inteligência contra ameaças e os sinais em sua rede para combater os ataques mais disruptivos. Ransomware, BEC (compromisso de email comercial) e phishing do AiTM (adversário no meio) são alguns dos ataques mais complexos que podem ser contidos imediatamente por meio da funcionalidade de interrupção automática de ataque . Depois que um ataque for interrompido, os respondentes de incidentes podem assumir e investigar totalmente um ataque e aplicar a correção necessária.
Saiba como a interrupção automática do ataque ajuda na resposta a incidentes:
Enquanto isso, os recursos automatizados de investigação e resposta da Microsoft Defender XDR podem investigar e aplicar automaticamente ações de correção a itens mal-intencionados e suspeitos. Essas funcionalidades dimensionam a investigação e a resolução para ameaças, liberando os respondentes de incidentes para concentrar seus esforços em ataques de alto impacto.
Você pode configurar e gerenciar recursos automatizados de investigação e resposta. Você também pode exibir todas as ações passadas e pendentes por meio do Centro de Ações.
Observação
Você pode desfazer ações automáticas após a revisão.
Para acelerar algumas de suas tarefas de investigação, você pode triagem de alertas com o Power Automate. Além disso, a correção automatizada pode ser criada usando automação e guias estratégicos. A Microsoft tem modelos de guia estratégico no GitHub para os seguintes cenários:
- Remover o compartilhamento de arquivo confidencial após solicitar a validação do usuário
- Triagem automática de alertas de país pouco frequentes
- Solicitar a ação do gerente antes de desabilitar uma conta
- Desabilitar regras de caixa de entrada mal-intencionadas
Os guias estratégicos usam o Power Automate para criar fluxos personalizados de automação de processos robóticos para automatizar determinadas atividades depois que critérios específicos forem disparados. As organizações podem criar guias estratégicos a partir de modelos existentes ou do zero. Os guias estratégicos também podem ser criados durante a revisão pós-incidente para criar ações de correção de incidentes resolvidos.
Saiba como o Power Automate pode ajudá-lo a automatizar sua resposta a incidentes por meio deste vídeo:
Correção manual
Ao responder a um ataque, as equipes de segurança podem aproveitar as ações manuais de correção do portal para impedir que ataques incorram em danos adicionais. Algumas ações podem parar imediatamente uma ameaça, enquanto outras ajudam na análise forense. Você pode aplicar essas ações a qualquer entidade dependendo das cargas de trabalho do Defender implantadas em sua organização.
Ações em dispositivos
Isolar o dispositivo – isola um dispositivo afetado desconectando o dispositivo da rede. O dispositivo permanece conectado ao serviço Defender para Ponto de Extremidade para monitoramento contínuo.
Restringir a execução do aplicativo – restringe um aplicativo aplicando uma política de integridade de código que só permite que os arquivos sejam executados se eles forem assinados por um certificado emitido pela Microsoft.
Executar a verificação antivírus – inicia uma verificação remota do Defender Antivírus para um dispositivo. A verificação pode ser executada junto com outras soluções antivírus, se o Defender Antivírus é ou não a solução antivírus ativa.
Coletar pacote de investigação – você pode coletar um pacote de investigação de um dispositivo como parte do processo de investigação ou resposta. Ao coletar o pacote de investigação, você pode identificar o estado atual do dispositivo e entender ainda mais as ferramentas e técnicas usadas pelo invasor.
Iniciar uma investigação automatizada – inicia uma nova investigação automatizada de uso geral no dispositivo. Enquanto uma investigação estiver em execução, qualquer outro alerta gerado do dispositivo será adicionado a uma investigação automatizada em andamento até que essa investigação seja concluída. Além disso, se a mesma ameaça for vista em outros dispositivos, esses dispositivos serão adicionados à investigação.
Iniciar resposta ao vivo – fornece acesso instantâneo a um dispositivo usando uma conexão de shell remota para que você possa fazer um trabalho investigativo aprofundado e tomar ações de resposta imediatas para conter prontamente ameaças identificadas em tempo real. A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que você colete dados forenses, execute scripts, envie entidades suspeitas para análise, corrija ameaças e procure ameaças emergentes proativamente.
Pergunte aos Especialistas do Defender – você pode consultar um especialista em Microsoft Defender para obter mais informações sobre dispositivos potencialmente comprometidos ou já comprometidos. Microsoft Defender especialistas podem ser contratados diretamente de dentro do portal para obter uma resposta oportuna e precisa. Essa ação está disponível para dispositivos e arquivos.
Outras ações em dispositivos estão disponíveis por meio do tutorial a seguir:
Observação
Você pode executar ações em dispositivos diretamente do grafo dentro da história de ataque.
Ações em arquivos
- Arquivo de parada e quarentena – inclui parar a execução de processos, a quarantining de arquivos e a exclusão de dados persistentes, como chaves de registro.
- Adicionar indicadores para bloquear ou permitir o arquivo – impede que um ataque se espalhe ainda mais, proibindo arquivos potencialmente mal-intencionados ou malware suspeito. Essa operação impede que o arquivo seja lido, gravado ou executado em dispositivos em sua organização.
- Baixar ou coletar arquivo – permite que os analistas baixem um arquivo em um arquivo de arquivo protegido por senha .zip para análise posterior da organização.
- Análise profunda – executa um arquivo em um ambiente de nuvem seguro e totalmente instrumentado. Os resultados da análise profunda mostram as atividades do arquivo, comportamentos observados e artefatos associados, como arquivos descartados, modificações de registro e comunicação com endereços IP.
Corrigir outros ataques
Observação
Esses tutoriais se aplicam quando outras cargas de trabalho do Defender estão habilitadas em seu ambiente.
Os tutoriais a seguir enumeram etapas e ações que podem ser aplicadas ao investigar entidades ou responder a ameaças específicas:
- Responder a uma conta de email comprometida por meio de Defender para Office 365
- Correção de vulnerabilidades com o Defender para Gerenciamento de Vulnerabilidades
- Ações de correção para contas de usuário por meio do Defender para Identidade
- Aplicar políticas para controlar aplicativos com o Defender para Aplicativos na Nuvem
Próximas etapas
- Simular ataques por meio do treinamento de simulação de ataque
- Explorar Microsoft Defender XDR através do treinamento do Ninja Virtual
Confira também
- Investigar incidentes
- Conheça os recursos e funções do portal por meio do treinamento Microsoft Defender XDR Ninja
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de