AIR (investigação e resposta automatizadas) em Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Microsoft Defender para Office 365 inclui recursos avançados de investigação e resposta automatizadas (AIR) que podem salvar o tempo e o esforço da equipe de operações de segurança. À medida que os alertas são disparados, cabe à sua equipe de operações de segurança examinar, priorizar e responder a esses alertas. Acompanhar o volume de alertas de entrada pode ser avassalador. Automatizar algumas dessas tarefas pode ajudar.

O AIR permite que sua equipe de operações de segurança opere de forma mais eficiente e eficaz. As funcionalidades air incluem processos de investigação automatizados em resposta a ameaças conhecidas que existem hoje. As ações de correção apropriadas aguardam aprovação, permitindo que sua equipe de operações de segurança responda efetivamente às ameaças detectadas. Com o AIR, sua equipe de operações de segurança pode se concentrar em tarefas de maior prioridade sem perder de vista alertas importantes que são disparados.

Este artigo descreve:

• O fluxo geral do AIR;
• Como obter AIR; E
• As permissões necessárias para configurar ou usar recursos AIR.

Este artigo também inclui as próximas etapas e recursos para saber mais.

O fluxo geral do AIR

Um alerta é disparado e uma cartilha de segurança inicia uma investigação automatizada, o que resulta em descobertas e ações recomendadas. Aqui está o fluxo geral do AIR, passo a passo:

1. Uma investigação automatizada é iniciada de uma das seguintes maneiras:

   • Um alerta é disparado por algo suspeito no email (como uma mensagem, anexo, URL ou conta de usuário comprometida). Um incidente é criado e uma investigação automatizada começa; Ou
   • Um analista de segurança inicia uma investigação automatizada ao usar Explorer.

2. Enquanto uma investigação automatizada é executada, ela coleta dados sobre o email em questão e entidades relacionadas a esse email (por exemplo, arquivos, URLs e destinatários). O escopo da investigação pode aumentar à medida que alertas novos e relacionados são disparados.

3. Durante e após uma investigação automatizada, detalhes e resultados estão disponíveis para exibição. Os resultados podem incluir ações recomendadas que podem ser tomadas para responder e corrigir quaisquer ameaças existentes encontradas.

4. Sua equipe de operações de segurança examina os resultados e recomendações da investigação e aprova ou rejeita ações de correção.

5. À medida que as ações de correção pendentes são aprovadas (ou rejeitadas), a investigação automatizada é concluída.

Observação

Se a investigação não resultar em ações recomendadas, a investigação automatizada será fechada e os detalhes do que foi revisado como parte da investigação automatizada ainda estarão disponíveis na página de investigação.

Em Microsoft Defender para Office 365, nenhuma ação de correção é tomada automaticamente. As ações de correção só serão tomadas mediante a aprovação da equipe de segurança da sua organização. As funcionalidades air salvam o tempo da equipe de operações de segurança identificando ações de correção e fornecendo os detalhes necessários para tomar uma decisão informada.

Durante e após cada investigação automatizada, sua equipe de operações de segurança pode:

• Exibir detalhes sobre um alerta relacionado a uma investigação
• Exibir os detalhes dos resultados de uma investigação
• Examinar e aprovar ações como resultado de uma investigação

Dica

Para obter uma visão geral mais detalhada, confira Como o AIR funciona.

Como obter AIR

Os recursos AIR são incluídos no plano 2 do Microsoft Defender para Office 365, desde que o registro em log de auditoria seja ativado (ele está ativado por padrão).

Além disso, examine as políticas de alerta da sua organização, especialmente as políticas padrão na categoria gerenciamento de ameaças.

Quais políticas de alerta disparam investigações automatizadas?

O Microsoft 365 fornece muitas políticas de alerta internas que ajudam a identificar o abuso de permissões de administrador do Exchange, a atividade de malware, possíveis ameaças externas e internas e riscos de governança de informações. Várias das políticas de alerta padrão podem disparar investigações automatizadas. A tabela a seguir descreve os alertas que disparam investigações automatizadas, sua gravidade no portal Microsoft Defender e como eles são gerados:

Alerta	Severity	Como o alerta é gerado
Um clique de URL potencialmente mal-intencionado foi detectado	High	Esse alerta é gerado quando ocorre qualquer um dos seguintes procedimentos: Um usuário protegido por Links Seguros em sua organização clica em um link mal-intencionado As alterações de veredicto para URLs são identificadas por Microsoft Defender para Office 365 Os usuários substituem páginas de aviso de Links Seguros (com base na política de Links Seguros da sua organização. Para obter mais informações sobre eventos que disparam esse alerta, consulte Configurar políticas de Links Seguros.
Uma mensagem de email é relatada por um usuário como malware ou phish	Baixo	Esse alerta é gerado quando os usuários da sua organização relatam mensagens como email de phishing usando os suplementos Mensagem de Relatório da Microsoft ou Phishing de Relatório.
Mensagens de email contendo arquivo mal-intencionado removido após a entrega	Informativo	Esse alerta é gerado quando todas as mensagens que contêm um arquivo mal-intencionado são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas das caixas de correio Exchange Online usando ZAP (limpeza automática) de zero hora.
Email mensagens que contêm malware são removidas após a entrega	Informativo	Esse alerta é gerado quando todas as mensagens de email que contêm malware são entregues às caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas das caixas de correio Exchange Online usando ZAP (limpeza automática) de zero hora.
Mensagens de email contendo URL mal-intencionada removida após a entrega	Informativo	Esse alerta é gerado quando todas as mensagens que contêm uma URL mal-intencionada são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas das caixas de correio Exchange Online usando ZAP (limpeza automática) de zero hora.
Email mensagens que contêm URLs de phish são removidas após a entrega	Informativo	Esse alerta é gerado quando todas as mensagens que contêm phish são entregues em caixas de correio em sua organização. Se esse evento ocorrer, a Microsoft removerá as mensagens infectadas das caixas de correio Exchange Online usando ZAP.
Padrões de envio de email suspeitos são detectados	Medium	Esse alerta é gerado quando alguém em sua organização envia emails suspeitos e corre o risco de ser impedido de enviar email. O alerta é um aviso antecipado para o comportamento que pode indicar que a conta está comprometida, mas não grave o suficiente para restringir o usuário. Embora seja raro, um alerta gerado por essa política pode ser uma anomalia. No entanto, é uma boa ideia marcar se a conta de usuário está comprometida.
Um usuário está impedido de enviar email	High	Esse alerta é gerado quando alguém em sua organização é impedido de enviar emails de saída. Esse alerta normalmente resulta quando uma conta de email é comprometida. Para obter mais informações sobre usuários restritos, consulte Remover usuários bloqueados da página Entidades restritas.
Administração a investigação manual disparada de email	Informativo	Esse alerta é gerado quando um administrador dispara a investigação manual de um email do Threat Explorer. Esse alerta notifica sua organização de que a investigação foi iniciada.
Administração investigação de comprometimento de usuário disparada	Medium	Esse alerta é gerado quando um administrador dispara a investigação manual de comprometimento do usuário de um remetente de email ou destinatário do Threat Explorer. Esse alerta notifica sua organização de que a investigação de comprometimento do usuário foi iniciada.

Dica

Para saber mais sobre políticas de alerta ou editar as configurações padrão, consulte Políticas de alerta no portal Microsoft Defender.

Permissões necessárias para usar recursos air

Você precisa receber permissões para usar o AIR. Você tem as seguintes opções:

• Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell):

  • Inicie uma investigação automatizada ou aprove ou rejeite ações recomendadas: Operador de segurança/Email ações avançadas de correção (gerenciar).

• Email & permissões de colaboração no portal do Microsoft Defender:

  • Configurar recursos air: associação nos grupos de funções gerenciamento de organização ou administrador de segurança .
  • Inicie uma investigação automatizada ou aprove ou rejeite ações recomendadas:
    • Associação nos grupos de funções Gerenciamento de Organização, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • Associação a um grupo de funções com a função Pesquisa e Purgação atribuída. Por padrão, essa função é atribuída aos grupos de funções Pesquisador de Dados e Gerenciamento de Organizações . Ou você pode criar um grupo de funções personalizado para atribuir a função Pesquisa e Limpar.

• Microsoft Entra permissões:

  • Configurar recursos do AIR Associação nas funções administrador global ou administrador de segurança .
  • Inicie uma investigação automatizada ou aprove ou rejeite ações recomendadas:
    • Associação nas funções Administrador Global, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • Associação a um grupo de funções de colaboração Email & com a função Pesquisa e Purgação atribuída. Por padrão, essa função é atribuída aos grupos de funções Pesquisador de Dados e Gerenciamento de Organizações . Ou você pode criar um grupo de funções de colaboração Email & personalizado para atribuir a função Pesquisa e Limpar.

  Microsoft Entra permissões fornecem aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

Licenças necessárias

Microsoft Defender para Office 365 licenças do Plano 2 devem ser atribuídas a:

• Administradores de segurança (incluindo administradores globais)
• Equipe de operações de segurança da sua organização (incluindo leitores de segurança e aqueles com a função Pesquisa e Purgação)
• Usuários finais

Próximas etapas

• Introdução ao uso do AIR
• Confira detalhes e resultados de uma investigação automatizada
• Examinar e aprovar ações pendentes
• Exibir ações de correção pendentes ou concluídas