Controlar e responder a ameaças emergentes através da análise de ameaças

  • Artigo

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Com adversários mais sofisticados e novas ameaças emergindo frequentemente e predominantemente, é fundamental ser capaz de rapidamente:

  • Avaliar o impacto de novas ameaças
  • Reveja a sua resiliência ou exposição às ameaças
  • Identificar as ações que pode efetuar para parar ou conter as ameaças

A análise de ameaças é um conjunto de relatórios de investigadores especialistas em segurança da Microsoft que abrangem as ameaças mais relevantes, incluindo:

  • Atores de ameaças ativos e as suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Software maligno predominante

Cada relatório fornece uma análise detalhada de uma ameaça e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.

Veja este breve vídeo para saber mais sobre como a análise de ameaças pode ajudá-lo a controlar as ameaças mais recentes e a pará-las.

Funções e permissões necessárias

A tabela seguinte descreve as funções e as permissões necessárias para aceder ao Threat Analytics. As funções definidas na tabela abaixo referem-se a funções personalizadas em portais individuais e não estão ligadas a funções globais no Microsoft Entra ID, mesmo que com um nome semelhante.

É necessária uma das seguintes funções para Microsoft Defender XDR É necessária uma das seguintes funções para o Defender para Endpoint É necessária uma das seguintes funções para Defender para Office 365 É necessária uma das seguintes funções para o Defender para Aplicações na Cloud
Threat Analytics Dados de alertas e incidentes:
  • Ver dados - operações de segurança
Mitigações da Gestão de Vulnerabilidades do Defender:
  • Ver dados – Gestão de ameaças e vulnerabilidades
 Dados de alertas e incidentes:
  • Gerir alertas apenas de visualização
  • Gerir alertas
  • Configuração da organização
  • Registos de auditoria
  • Ver registos de auditoria apenas
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
Tentativas de e-mail impedidas:
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
 Não disponível para utilizadores do Defender para Cloud Apps ou MDI

Ver o dashboard de análise de ameaças

O dashboard de análise de ameaças é um excelente ponto de saída para aceder aos relatórios mais relevantes para a sua organização. Resume as ameaças nas secções seguintes:

  • Ameaças mais recentes: Listas os relatórios de ameaças publicados mais recentemente, juntamente com o número de dispositivos com alertas ativos e resolvidos.
  • Ameaças de impacto elevado: Listas as ameaças que tiveram o maior impacto na organização. Esta secção classifica as ameaças pelo número de dispositivos com alertas ativos.
  • Resumo da ameaça: mostra o impacto geral das ameaças registadas ao mostrar o número de ameaças com alertas ativos e resolvidos.

Selecione uma ameaça no dashboard para ver o relatório dessa ameaça.

O dashboard de análise de ameaças

Ver um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em três secções: Descrição geral, Relatório de analista e Mitigações.

Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas

A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.

A secção Descrição geral de um relatório de análise de ameaças, secção Descrição geral de um relatório de análise de ameaças

Avaliar o impacto na sua organização

Cada relatório inclui gráficos concebidos para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Dispositivos com alertas: mostra o número atual de dispositivos distintos que foram afetados pela ameaça. Um dispositivo é categorizado como Ativo se existir pelo menos um alerta associado a essa ameaça e Resolvido se todos os alertas associados à ameaça no dispositivo tiverem sido resolvidos.
  • Dispositivos com alertas ao longo do tempo: mostra o número de dispositivos distintos com alertas Ativos e Resolvidos ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. Idealmente, o gráfico deve mostrar alertas resolvidos dentro de alguns dias.

Rever a resiliência e postura de segurança

Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:

  • Estado da configuração de segurança: mostra o número de dispositivos que aplicaram as definições de segurança recomendadas que podem ajudar a mitigar a ameaça. Os dispositivos são considerados Seguros se tiverem aplicado todas as definições controladas.
  • Estado de aplicação de patches de vulnerabilidades: mostra o número de dispositivos que aplicaram atualizações de segurança ou patches que abordam vulnerabilidades exploradas pela ameaça.

Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft

Aceda à secção Relatório de analistas para ler a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .

Saiba mais sobre o relatório do analista

Mitigações: veja a lista de mitigações e o estado dos seus dispositivos

Na secção Mitigações , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui:

  • Atualizações de segurança: implementação de atualizações de segurança ou patches para vulnerabilidades
  • definições do Antivírus do Microsoft Defender
    • Versão de informações de segurança
    • Proteção fornecida pela cloud
    • Proteção contra aplicações potencialmente indesejadas (PUA)
    • Proteção em tempo real

As informações de mitigação nesta secção incorporam dados de Gestão de vulnerabilidades do Microsoft Defender, que também fornecem informações detalhadas de desagregação de várias ligações no relatório.

A secção Mitigações de um relatório de análise de ameaças

Secção Mitigações de um relatório de análise de ameaças

Detalhes e limitações adicionais do relatório

Ao utilizar os relatórios, tenha em atenção o seguinte:

  • Os dados são confinados com base no âmbito do controlo de acesso baseado em funções (RBAC). Verá o estado dos dispositivos em grupos aos quais pode aceder.
  • Os gráficos refletem apenas as mitigações registadas. Verifique a descrição geral do relatório para obter mitigações adicionais que não são apresentadas nos gráficos.
  • As mitigações não garantem uma resiliência total. As mitigações fornecidas refletem as melhores ações possíveis necessárias para melhorar a resiliência.
  • Os dispositivos são contabilizados como "indisponíveis" se não tiverem transmitido dados para o serviço.
  • As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus Microsoft Defender. Os dispositivos com soluções antivírus de terceiros podem aparecer como "expostos".

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.