Investigar alertas no Microsoft 365 Defender

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Nota

Este artigo descreve alertas de segurança em Microsoft 365 Defender. No entanto, pode utilizar alertas de atividade para enviar notificações de e-mail para si próprio ou para outros administradores quando os utilizadores realizarem atividades específicas no Microsoft 365. Para obter mais informações, consulte Criar alertas de atividade – Microsoft Purview | Microsoft Docs.

Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Normalmente, os alertas fazem parte de um ataque mais abrangente e fornecem pistas sobre um incidente.

No Microsoft 365 Defender, os alertas relacionados são agregados para formar incidentes. Os incidentes fornecerão sempre o contexto mais abrangente de um ataque. No entanto, a análise de alertas pode ser valiosa quando é necessária uma análise mais aprofundada.

A fila de Alertas mostra o conjunto atual de alertas. Chegar à fila de alertas a partir de Incidentes & alertas > Alertas na iniciação rápida do portal Microsoft 365 Defender empresas.

A secção Alertas no portal Microsoft 365 Defender Empresas

São apresentados alertas de diferentes soluções de segurança da Microsoft, Microsoft Defender para Endpoint, Microsoft Defender para Office 365 e Microsoft 365 Defender da Microsoft.

Por predefinição, a fila de alertas no portal Microsoft 365 Defender apresenta os alertas novos e em curso dos últimos 30 dias. O alerta mais recente está no topo da lista para que o possa ver primeiro.

A partir da fila de alertas predefinida, pode selecionar Filtrar para ver um painel Filtro , a partir do qual pode especificar um subconjunto dos alertas. Eis um exemplo.

A secção Filtros no portal Microsoft 365 Defender Empresas.

Pode filtrar os alertas de acordo com estes critérios:

  • Severidade
  • Estado
  • Origens de serviço
  • Entidades (os ativos afetados)
  • Estado de investigação automatizado

Funções obrigatórias para Defender para Office 365 alertas

Terá de ter qualquer uma das seguintes funções para aceder aos alertas Microsoft Defender para Office 365 dados:

  • Para funções globais do Azure Active Directory (Azure AD):

    • Administrador global

    • Administrador de segurança

    • Operador de Segurança

    • Leitor Global

    • Leitor de Segurança

  • Office 365 Grupos de & de Conformidade e Segurança

    • Administrador de Conformidade

    • Organization Management

  • Uma função personalizada

Analisar um alerta

Para ver a página de alerta principal, selecione o nome do alerta. Eis um exemplo.

Os detalhes de um alerta no portal Microsoft 365 Defender Empresas

Também pode selecionar a ação Abrir a página de alerta principal a partir do painel Gerir alertas.

Uma página de alerta é composta por estas secções:

  • História de alerta, que é a cadeia de eventos e alertas relacionados com este alerta por ordem cronológica
  • Detalhes do resumo

Ao longo de uma página de alerta, pode selecionar as reticentes (...) junto a qualquer entidade para ver as ações disponíveis, tais como ligar o alerta a outro incidente. A lista de ações disponíveis depende do tipo de alerta.

Origens de alertas

Microsoft 365 Defender alertas podem ter sido de soluções como Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e o add-on de governação da aplicação para Microsoft Defender for Cloud Apps. Poderá reparar em alertas com carateres pré-abridos no alerta. A tabela seguinte fornece orientações para o ajudar a compreender o mapeamento de origens de alertas com base no caráter pré-aberto no alerta.

Nota

  • Os GUIDs pré-pendentes são específicos apenas para experiências unificadas, como a fila de alertas unificada, página de alertas unificado, investigação unificada e incidente unificado.
  • O caráter pré-aberto não altera o GUID do alerta. A única alteração ao GUID é o componente pré-aberto.
Origem de alertas Caráter pré-aberto
Microsoft Defender para Office 365 fa{GUID}
Exemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para Endpoint da ou para ed alertas de deteção personalizados
Microsoft Defender para Identidade aa{GUID}
Exemplo: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exemplo: ca123a456b-c789-1d2e-12f1g33h445h6i

Analisar os recursos afetados

A secção Ações tomadas tem uma lista de recursos afetados, como caixas de correio, dispositivos e utilizadores afetados por este alerta.

Também pode selecionar Ver no centro de ação para ver o separador Histórico do Centro de ação no portal Microsoft 365 Defender empresas.

Rastrear a função de um alerta na história do alerta

A história de alerta apresenta todos os recursos ou entidades relacionadas com o alerta numa vista de árvore de processos. O alerta no título é o que está em foco quando é focado pela primeira vez na página do alerta selecionado. Os recursos existentes na história do alerta são expansíveis e clicáveis. Fornecem informações adicionais e aceleram a sua resposta ao permitir que tome medidas no contexto da página de alertas.

Nota

A secção de história de alerta pode conter mais do que um alerta, com alertas adicionais relacionados com a mesma árvore de execução a aparecerem antes ou depois do alerta que selecionou.

Ver mais informações de alerta na página de detalhes

A página de detalhes mostra os detalhes do alerta selecionado, com detalhes e ações relacionadas com o mesmo. Se selecionar qualquer um dos recursos ou entidades afetadas na história do alerta, a página de detalhes é alterada para fornecer informações contextuais e ações para o objeto selecionado.

Após selecionar uma entidade de interesse, a página de detalhes é alterada para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando esta estiver disponível e opções para tomar medidas nesta entidade diretamente a partir da página de alerta.

Gerir alertas

Para gerir um alerta, selecione Gerir alerta na secção de detalhes de resumo da página de alerta. Para um único alerta, eis um exemplo do painel Gerir alertas.

A secção Gerir alerta no portal de Microsoft 365 Defender Empresas

O painel Gerir alertas permite-lhe ver ou especificar:

  • O estado do alerta (Novo, Resolvido, Em curso).
  • A conta de utilizador a que foi atribuído o alerta.
  • A classificação do alerta:
    • Não Definido ( predefinição).
    • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para alertas que indicam com precisão uma ameaça real. Especificar este tipo de ameaça alerta a sua equipa de segurança e vê padrões de ameaças e atua para defender a sua organização dos alertas.
    • Atividade esperada informativa com um tipo de atividade. Utilize esta opção para alertas que são técnicomente exatos, mas que representam comportamento normal ou atividade de ameaça simulada. Normalmente, pretende ignorar estes alertas, mas esperar que estes sejam efetivamente atividades semelhantes no futuro, em que as atividades são ativadas por atacantes ou software malicático real. Utilize as opções nesta categoria para classificar alertas para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de utilizadores e aplicações de confiança.
    • Falso positivo para os tipos de alertas que foram criados mesmo quando não existe atividade maliciosa ou para um falso alarme. Utilize as opções nesta categoria para classificar os alertas identificados por engano como eventos normais ou atividades como maliciosos ou suspeitos. Ao contrário dos alertas de "Informativa, atividade esperada", que também pode ser útil para detetar ameaças reais, geralmente não quer ver estes alertas novamente. Classificar alertas como falsos positivos ajuda-o Microsoft 365 Defender melhorar a qualidade de deteção.
  • Um comentário sobre o alerta.

Nota

Por volta de 29 de agosto de 2022, os valores de determinação de alertas anteriormente suportados ("Apt" e "SecurityPersonnel") serão preteridos e deixarão de estar disponíveis através da API.

Nota

Uma forma de gerir alertas através da utilização de etiquetas. A funcionalidade de etiquetas para Microsoft Defender para Office 365 está a ser incrementada e está atualmente em pré-visualização.
Atualmente, os nomes de etiquetas modificadas só são aplicados a alertas criados após a atualização. Os alertas que foram gerados antes da modificação não refletem o nome da etiqueta atualizada.

Para gerir um conjunto de alertas semelhante a um alerta específico, selecione Ver alertas semelhantes na caixa INSIGHT na secção de detalhes de resumo da página de alertas.

Gerir um alerta no portal de Microsoft 365 Defender Empresas

A partir do painel Gerir alertas , pode classificar todos os alertas relacionados ao mesmo tempo. Eis um exemplo.

Gerir alertas relacionados no portal de Microsoft 365 Defender Empresas

Se já foram classificados alertas semelhantes no passado, pode poupar tempo ao utilizar Microsoft 365 Defender recomendações para saber como os outros alertas foram resolvidos. Na secção de detalhes de resumo, selecione Recomendações.

Exemplo de seleção de recomendações para um alerta

O separador Recomendações fornece ações e conselhos de investigação, remediação e prevenção em próximos passos. Eis um exemplo.

Exemplo de recomendações de alertas

Suprimir um alerta

Como analista do Centro de Operações de Segurança (SOC), um dos principais problemas é fazer uma triagem do número total de alertas que são ativados diariamente. Para alertas de prioridade mais reduzida, continua a ser necessário um analista para fazer uma triagem e resolver o alerta, que tem tendência a ser um processo manual. O tempo de um analista de SOC é valioso, quer focar-se apenas em alertas de alta severidade e prioridade alta.

A eliminação de alertas permite o ajuste e a gestão de alertas com antecedência. Isto simplifica a fila de alertas e poupa tempo de triagem ao ocultar ou resolver alertas automaticamente, sempre que ocorre um determinado comportamento organizacional esperado e as condições das regras são cumpridas.

Pode criar condições de regras baseadas em "tipos de provas", como ficheiros, processos, tarefas agendadas e muitos outros tipos de provas que acionam o alerta. Depois de criar a regra, o utilizador pode aplicar a regra no alerta selecionado ou em qualquer tipo de alerta que comprima as condições da regra para suprimir o alerta.

Nota

A eliminação de alertas não é recomendada. No entanto, em determinadas situações, uma aplicação empresarial ou testes de segurança internos conhecidos acionam uma atividade esperada e não quer ver estes alertas. Por isso, pode criar uma regra de repressão para o alerta.

Criar condições de regra para suprimir alertas

Para criar uma regra de repressão para alertas:

  1. Selecione o alerta investigado. Na página de alerta principal, selecione Criar regra de eliminação na secção de detalhes de resumo da página de alerta.

    Captura de ecrã da ação Criar regra de separação.

  2. No painel Criar regra de repressão , selecione Apenas este tipo de alerta para aplicar a regra no alerta selecionado.

    No entanto, para aplicar a regra a qualquer tipo de alerta que cumpre as condições da regra, selecione Qualquer tipo de alerta baseado em condições IOC.

    Os IOCs são indicadores como ficheiros, processos, tarefas agendadas e outros tipos de provas que acionam o alerta.

  3. Na secção IOCs , selecione Qualquer IOC para suprimir o alerta, independentemente das "provas" que causaram o alerta.

    Para definir várias condições de regra, selecione Escolher IOCs. Utilize as opções E, OU e de agrupamento para criar relações entre estes múltiplos "tipos de provas" que causam o alerta.

    1. Por exemplo, na secção Condições , selecione a função a acionar as provas com a função Entidade : Acionar , É Igual a e selecione o tipo de provas a partir da lista drop-down.

    Captura de ecrã da lista de listas de tipos de provas.

    1. Todas as propriedades destas 'provas' serão preenchidas automaticamente como um novo subgrupo nos respetivos campos abaixo. Captura de ecrã das propriedades de preenchimento automático de provas.

    Nota

    Os valores das condições não são sensíveis a casos sensíveis a casos.

    1. Pode editar e/ou eliminar propriedades destas "provas" de acordo com o seu requisito (utilizandocardos wildcards, quando suportado).

    2. Para além de ficheiros e processos, o script AMSI, o evento WMI e as tarefas agendadas são alguns dos tipos de provas adicionados recém-adicionados que pode selecionar a partir da lista de tipos de provas. Captura de ecrã de outros tipos de provas.

    3. Para adicionar outro IOC, clique em Adicionar filtro.

    Nota

    É necessário adicionar pelo menos um IOC à condição da regra para suprimir qualquer tipo de alerta.

  4. Em alternativa, pode selecionar Preencher automaticamente todos os IOCs relacionados com o alerta 7 na secção IOC para adicionar todos os tipos de provas relacionadas com alertas e as respetivas propriedades ao mesmo tempo na secção Condições. Captura de ecrã de preencher automaticamente todos os IOCs relacionados com alertas.

  5. Na secção Âmbito , defina o Âmbito na sub-secção Condições ao selecionar dispositivo específico, múltiplos dispositivos, grupos de dispositivos, toda a organização ou por utilizador.

    Nota

    Tem de ter permissão Administração quando o Âmbito é definido apenas para o Utilizador. Administração permissão não é necessária quando o Âmbito é definido para Utilizador em conjunto com o Dispositivo, grupos de Dispositivos.

Captura de ecrã do painel Criar regra de repressão: Condições, Âmbito, Ação.

  1. Na secção Ação , tome a ação adequada de Ocultar alerta ou Resolver alerta. Introduza Nome, Comentário e clique em Guardar.

  2. Impeça que os IOCs seja bloqueados no futuro:
    Assim que guardar a regra de eliminação, na página Criação de regras de eliminação bem-sucedida que é exibida, pode adicionar os IOCs selecionados como indicadores à "lista de permitidos" e impedir que no futuro os bloqueios possam ser bloqueados.
    Todos os IOCs relacionados com alertas serão apresentados na lista.
    Os IOCs selecionados nas condições de repressão estarão selecionados por predefinição.

    1. Por exemplo, pode adicionar ficheiros para ter permissão para permitir que a opção Selecionar provas (IOC) seja permitida. Por predefinição, o ficheiro que acionou o alerta está selecionado.
    2. Introduza o âmbito para Selecionar âmbito a aplicar. Por predefinição, o âmbito do alerta relacionado está selecionado.
    3. Clique em Guardar. Agora o ficheiro não está bloqueado, tal como está na lista de permitidos.

    Captura de ecrã da criação de regras de repressão bem sucedidas.

  3. A nova funcionalidade de alerta de eliminação está disponível por predefinição.
    No entanto, pode voltar à experiência anterior no portal do Microsoft 365 Defender ao navegar para Definições > Pontos finais > Eliminação de alertas e, em seguida, desloque o botão de alternar Nova criação de regras de repressão ativada.

    Captura de ecrã do ativador para ativar/destivar a funcionalidade de criação de regras de repressão.

  4. Editar regras existentes:
    Pode sempre adicionar ou alterar as condições e o âmbito das regras novas ou existentes no portal do Microsoft Defender, ao selecionar a regra relevante e clicar em Editar regra.
    Para editar regras existentes, certifique-se de que o ativado para a criação de novas regras de repressão está ativado.

    Captura de ecrã da regra de edição de repressão.

Resolver um alerta

Quando terminar de analisar um alerta e o mesmo puder ser resolvido, vá para o painel Gerir alertas ou alertas semelhantes, marque o estado como Resolvido e, em seguida, classifique-o como positivo verdadeiro com um tipo de ameaça, uma Atividade esperada informativa com um tipo de atividade ou um Falso positivo.

Classificar alertas ajuda-o Microsoft 365 Defender melhorar a sua qualidade de deteção.

Utilizar o Power Automate para fazer uma triagem de alertas

As equipas de operações de segurança modernas (SecOps) precisam de automatização para funcionarem eficazmente. Para se concentrar na procura e na investigação de ameaças reais, as equipas do SecOps utilizam o Power Automate para fazer uma triagem da lista de alertas e eliminar as que não são ameaças.

Critérios para resolver alertas

  • O utilizador tem a mensagem Fora do Escritório aada

  • O utilizador não está etiquetado como de alto risco

Se ambos são verdadeiros, SecOps marca o alerta como uma viagem legítima e resolve-o. Uma notificação é publicada no Microsoft Teams após o alerta ser resolvido.

Ligar o Power Automate a Microsoft Defender for Cloud Apps

Para criar a automatização, necessita de um token API antes de poder ligar o Power Automate ao Microsoft Defender for Cloud Apps.

  1. Clique em Definições, selecione Extensões de segurança e, em seguida, clique em Adicionar token no separador Tokens da API .

  2. Forneça um nome para o seu token e, em seguida, clique em Gerar. Guarde o token, uma vez que precisará do mesmo mais tarde.

Criar um fluxo automatizado

Veja este breve vídeo para saber como a automatização funciona de forma eficiente para criar um fluxo de trabalho suave e como ligar o Power Automate ao Defender para Aplicações na Nuvem.

Passos seguintes

Conforme necessário para incidentes no processo, continue a sua investigação.

Consulte também