Investigar incidentes no Microsoft 365 Defender

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Microsoft 365 Defender agrega todos os alertas, ativos, investigações e provas relacionados de todos os seus dispositivos, utilizadores e caixas de correio num incidente para lhe dar um aspeto abrangente sobre toda a largura de um ataque.

Dentro de um incidente, analisa os alertas que afetam a sua rede, compreende o que significam e agliga as provas para que possa conceber um plano de remediação eficaz.

Investigação inicial

Antes de ver os detalhes, veja as propriedades e o resumo do incidente.

Pode começar por selecionar o incidente na coluna da marca de verificação. Eis um exemplo.

Selecionar um incidente no portal Microsoft 365 Defender Empresas

Ao fazê-lo, é aberto um painel de resumo com informações importantes sobre o incidente, como a gravidade, a quem é atribuído, e as categorias MIS ATT&CK™ relativas ao incidente. Eis um exemplo.

O painel que apresenta os detalhes de resumo de um incidente no portal Microsoft 365 Defender Empresas.

A partir daqui, pode selecionar Abrir página de incidentes. Esta ação abre a página principal do incidente onde encontrará mais informações de resumo e separadores para alertas, dispositivos, utilizadores, investigações e provas.

Também pode abrir a página principal de um incidente ao selecionar o nome do incidente na fila de incidentes.

Resumo

A página Resumo apresenta-lhe um instantâneo do topo para reparar sobre o incidente.

As informações de resumo de um incidente no portal Microsoft 365 Defender Empresas

As informações estão organizadas nestas secções.

Section Descrição
Alertas e categorias Uma vista visual e numérica do progresso do ataque contra a cadeia de kill. Tal como com outros produtos de segurança da Microsoft, o Microsoft 365 Defender está alinhado com a estrutura MITRE ATT&CK™. A linha cronológica dos alertas mostra a ordem cronológica na qual os alertas ocorreram e, para cada um, o respetivos estado e nome.
Âmbito Apresenta o número de dispositivos, utilizadores e caixas de correio afetados e apresenta as entidades por ordem de nível de risco e prioridade de investigação.
Provas Apresenta o número de entidades afetadas pelo incidente.
Informações sobre incidentes Apresenta as propriedades do incidente, como etiquetas, estado e gravidade.

Utilize a página Resumo para avaliar a importância relativa do incidente e aceder rapidamente aos alertas associados e às entidades afetadas.

Alertas

No separador Alertas , pode ver a fila de alertas para alertas relacionados com o incidente e outras informações sobre os mesmas, tais como:

  • Severidade.
  • As entidades envolvidas no alerta.
  • A origem dos alertas (Microsoft Defender para Identidade, Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Defender para Aplicações na Nuvem e o add-on de governação da aplicação).
  • O motivo pelo qual foram ligados.

Eis um exemplo.

O painel Alertas de um incidente no portal de Microsoft 365 Defender Empresas

Por predefinição, os alertas são ordenados cronologicamente para permitir que veja como o ataque foi reproduzido ao longo do tempo. Quando seleciona um alerta num incidente, o Microsoft 365 Defender apresenta as informações do alerta específicas no contexto do incidente geral.

Pode ver os eventos do alerta, os outros alertas que causaram o alerta atual e todas as entidades e atividades afetadas no ataque, incluindo dispositivos, ficheiros, utilizadores e caixas de correio.

Eis um exemplo.

Os detalhes de um alerta num incidente no portal Microsoft 365 Defender Empresas.

A página de alerta de incidentes tem as seguinte secções:

  • História de alerta, que inclui:

    • O que aconteceu

    • Ações tomadas

    • Eventos relacionados

  • Propriedades do alerta no painel direito (estado, detalhes, descrição, entre outros)

Nem todos os alertas terão todas as subscções listadas na secção História do alerta.

Saiba como utilizar as páginas de alerta e fila de alertas nos alertas de investigação.

Dispositivos

O separador Dispositivos lista todos os dispositivos relacionados com o incidente. Eis um exemplo.

A página Dispositivos de um incidente no portal Microsoft 365 Defender Empresas

Pode selecionar a marca de verificação de um dispositivo para ver detalhes do dispositivo, dos dados do diretório, dos alertas ativos e dos utilizadores com sessão marcada. Selecione o nome do dispositivo para ver os detalhes do dispositivo no inventário de dispositivos do Defender para Ponto Final. Eis um exemplo.

A página relacionada com as opções do inventário do dispositivo no Microsoft Defender para Endpoint.

A partir da página do dispositivo, pode recolher informações adicionais sobre o dispositivo, como todos os alertas, uma linha de tempo e recomendações de segurança. Por exemplo, a partir do separador Linha Cronológica, pode deslocar-se pela linha cronológica da máquina e ver todos os eventos e comportamentos observados no aparelho por ordem cronológica, intermitente com os alertas elevados.

Dica

Pode fazer digitalizações a pedido numa página do dispositivo. No portal Microsoft 365 Defender, selecionar Pontos finais > inventário de dispositivos. Selecione um dispositivo com alertas e, em seguida, execute uma análise antivírus. As ações, como as análises de antivírus, são controlar e são visíveis na página Inventário do dispositivo. Para saber mais, consulte Executar análise de Antivírus do Defender em dispositivos.

Utilizadores

O separador Utilizadores lista todos os utilizadores identificados para fazerem parte ou relacionados com o incidente. Eis um exemplo.

A página Utilizadores no portal Microsoft 365 Defender utilizadores.

Pode selecionar a marca de verificação de um utilizador para ver detalhes sobre a ameaça da conta do utilizador, exposição e informações de contacto. Selecione o nome de utilizador para ver detalhes adicionais da conta de utilizador.

Saiba como ver informações adicionais de utilizador e gerir os utilizadores de um incidente na investigação dos utilizadores.

Caixas de correio

O separador Caixas de Correio lista todas as caixas de correio que foram identificadas como sendo parte ou estão relacionadas com o incidente. Eis um exemplo.

A página Caixas de Correio de um incidente no portal Microsoft 365 Defender Correio.

Pode selecionar a marca de verificação de uma caixa de correio para ver uma lista de alertas ativos. Selecione o nome da caixa de correio para ver detalhes adicionais da caixa de correio na página Explorador de Defender para Office 365.

Investigações

O separador Investigações lista todas as investigações automatizadas desencadeadas por alertas neste incidente. As investigações automatizadas irão efetuar ações de remediação ou aguardar pela aprovação analista das ações, dependendo de como configurou as suas investigações automáticas para executar no Defender para Pontos Finais e Defender para Office 365.

A página Investigações de um incidente no portal Microsoft 365 Defender Empresas

Selecione uma investigação para navegar para a página de detalhes da mesma para obter informações completas sobre o estado de investigação e remediação. Se houver ações pendentes para aprovação como parte da investigação, estas serão apresentadas no separador Histórico de ações pendentes . Tome medidas como parte da remediação de incidentes.

Também existe um separador gráfico de Investigação que mostra:

  • A ligação de alertas aos ativos afetados na sua organização.
  • Que entidades estão relacionadas com que alertas e como fazem parte da história do ataque.
  • Os alertas do incidente.

O gráfico de investigação ajuda-o a compreender rapidamente o âmbito completo do ataque ao ligar as diferentes entidades suspeitas que fazem parte do ataque com os seus ativos relacionados, como utilizadores, dispositivos e caixas de correio.

Para obter mais informações, consulte Investigação e resposta automática em Microsoft 365 Defender.

Provas e Respostas

O separador Provas e Respostas apresenta todos os eventos e entidades suspeitas suportados nos alertas do incidente. Eis um exemplo.

A página Provas e Respostas de um incidente no portal Microsoft 365 Defender Empresas

Microsoft 365 Defender investiga automaticamente todos os eventos suportados dos incidentes e entidades suspeitas nos alertas, fornecendo-lhe informações sobre e-mails, ficheiros, processos, serviços, Endereços IP importantes e muito mais. Isto ajuda-o a detetar e bloquear rapidamente potenciais ameaças no incidente.

Cada uma das entidades analisadas é marcada com um veredito (Malicioso, Suspeito, Limpo) e um estado de remediação. Isto ajuda-o a compreender o estado de remediação de todo o incidente e quais os próximos passos que podem ser efetuados.

Gráfico (Pré-visualização)

O separador Gráfico mostra o âmbito completo do ataque, como o ataque se espalhou pela sua rede ao longo do tempo, onde começou e até que ponto o ataque foi. Liga as diferentes entidades suspeitas que fazem parte do ataque aos seus ativos relacionados, como utilizadores, dispositivos e caixas de correio.

A partir do separador Graph , pode:

  1. Reproduzir os alertas e os nós no gráfico à medida que ocorram ao longo do tempo para compreender a cronologia do ataque.

    Reprodução dos alertas e nós na página do Graph

  2. Abra um painel de entidade, permitindo-lhe rever os detalhes da entidade e agir sobre ações de remediação, tais como eliminar um ficheiro ou isolar um dispositivo.

    Painel de entidade na página Graph no portal Microsoft 365 Defender Empresas

  3. Realce os alertas com base na entidade à qual estão relacionados.

    Um realce de alerta na página Graph

Passos seguintes

Conforme necessário:

Consulte também