Configurar capacidades automatizadas de investigação e resposta no Microsoft Defender XDR
Nota
Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.
Microsoft Defender XDR inclui poderosas capacidades de investigação e resposta automatizadas que podem poupar muito tempo e esforço à sua equipa de operações de segurança. Com a autorrecuperação, estas capacidades imitam os passos que um analista de segurança seguiria para investigar e responder a ameaças, apenas mais rapidamente e com mais capacidade de dimensionamento.
Este artigo descreve como configurar a investigação e resposta automatizadas no Microsoft Defender XDR com estes passos:
- Reveja os pré-requisitos.
- Reveja ou altere o nível de automatização dos grupos de dispositivos.
- Reveja as políticas de segurança e alerta no Office 365.
Em seguida, depois de configurar tudo, pode ver e gerir as ações de remediação no Centro de ação. Se necessário, pode efetuar alterações às definições de investigação automatizadas.
Pré-requisitos para investigação e resposta automatizadas no Microsoft Defender XDR
Requisito | Detalhes |
---|---|
Requisitos de subscrição | Uma destas subscrições:
Veja Microsoft Defender XDR requisitos de licenciamento. |
Requisitos de rede | |
Requisitos de dispositivos Windows |
|
Proteção para conteúdos de e-mail e ficheiros do Office |
|
Permissões | Para configurar capacidades automatizadas de investigação e resposta, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):
|
Rever ou alterar o nível de automatização dos grupos de dispositivos
Se as investigações automatizadas são executadas e se as ações de remediação são executadas automaticamente ou apenas após a aprovação dos seus dispositivos dependem de determinadas definições, como as políticas de grupo de dispositivos da sua organização. Reveja o nível de automatização configurado para as políticas do grupo de dispositivos. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:
Aceda ao portal do Microsoft Defender em https://security.microsoft.com e inicie sessão.
Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.
Reveja as políticas do grupo de dispositivos. Em particular, observe a coluna ao nível da Automatização . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para obter ajuda com esta tarefa, consulte os seguintes artigos:
Reveja as políticas de segurança e alertas no Office 365
A Microsoft fornece políticas de alerta incorporadas que ajudam a identificar determinados riscos. Estes riscos incluem abuso de permissões de administrador do Exchange, atividade de software maligno, potenciais ameaças externas e internas e riscos de gestão do ciclo de vida dos dados. Alguns alertas podem acionar a investigação e resposta automatizadas no Office 365. Certifique-se de que as funcionalidades Defender para Office 365 estão configuradas corretamente.
Embora determinados alertas e políticas de segurança possam acionar investigações automatizadas, não são executadas automaticamente ações de remediação para e-mail e conteúdo. Em vez disso, todas as ações de remediação de e-mail e conteúdo de e-mail aguardam a aprovação da sua equipa de operações de segurança no Centro de ação.
As definições de segurança no Proteção do Exchange Online (EOP) e Defender para Office 365 ajudam a proteger o e-mail e o conteúdo. Recomendamos que utilize as políticas de segurança predefinidas Padrão e Estrita para atribuir proteção aos utilizadores.
Se estiver a utilizar políticas personalizadas, utilize o Analisador de configuração para comparar as definições de política com as definições de política de segurança predefinidas Padrão e Estrita. Para obter uma lista detalhada de todas as definições de política, veja as tabelas em Definições recomendadas para eOP e segurança Microsoft Defender para Office 365.
Pode rever as políticas de alerta no portal do Defender em https://security.microsoft.com>Políticas & regras>Política de alerta ou diretamente em .https://security.microsoft.com/alertpoliciesv2 Várias políticas de alerta predefinidas estão na categoria Gestão de ameaças. Algumas das políticas de alerta na categoria Gestão de ameaças podem acionar a investigação e a resposta automatizadas. Para saber mais, veja Políticas de alerta de gestão de ameaças.
Precisa de fazer alterações às definições de investigação automatizadas?
Pode escolher entre várias opções para alterar as definições das suas capacidades de investigação e resposta automatizadas. Algumas opções estão listadas na seguinte tabela:
Para fazê-lo | Siga estes passos |
---|---|
Especificar níveis de automatização para grupos de dispositivos |
|
Passos seguintes
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários