Configurar capacidades automatizadas de investigação e resposta no Microsoft Defender XDR

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Microsoft Defender XDR inclui poderosas capacidades de investigação e resposta automatizadas que podem poupar muito tempo e esforço à sua equipa de operações de segurança. Com a autorrecuperação, estas capacidades imitam os passos que um analista de segurança seguiria para investigar e responder a ameaças, apenas mais rapidamente e com mais capacidade de dimensionamento.

Este artigo descreve como configurar a investigação e resposta automatizadas no Microsoft Defender XDR com estes passos:

  1. Reveja os pré-requisitos.
  2. Reveja ou altere o nível de automatização dos grupos de dispositivos.
  3. Reveja as políticas de segurança e alerta no Office 365.

Em seguida, depois de configurar tudo, pode ver e gerir as ações de remediação no Centro de ação. Se necessário, pode efetuar alterações às definições de investigação automatizadas.

Pré-requisitos para investigação e resposta automatizadas no Microsoft Defender XDR

Requisito Detalhes
Requisitos de subscrição Uma destas subscrições:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 com o suplemento Microsoft 365 E5 Segurança
  • Microsoft 365 A3 com o suplemento segurança do Microsoft 365 A5
  • Office 365 E5 mais Enterprise Mobility + Security E5 mais o Windows E5

Veja Microsoft Defender XDR requisitos de licenciamento.
Requisitos de rede
Requisitos de dispositivos Windows
Proteção para conteúdos de e-mail e ficheiros do Office
Permissões Para configurar capacidades automatizadas de investigação e resposta, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):
  • Administrador Global
  • Administrador de Segurança
Para trabalhar com capacidades de investigação e resposta automatizadas, como ao rever, aprovar ou rejeitar ações pendentes, veja Permissões necessárias para tarefas do Centro de ação.

Rever ou alterar o nível de automatização dos grupos de dispositivos

Se as investigações automatizadas são executadas e se as ações de remediação são executadas automaticamente ou apenas após a aprovação dos seus dispositivos dependem de determinadas definições, como as políticas de grupo de dispositivos da sua organização. Reveja o nível de automatização configurado para as políticas do grupo de dispositivos. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:

  1. Aceda ao portal do Microsoft Defender em https://security.microsoft.com e inicie sessão.

  2. Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.

  3. Reveja as políticas do grupo de dispositivos. Em particular, observe a coluna ao nível da Automatização . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para obter ajuda com esta tarefa, consulte os seguintes artigos:

Reveja as políticas de segurança e alertas no Office 365

A Microsoft fornece políticas de alerta incorporadas que ajudam a identificar determinados riscos. Estes riscos incluem abuso de permissões de administrador do Exchange, atividade de software maligno, potenciais ameaças externas e internas e riscos de gestão do ciclo de vida dos dados. Alguns alertas podem acionar a investigação e resposta automatizadas no Office 365. Certifique-se de que as funcionalidades Defender para Office 365 estão configuradas corretamente.

Embora determinados alertas e políticas de segurança possam acionar investigações automatizadas, não são executadas automaticamente ações de remediação para e-mail e conteúdo. Em vez disso, todas as ações de remediação de e-mail e conteúdo de e-mail aguardam a aprovação da sua equipa de operações de segurança no Centro de ação.

As definições de segurança no Proteção do Exchange Online (EOP) e Defender para Office 365 ajudam a proteger o e-mail e o conteúdo. Recomendamos que utilize as políticas de segurança predefinidas Padrão e Estrita para atribuir proteção aos utilizadores.

Se estiver a utilizar políticas personalizadas, utilize o Analisador de configuração para comparar as definições de política com as definições de política de segurança predefinidas Padrão e Estrita. Para obter uma lista detalhada de todas as definições de política, veja as tabelas em Definições recomendadas para eOP e segurança Microsoft Defender para Office 365.

Pode rever as políticas de alerta no portal do Defender em https://security.microsoft.com>Políticas & regras>Política de alerta ou diretamente em .https://security.microsoft.com/alertpoliciesv2 Várias políticas de alerta predefinidas estão na categoria Gestão de ameaças. Algumas das políticas de alerta na categoria Gestão de ameaças podem acionar a investigação e a resposta automatizadas. Para saber mais, veja Políticas de alerta de gestão de ameaças.

Precisa de fazer alterações às definições de investigação automatizadas?

Pode escolher entre várias opções para alterar as definições das suas capacidades de investigação e resposta automatizadas. Algumas opções estão listadas na seguinte tabela:

Para fazê-lo Siga estes passos
Especificar níveis de automatização para grupos de dispositivos
  1. Configurar um ou mais grupos de dispositivos. Veja Criar e gerir grupos de dispositivos.
  2. No portal Microsoft Defender, aceda a Funções de Pontos Finais de Permissões>& grupos grupos>de dispositivos.
  3. Selecione um grupo de dispositivos e reveja a definição de nível de Automatização . (Recomendamos a utilização de Ameaças completas – remediar automaticamente). Veja Níveis de automatização nas capacidades de investigação e remediação automatizadas.
  4. Repita os passos 2 e 3 conforme adequado para todos os grupos de dispositivos.

Passos seguintes

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.