Investigação e resposta automatizada (AIR) no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Microsoft Defender para Office 365 inclui poderosas capacidades de investigação e resposta automatizadas (AIR) que podem poupar tempo e esforço à equipa de operações de segurança. À medida que os alertas são acionados, cabe à sua equipa de operações de segurança rever, priorizar e responder a esses alertas. Acompanhar o volume de alertas recebidos pode ser avassalador. Automatizar algumas dessas tarefas pode ajudar.

A AIR permite que a sua equipa de operações de segurança opere de forma mais eficiente e eficaz. As capacidades AIR incluem processos de investigação automatizados em resposta a ameaças conhecidas que existem atualmente. As ações de remediação adequadas aguardam aprovação, permitindo que a equipa de operações de segurança responda eficazmente às ameaças detetadas. Com o AIR, a sua equipa de operações de segurança pode concentrar-se em tarefas de prioridade mais alta sem perder de vista alertas importantes que são acionados.

Este artigo descreve:

• O fluxo geral do AR;
• Como obter AR; e
• As permissões necessárias para configurar ou utilizar as capacidades AIR.

Este artigo também inclui os próximos passos e recursos para saber mais.

O fluxo geral do AR

É acionado um alerta e um manual de procedimentos de segurança inicia uma investigação automatizada, o que resulta em resultados e ações recomendadas. Eis o fluxo geral do AIR, passo a passo:

1. Uma investigação automatizada é iniciada de uma das seguintes formas:

   • Um alerta é acionado por algo suspeito no e-mail (como uma mensagem, anexo, URL ou conta de utilizador comprometida). É criado um incidente e é iniciada uma investigação automatizada; ou
   • Um analista de segurança inicia uma investigação automatizada ao utilizar o Explorador.

2. Enquanto uma investigação automatizada é executada, recolhe dados sobre o e-mail em questão e entidades relacionadas com esse e-mail (por exemplo, ficheiros, URLs e destinatários). O âmbito da investigação pode aumentar à medida que são acionados alertas novos e relacionados.

3. Durante e após uma investigação automatizada, os detalhes e os resultados estão disponíveis para visualização. Os resultados podem incluir ações recomendadas que podem ser tomadas para responder e remediar quaisquer ameaças existentes encontradas.

4. A equipa de operações de segurança revê os resultados e recomendações da investigação e aprova ou rejeita ações de remediação.

5. Uma vez que as ações de remediação pendentes são aprovadas (ou rejeitadas), a investigação automatizada é concluída.

Nota

Se a investigação não resultar em ações recomendadas, a investigação automatizada será fechada e os detalhes do que foi revisto como parte da investigação automatizada continuarão disponíveis na página de investigação.

No Microsoft Defender para Office 365, não são realizadas ações de remediação automaticamente. As ações de remediação são realizadas apenas após a aprovação pela equipa de segurança da sua organização. As capacidades AIR poupam tempo à equipa de operações de segurança ao identificar as ações de remediação e ao fornecer os detalhes necessários para tomar uma decisão informada.

Durante e após cada investigação automatizada, a sua equipa de operações de segurança pode:

• Ver detalhes sobre um alerta relacionado com uma investigação
• Ver os detalhes dos resultados de uma investigação
• Rever e aprovar ações como resultado de uma investigação

Sugestão

Para obter uma descrição geral mais detalhada, veja Como funciona o AIR.

Como obter AIR

As capacidades AIR estão incluídas no Microsoft Defender para Office 365 Plano 2, desde que o registo de auditoria esteja ativado (está ativado por predefinição).

Além disso, certifique-se de que revê as políticas de alerta da sua organização, especialmente as políticas predefinidas na categoria Gestão de ameaças.

Que políticas de alerta acionam investigações automatizadas?

O Microsoft 365 fornece muitas políticas de alerta incorporadas que ajudam a identificar o abuso de permissões de administrador do Exchange, a atividade de software maligno, potenciais ameaças externas e internas e riscos de governação de informações. Várias das políticas de alerta predefinidas podem acionar investigações automatizadas. A tabela seguinte descreve os alertas que acionam investigações automatizadas, a sua gravidade no portal Microsoft Defender e como são gerados:

Alerta	Gravidade	Como o alerta é gerado
Foi detetado um clique de URL potencialmente malicioso	High	Este alerta é gerado quando ocorre um dos seguintes procedimentos: Um utilizador protegido por Ligações Seguras na sua organização clica numa ligação maliciosa As alterações ao veredicto dos URLs são identificadas pelo Microsoft Defender para Office 365 Os utilizadores substituem as páginas de aviso de Ligações Seguras (com base na política de Ligações Seguras da sua organização. Para obter mais informações sobre eventos que acionam este alerta, veja Configurar políticas de Ligações Seguras.
Uma mensagem de e-mail é comunicada por um utilizador como software maligno ou phish	Baixo	Este alerta é gerado quando os utilizadores na sua organização comunicam mensagens como e-mail de phishing através dos suplementos Mensagem de Relatório da Microsoft ou Relatório de Phishing.
Email mensagens que contêm ficheiro malicioso removido após a entrega	Informativo	Este alerta é gerado quando todas as mensagens que contenham um ficheiro malicioso são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm software maligno são removidas após a entrega	Informativo	Este alerta é gerado quando todas as mensagens de e-mail que contenham software maligno são entregues a caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm URL malicioso removido após a entrega	Informativo	Este alerta é gerado quando todas as mensagens que contêm um URL malicioso são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm URLs de phish são removidas após a entrega	Informativo	Este alerta é gerado quando todas as mensagens que contêm phish são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio com ZAP.
Foram detetados padrões de envio de e-mail suspeitos	Médio	Este alerta é gerado quando alguém na sua organização envia e-mails suspeitos e corre o risco de ser impedido de enviar e-mails. O alerta é um aviso antecipado de comportamento que pode indicar que a conta está comprometida, mas não é suficientemente grave para restringir o utilizador. Embora seja raro, um alerta gerado por esta política pode ser uma anomalia. No entanto, é boa ideia verificar se a conta de utilizador está comprometida.
Um utilizador está impedido de enviar e-mails	High	Este alerta é gerado quando alguém na sua organização está impedido de enviar correio de saída. Normalmente, este alerta resulta quando uma conta de e-mail é comprometida. Para obter mais informações sobre utilizadores restritos, veja Remover utilizadores bloqueados da página Entidades restritas.
Administração acionou a investigação manual do e-mail	Informativo	Este alerta é gerado quando um administrador aciona a investigação manual de um e-mail do Explorador de Ameaças. Este alerta notifica a sua organização de que a investigação foi iniciada.
Administração acionado a investigação de compromisso do utilizador	Médio	Este alerta é gerado quando um administrador aciona a investigação de compromisso manual do utilizador de um remetente de e-mail ou destinatário do Explorador de Ameaças. Este alerta notifica a sua organização de que a investigação de compromisso do utilizador foi iniciada.

Sugestão

Para saber mais sobre as políticas de alerta ou editar as predefinições, veja Políticas de alerta no portal do Microsoft Defender.

Permissões necessárias para utilizar as capacidades AIR

Tem de lhe ser atribuídas permissões para utilizar o AIR. Tem as seguintes opções:

• Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (afeta apenas o portal do Defender e não o PowerShell):

  • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas: Operador de Segurança/Email ações de remediação avançadas (gerir).

• Email & permissões de colaboração no portal do Microsoft Defender:

  • Configurar funcionalidades AIR: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
  • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
    • Associação nos grupos de funções Gestão da Organização, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • Associação a um grupo de funções com a função Pesquisa e Remover atribuída. Por predefinição, esta função é atribuída aos grupos de funções Investigação de Dados e Gestão da Organização . Em alternativa, pode criar um grupo de funções personalizado para atribuir a função Pesquisa e Remover.

• permissões de Microsoft Entra:

  • Configurar funcionalidades AIR Associação nas funções Administrador Global ou Administrador de Segurança .
  • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
    • Associação nas funções Administrador Global, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
    • Associação a um grupo de funções de colaboração Email & com a função Pesquisa e Remoção atribuída. Por predefinição, esta função é atribuída aos grupos de funções Investigação de Dados e Gestão da Organização . Em alternativa, pode criar um grupo de funções de colaboração Email & personalizado para atribuir a função Pesquisa e Remover.

  Microsoft Entra permissões fornecem aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

Licenças necessárias

Microsoft Defender para Office 365 licenças do Plano 2 devem ser atribuídas a:

• Administradores de segurança (incluindo administradores globais)
• A equipa de operações de segurança da sua organização (incluindo leitores de segurança e pessoas com a função Pesquisa e Remoção)
• Utilizadores finais

Passos seguintes

• Começar a utilizar o AIR
• Ver detalhes e resultados de uma investigação automatizada
• Rever e aprovar ações pendentes
• Ver ações de remediação pendentes ou concluídas