Investigar ataques com o Microsoft Defender para Identidade

  • 20 minutos

Você aprendeu que pode usar o Microsoft Defender para Identidade para detectar diferentes tipos de ataques às identidades das suas organizações. Mas, como analista de segurança da sua organização, você também precisa entendê-los para que você possa tratá-los e evitar que aconteçam novamente no futuro. Aqui, você aprenderá a realizar investigações em resposta a ataques.

Investigar atividades mal-intencionadas

Um ataque pode emanar de dentro do seu domínio corporativo ou de fora. Normalmente, um atacante pode tentar comprometer um único computador ou conta de usuário de fora, e depois usá-lo como rampa de lançamento para um ataque ao restante do seu sistema. Se você observar alertas sendo disparados para atividades incomuns, você deve investigar as fontes desses alertas na sua rede. O Microsoft Defender para Identidade captura informações que permitem que você investigue as várias contas de usuário, computadores e outras entidades que podem estar envolvidas.

Investigar usuários

Se a atividade for detectada para um usuário específico, você poderá usar os logs gerados pelo Microsoft Defender para Identidade para responder às seguintes perguntas:

  • Quem é esse usuário? Essa conta de usuário existe realmente ou ela foi criada de forma clandestinamente? Esse usuário possui direitos de administrador? Ele possui controle sobre informações confidenciais no sistema? Ele está em uma lista de observação— você já observou atividade incomum dessa conta anteriormente?
  • Esse usuário acionou outros alertas no Microsoft Defender para Identidade ou em outras ferramentas, como o Microsoft Defender para Ponto de Extremidade ou o Microsoft Defender para Aplicativos na Nuvem?
  • Esse usuário possui um registro de tentativas de login que apresenta falhas?
  • Quais recursos esse usuário normalmente acessa e é a conta que agora exibe um padrão de solicitações incomuns. O usuário está tentando acessar dados confidenciais?
  • Em quais computadores esse usuário está conectado e o usuário normalmente se conecta a esses computadores?
  • Existe um caminho de movimento lateral entre esse usuário e uma conta que tenha acesso a dados mais confidenciais? Uma conta relativamente desprotegida em um computador pode fazer parte de um grupo que possui acesso a dados mais críticos em outro computador. Um caminho de movimentação lateral permite que um invasor explore as credenciais para que a conta protegida de forma fraca seja usada em outro lugar no domínio.

Uma captura de tela mostrando a atividade do usuário para uma investigação no Microsoft Defender para Identidade.

Investigar computadores

Você pode usar o Microsoft Defender para Identidade para também controlar a atividade por computador. Ao usar essas informações, você pode fazer as seguintes perguntas quando os alertas são acionados:

  • Qual usuário entrou no computador? Normalmente, esse usuário usa esse computador? Quais recursos no computador o usuário estava tentando acessar?
  • Houve muitas tentativas recentes de entrada com erro nesse computador?
  • Esse computador acionou outros alertas no Microsoft Defender para Identidade ou em outras soluções, como o Microsoft Defender para Ponto de Extremidade?
  • Algum novo programa foi instalado nesse computador?
  • Algum arquivo foi carregado nesse ou desse computador?

Uma captura de tela exibindo a atividade do computador em uma investigação no Microsoft Defender para Identidade.

Investigar caminhos de movimento lateral

Os caminhos de movimento lateral resultam de contas consideradas em risco. Depois que uma conta em risco for comprometida, outras contas no caminho de movimento lateral podem se tornar alvos. O Microsoft Defender para Identidade pode gerar relatórios indicando possíveis caminhos de movimento lateral de uma conta.

Uma captura de tela mostrando como baixar caminhos de movimento lateral no Microsoft Defender para Identidade.

Para minimizar as possibilidades de caminhos de movimento lateral, você pode considerar as seguintes práticas recomendadas:

  • Certifique-se de que os usuários só forneçam credenciais administrativas ao usar computadores reforçados. Se um usuário não precisa realizar tarefas administrativas, ele deve entrar usando uma conta não administrativa comum.
  • Conceda apenas os direitos necessários aos usuários e grupos.
  • Conceda acesso apenas aos recursos exigidos pelos usuários e grupos.

Investigar entidades nos dispositivos

Uma entidade é um usuário, computador ou dispositivo dentro de um domínio. Com o Microsoft Defender para Identidade, você obterá uma página de detalhes de cada entidade em um domínio. Ela contém informações detalhadas, incluindo os recursos aos quais a entidade possui acesso, bem como seu histórico. A página de perfil usa o tradutor de atividades lógicas do Microsoft Defender para Identidade que pode analisar um grupo de atividades que ocorrem (agregadas até um minuto) e agrupá-las em uma única atividade lógica para lhe dar uma melhor compreensão das atividades reais dos seus usuários.

Explorar investigação e resposta de ataque

Investigar e responder a ataques com o Microsoft Defender para Identidade.

Certifique-se de clicar na opção de tela cheia no player de vídeo. Quando terminar, use seta Voltar no seu navegador para retornar a esta página.