Investigação e resposta automatizadas no Microsoft Defender XDR
Se a sua organização estiver a utilizar Microsoft Defender XDR, a sua equipa de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que for detetada uma atividade ou artefacto malicioso ou suspeito. Dado o fluxo aparentemente interminável de ameaças que podem surgir, as equipas de segurança enfrentam frequentemente o desafio de abordar o elevado volume de alertas. Felizmente, Microsoft Defender XDR inclui capacidades de investigação e resposta automatizadas (AIR) que podem ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Este artigo fornece uma descrição geral do AIR e inclui ligações para os próximos passos e recursos adicionais.
Como funciona a investigação automatizada e o self-healing
À medida que os alertas de segurança são disparados, cabe à sua equipe de operações de segurança examinar esses alertas e executar etapas para proteger sua organização. Priorizar e investigar alertas pode consumir muito tempo, especialmente quando novos alertas continuam chegando enquanto uma investigação está em andamento. As equipes de operações de segurança podem se sentir sobrecarregadas pelo simples volume de ameaças que devem ser monitoradas e protegidas. As capacidades automatizadas de investigação e resposta, com recuperação automática, no Microsoft Defender XDR podem ajudar.
Veja o seguinte vídeo para ver como funciona a autorrecuperação:
No Microsoft Defender XDR, a investigação automatizada e a resposta com capacidades de autorrecuperação funcionam em todos os seus dispositivos, e-mail & conteúdos e identidades.
Dica
Este artigo descreve como funciona a investigação e a resposta automatizadas. Para configurar estas capacidades, veja Configurar capacidades de investigação e resposta automatizadas no Microsoft Defender XDR.
O seu próprio analista virtual
Imagine ter um analista virtual na sua equipa de operações de segurança de Camada 1 ou Camada 2. O analista virtual imita as etapas ideais que as operações de segurança poderiam executar para investigar e corrigir ameaças. O analista virtual pode trabalhar 24 horas por dia, 7 dias por semana, com capacidade ilimitada, e assumir uma carga significativa de investigações e remediação de ameaças. Um analista virtual deste tipo pode reduzir significativamente o tempo de resposta, libertando a sua equipa de operações de segurança para outras ameaças importantes ou projetos estratégicos. Se este cenário soa a ficção científica, não é! Um analista virtual deste tipo faz parte do seu conjunto de Microsoft Defender XDR e o respetivo nome é investigação e resposta automatizadas.
As capacidades automatizadas de investigação e resposta permitem à sua equipa de operações de segurança aumentar drasticamente a capacidade da sua organização para lidar com alertas e incidentes de segurança. Com a investigação e resposta automatizadas, pode reduzir o custo de lidar com atividades de investigação e resposta e tirar o máximo partido do seu conjunto de proteção contra ameaças. As capacidades automatizadas de investigação e resposta ajudam a sua equipa de operações de segurança ao:
- Determinando se uma ameaça requer ação.
- Executando (ou recomendando) todas as ações de correção necessárias.
- Determinando se e quais outras investigações devem ocorrer.
- Repetindo o processo conforme necessário para outros alertas.
O processo de investigação automatizada
Um alerta disparado cria um incidente, que pode iniciar uma investigação automática. A investigação automatizada resulta em um veredito para cada evidência. Os vereditos podem ser:
- Mal-intencionado
- Suspeito
- Nenhuma ameaça encontrada
Ações de correção para entidades mal-intencionadas ou suspeitas são identificadas. Exemplos de ações de correção incluem:
- Enviar um arquivo para quarentena
- Interromper um processo
- Isolar um dispositivo
- Bloquear uma URL
- Outras ações
Para obter mais informações, veja Remediação de ações no Microsoft Defender XDR.
Consoante a forma como as capacidades de investigação e resposta automatizadas são configuradas para a sua organização, as ações de remediação são executadas automaticamente ou apenas após aprovação pela sua equipa de operações de segurança. Todas as ações, quer estejam pendentes ou concluídas, estão listadas no Centro de ação.
Enquanto uma investigação está em execução, quaisquer outros alertas relacionados que surgirem são adicionados à investigação até que ela seja concluída. Se uma entidade afetada for vista em outro lugar, a investigação automatizada expandirá seu escopo para incluir essa entidade e o processo de investigação se repetirá.
No Microsoft Defender XDR, cada investigação automatizada correlaciona sinais entre Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365, conforme resumido na tabela seguinte:
Entidades | Serviços de proteção contra ameaças |
---|---|
Dispositivos (também conhecidos como pontos finais ou computadores) | Pilot Defender para Ponto de Extremidade |
Utilizadores do Active Directory no local, comportamento da entidade e atividades | Microsoft Defender para Identidade |
Email conteúdo (mensagens de e-mail que podem conter ficheiros e URLs) | Defender para Office 365 |
Observação
Nem todo alerta aciona uma investigação automatizada e nem toda investigação resulta em ações de correção automatizadas. Depende de como a investigação e resposta automatizadas são configuradas na sua organização. Confira como Configurar os recursos de investigação e resposta automatizadas.
Ver uma lista de investigações
Para ver as investigações, aceda à página Incidentes . Selecione um incidente e, em seguida, selecione o separador Investigações . Para saber mais, veja Detalhes e resultados de uma investigação automatizada.
Card de resposta & de investigação automatizada
A nova resposta de & de investigação automatizada card está disponível no portal do Microsoft Defender (https://security.microsoft.com). Esta nova card visibilidade para o número total de ações de remediação disponíveis. O card também fornece uma descrição geral de todos os alertas e o tempo de aprovação necessário para cada alerta.
Através da card de resposta & investigação automatizada, a sua equipa de operações de segurança pode navegar rapidamente para o Centro de Ação ao selecionar a ligação Aprovar no Centro de Ação e, em seguida, efetuar as ações adequadas. O card permite à sua equipa de operações de segurança gerir de forma mais eficaz as ações que estão pendentes de aprovação.
Próximas etapas
- Veja os pré-requisitos para investigação e resposta automatizadas
- Configurar a investigação e resposta automatizadas para a sua organização
- Saiba mais sobre a Central de Ações
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.