Investigação e resposta automatizadas no Microsoft Defender XDR

Se a sua organização estiver a utilizar Microsoft Defender XDR, a sua equipa de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que for detetada uma atividade ou artefacto malicioso ou suspeito. Dado o fluxo aparentemente interminável de ameaças que podem surgir, as equipas de segurança enfrentam frequentemente o desafio de abordar o elevado volume de alertas. Felizmente, Microsoft Defender XDR inclui capacidades de investigação e resposta automatizadas (AIR) que podem ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.

Este artigo fornece uma descrição geral do AIR e inclui ligações para os próximos passos e recursos adicionais.

Como funciona a investigação automatizada e o self-healing

À medida que os alertas de segurança são disparados, cabe à sua equipe de operações de segurança examinar esses alertas e executar etapas para proteger sua organização. Priorizar e investigar alertas pode consumir muito tempo, especialmente quando novos alertas continuam chegando enquanto uma investigação está em andamento. As equipes de operações de segurança podem se sentir sobrecarregadas pelo simples volume de ameaças que devem ser monitoradas e protegidas. As capacidades automatizadas de investigação e resposta, com recuperação automática, no Microsoft Defender XDR podem ajudar.

Veja o seguinte vídeo para ver como funciona a autorrecuperação:

No Microsoft Defender XDR, a investigação automatizada e a resposta com capacidades de autorrecuperação funcionam em todos os seus dispositivos, e-mail & conteúdos e identidades.

O seu próprio analista virtual

Imagine ter um analista virtual na sua equipa de operações de segurança de Camada 1 ou Camada 2. O analista virtual imita as etapas ideais que as operações de segurança poderiam executar para investigar e corrigir ameaças. O analista virtual pode trabalhar 24 horas por dia, 7 dias por semana, com capacidade ilimitada, e assumir uma carga significativa de investigações e remediação de ameaças. Um analista virtual deste tipo pode reduzir significativamente o tempo de resposta, libertando a sua equipa de operações de segurança para outras ameaças importantes ou projetos estratégicos. Se este cenário soa a ficção científica, não é! Um analista virtual deste tipo faz parte do seu conjunto de Microsoft Defender XDR e o respetivo nome é investigação e resposta automatizadas.

As capacidades automatizadas de investigação e resposta permitem à sua equipa de operações de segurança aumentar drasticamente a capacidade da sua organização para lidar com alertas e incidentes de segurança. Com a investigação e resposta automatizadas, pode reduzir o custo de lidar com atividades de investigação e resposta e tirar o máximo partido do seu conjunto de proteção contra ameaças. As capacidades automatizadas de investigação e resposta ajudam a sua equipa de operações de segurança ao:

1. Determinando se uma ameaça requer ação.
2. Executando (ou recomendando) todas as ações de correção necessárias.
3. Determinando se e quais outras investigações devem ocorrer.
4. Repetindo o processo conforme necessário para outros alertas.

O processo de investigação automatizada

Um alerta disparado cria um incidente, que pode iniciar uma investigação automática. A investigação automatizada resulta em um veredito para cada evidência. Os vereditos podem ser:

• Mal-intencionado
• Suspeito
• Nenhuma ameaça encontrada

Ações de correção para entidades mal-intencionadas ou suspeitas são identificadas. Exemplos de ações de correção incluem:

• Enviar um arquivo para quarentena
• Interromper um processo
• Isolar um dispositivo
• Bloquear uma URL
• Outras ações

Para obter mais informações, veja Remediação de ações no Microsoft Defender XDR.

Consoante a forma como as capacidades de investigação e resposta automatizadas são configuradas para a sua organização, as ações de remediação são executadas automaticamente ou apenas após aprovação pela sua equipa de operações de segurança. Todas as ações, quer estejam pendentes ou concluídas, estão listadas no Centro de ação.

Enquanto uma investigação está em execução, quaisquer outros alertas relacionados que surgirem são adicionados à investigação até que ela seja concluída. Se uma entidade afetada for vista em outro lugar, a investigação automatizada expandirá seu escopo para incluir essa entidade e o processo de investigação se repetirá.

No Microsoft Defender XDR, cada investigação automatizada correlaciona sinais entre Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365, conforme resumido na tabela seguinte:

Ver uma lista de investigações

Para ver as investigações, aceda à página Incidentes . Selecione um incidente e, em seguida, selecione o separador Investigações . Para saber mais, veja Detalhes e resultados de uma investigação automatizada.

Card de resposta & de investigação automatizada

A nova resposta de & de investigação automatizada card está disponível no portal do Microsoft Defender (https://security.microsoft.com). Esta nova card visibilidade para o número total de ações de remediação disponíveis. O card também fornece uma descrição geral de todos os alertas e o tempo de aprovação necessário para cada alerta.

Através da card de resposta & investigação automatizada, a sua equipa de operações de segurança pode navegar rapidamente para o Centro de Ação ao selecionar a ligação Aprovar no Centro de Ação e, em seguida, efetuar as ações adequadas. O card permite à sua equipa de operações de segurança gerir de forma mais eficaz as ações que estão pendentes de aprovação.

Próximas etapas

• Veja os pré-requisitos para investigação e resposta automatizadas
• Configurar a investigação e resposta automatizadas para a sua organização
• Saiba mais sobre a Central de Ações