Responder a um incidente usando o portal do Defender
Este artigo explica como responder a um incidente usando o Microsoft Sentinel no portal do Defender, abrangendo triagem, investigação e resolução.
Pré-requisitos
Investigue incidentes no portal do Defender:
- Seu espaço de trabalho do Log Analytics usado para o Microsoft Sentinel deve ser integrado ao portal do Defender. Para obter mais informações, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Processo de resposta a incidentes
Ao trabalhar no portal do Defender, faça a sua triagem inicial, resolução e etapas de acompanhamento como faria normalmente. Ao investigar, certifique-se de:
- Entenda o incidente e seu escopo analisando os cronogramas dos ativos.
- Reveja ações pendentes de autorrecuperação, corrija entidades manualmente e realize respostas em tempo real.
- Adicione medidas de prevenção.
A área adicionada do Microsoft Sentinel no portal do Defender ajuda a aprofundar a investigação, incluindo:
- Compreender o âmbito do incidente, correlacionando-o com os seus processos, políticas e procedimentos de segurança (3P).
- Execução de ações automatizadas de investigação e correção 3P e criação de roteiros personalizados de orquestração, automação e resposta de segurança (SOAR).
- Registo de Evidências para Gestão de Incidentes.
- Adicionar medidas personalizadas.
Para mais informações, consulte:
- Investigar incidentes no Microsoft Defender XDR
- Resposta a incidentes com o Microsoft Defender XDR
- Páginas de Entidade no Microsoft Sentinel
Automação com o Microsoft Sentinel
Certifique-se de aproveitar o manual do Microsoft Sentinel e a funcionalidade de regras de automação:
Um manual é uma coleção de ações de investigação e remediação que podem ser executadas a partir do portal Microsoft Sentinel como rotina. Os playbooks podem ajudar a automatizar e orquestrar a sua resposta a ameaças. Eles podem ser executados manualmente sob demanda em incidentes, entidades e alertas, ou configurados para serem executados automaticamente em resposta a alertas ou incidentes específicos, quando acionados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks.
Regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Depois de integrar seu espaço de trabalho do Microsoft Sentinel à plataforma unificada de operações de segurança, observe que há diferenças em como a automação funciona em seu espaço de trabalho. Para obter mais informações, consulte Automação com a plataforma unificada de operações de segurança.
Resposta pós-incidente
Depois de resolver o incidente, reporte-o ao seu líder de resposta ao incidente para um possível acompanhamento para determinar mais ações. Por exemplo:
- Informe seus analistas de segurança de nível 1 para detetar melhor o ataque com antecedência.
- Pesquise o ataque no Microsoft Defender XDR Threat Analytics e na comunidade de segurança para ver uma tendência de ataque de segurança. Para obter mais informações, consulte Análise de ameaças no Microsoft Defender XDR.
- Conforme necessário, registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e playbooks padrão.
- Determine se são necessárias alterações na configuração de segurança e implemente-as.
- Crie um manual de orquestração para automatizar e orquestrar sua resposta a ameaças para um risco semelhante no futuro. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
Conteúdo relacionado
Para mais informações, consulte: