Editar

Gerenciar e responder a alertas de segurança

  • Como fazer

O Defender para a Cloud recolhe, analisa e integra dados de registo a partir dos recursos híbridos e multicloud do Azure, da rede e de soluções de parceiros associadas, como firewalls e agentes de ponto final. O Defender for Cloud usa os dados de log para detetar ameaças reais e reduzir falsos positivos. Uma lista de alertas de segurança prioritários é apresentada no Defender para a Cloud, juntamente com as informações necessárias para investigar rapidamente o problema e os passos para remediar um ataque.

Este artigo mostra como ver e processar os alertas do Defender para a Cloud e proteger os seus recursos.

Ao triar alertas de segurança, você deve priorizar os alertas com base em sua gravidade, abordando primeiro os alertas de maior gravidade. Saiba mais sobre como os alertas são classificados.

Gorjeta

Você pode conectar o Microsoft Defender for Cloud a soluções SIEM, incluindo o Microsoft Sentinel, e consumir os alertas da ferramenta de sua escolha. Saiba mais sobre como transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Pré-requisitos

Para obter os pré-requisitos e requisitos, consulte Matrizes de suporte para o Defender for Cloud.

Gerencie seus alertas de segurança

Siga estes passos:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Alertas do Microsoft Defender for Cloud>Security.

    Captura de ecrã que mostra a página de alertas de segurança da página de descrição geral do Microsoft Defender for Cloud.

  3. (Opcional) Filtre a lista de alertas com qualquer um dos filtros relevantes. Você pode adicionar filtros extras com a opção Adicionar filtro .

    Captura de ecrã que mostra como adicionar filtros à vista de alertas.

    A lista é atualizada de acordo com os filtros selecionados. Por exemplo, talvez você queira abordar alertas de segurança que ocorreram nas últimas 24 horas porque está investigando uma possível violação no sistema.

Investigar um alerta de segurança

Cada alerta contém informações sobre o alerta que o auxilia na sua investigação.

Para investigar um alerta de segurança:

  1. Selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e de todos os recursos afetados.

    Captura de ecrã da vista de detalhes de alto nível de um alerta de segurança.

  2. Revise as informações de alto nível sobre o alerta de segurança.

    • Gravidade, status e tempo de atividade do alerta
    • Descrição que explica a atividade precisa que foi detetada
    • Recursos afetados
    • Intenção da cadeia de abate da atividade na matriz MITRE ATT&CK (se aplicável)

  3. Selecione Ver detalhes completos.

    O painel direito inclui a guia Detalhes do alerta, que contém mais detalhes do alerta para ajudá-lo a investigar o problema: endereços IP, arquivos, processos e muito mais.

    Captura de ecrã que mostra a página de detalhes completa de um alerta.

    Também no painel direito está a guia Executar ação . Use esta guia para tomar outras ações em relação ao alerta de segurança. Ações como:

    • Inspecionar o contexto do recurso - envia você para os logs de atividade do recurso que suportam o alerta de segurança
    • Mitigar a ameaça - fornece etapas manuais de correção para este alerta de segurança
    • Prevenir ataques futuros - fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, assim, prevenir ataques futuros
    • Trigger automated response - fornece a opção de acionar um aplicativo lógico como resposta a este alerta de segurança
    • Suprimir alertas semelhantes - fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para a sua organização

    Captura de ecrã que mostra as opções disponíveis no separador Executar ação.

    Para obter mais detalhes, entre em contato com o proprietário do recurso para verificar se a atividade detetada é um falso positivo. Você também pode investigar os logs brutos gerados pelo recurso atacado.

Alterar o status de vários alertas de segurança de uma só vez

A lista de alertas inclui caixas de seleção para que você possa lidar com vários alertas de uma só vez. Por exemplo, para fins de triagem, você pode decidir descartar todos os alertas informativos para um recurso específico.

  1. Filtre de acordo com os alertas que deseja manipular em massa.

    Neste exemplo, os alertas com severidade de Informational para o recurso ASC-AKS-CLOUD-TALK são selecionados.

    Captura de tela que mostra como filtrar alertas para mostrar alertas relacionados.

  2. Use as caixas de seleção para selecionar os alertas a serem processados.

    Neste exemplo, todos os alertas são selecionados. O botão Alterar status já está disponível.

    Captura de ecrã a mostrar a seleção de todos os alertas a tratar em massa.

  3. Use as opções Alterar status para definir o status desejado.

    Captura de ecrã do separador estado dos alertas de segurança.

    Os alertas mostrados na página atual têm seu status alterado para o valor selecionado.

Responder a um alerta de segurança

Depois de investigar um alerta de segurança, você pode responder ao alerta de dentro do Microsoft Defender for Cloud.

Para responder a um alerta de segurança:

  1. Abra a guia Executar ação para ver as respostas recomendadas.

    Captura de ecrã do separador de ação dos alertas de segurança.

  2. Analise a seção Mitigar a ameaça para obter as etapas manuais de investigação necessárias para mitigar o problema.

  3. Para proteger seus recursos e evitar ataques futuros desse tipo, corrija as recomendações de segurança na seção Prevenir ataques futuros .

  4. Para acionar um aplicativo lógico com etapas de resposta automatizadas, use a seção Acionar resposta automatizada e selecione Aplicativo lógico de gatilho.

  5. Se a atividade detetada não for maliciosa, você poderá suprimir alertas futuros desse tipo usando a seção Suprimir alertas semelhantes e selecionar Criar regra de supressão.

  6. Selecione Configurar definições de notificação por e-mail para ver quem recebe e-mails relativos a alertas de segurança nesta subscrição. Entre em contato com o proprietário da assinatura para definir as configurações de e-mails.

  7. Quando concluir a investigação do alerta e responder da forma adequada, altere o status para Dispensado.

    Captura de ecrã do menu pendente de estado do alerta.

    O alerta é removido da lista de alertas principais. Você pode usar o filtro da página de listagem de alertas para exibir todos os alertas com status Descartado .

  8. Recomendamos que você forneça comentários sobre o alerta à Microsoft:

    1. Marcar o alerta como Útil ou Não útil.
    2. Selecione um motivo e adicione um comentário.

    Captura de ecrã da janela fornecer comentários à Microsoft que lhe permite selecionar a utilidade de um alerta.

    Gorjeta

    Analisamos os seus comentários para melhorar os nossos algoritmos e fornecer melhores alertas de segurança.

    Para saber mais sobre os diferentes tipos de alertas, consulte Alertas de segurança - um guia de referência.

    Para obter uma visão geral de como o Defender for Cloud gera alertas, consulte Como o Microsoft Defender for Cloud deteta e responde a ameaças.

    Revise os resultados da verificação sem agente

    Os resultados do mecanismo de varredura baseado em agente e sem agente aparecem na página Alertas de segurança.

    Captura de tela da página de alertas de segurança que mostra os resultados da verificação baseada em agente e sem agente.

    Nota

    A correção de um desses alertas não corrigirá o outro alerta até que a próxima verificação seja concluída.

Conteúdos relacionados