Compartilhar via


Configurar capacidades de investigação e resposta automatizadas no Microsoft Defender XDR

O Microsoft Defender XDR inclui poderosas capacidades de investigação e resposta automatizadas que podem poupar muito tempo e esforço à sua equipa de operações de segurança. Com a autorrecuperação, estas capacidades imitam os passos que um analista de segurança seguiria para investigar e responder a ameaças, apenas mais rapidamente e com mais capacidade de dimensionamento.

Este artigo descreve como configurar a investigação e resposta automatizadas no Microsoft Defender XDR com estes passos:

  1. Reveja os pré-requisitos.
  2. Reveja ou altere o nível de automatização dos grupos de dispositivos.
  3. Reveja as suas políticas de segurança e alertas no Office 365.

Em seguida, depois de configurar tudo, pode ver e gerir as ações de remediação no Centro de ação. Se necessário, pode efetuar alterações às definições de investigação automatizadas.

Pré-requisitos para investigação e resposta automatizadas no Microsoft Defender XDR

Requisito Detalhes
Requisitos de assinatura Uma destas subscrições:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 com o suplemento Segurança do Microsoft 365 E5
  • Microsoft 365 A3 com o suplemento Segurança do Microsoft 365 A5
  • Office 365 E5 mais Enterprise Mobility + Security E5 mais Windows E5

Veja Requisitos de licenciamento do Microsoft Defender XDR.
Requisitos de rede
Requisitos de dispositivos Windows
Proteção para conteúdos de e-mail e ficheiros do Office
Permissões Para configurar capacidades automatizadas de investigação e resposta, tem de ter uma das seguintes funções atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):
  • Administrador global
  • Administrador de segurança
Para trabalhar com capacidades de investigação e resposta automatizadas, como ao rever, aprovar ou rejeitar ações pendentes, veja Permissões necessárias para tarefas do Centro de ação.

Observação

A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.

Rever ou alterar o nível de automatização dos grupos de dispositivos

Se as investigações automatizadas são executadas e se as ações de remediação são executadas automaticamente ou apenas após a aprovação dos seus dispositivos dependem de determinadas definições, como as políticas de grupo de dispositivos da sua organização. Reveja o nível de automatização configurado para as políticas do grupo de dispositivos. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:

  1. Aceda ao portal do Microsoft Defender em https://security.microsoft.com e inicie sessão.

  2. Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.

  3. Reveja as políticas do grupo de dispositivos. Em particular, observe a coluna Nível de remediação . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para obter ajuda com essa tarefa, consulte os seguintes artigos:

Rever as suas políticas de segurança e alertas no Office 365

A Microsoft fornece políticas de alerta incorporadas que ajudam a identificar determinados riscos. Estes riscos incluem abuso de permissões de administrador do Exchange, atividade de software maligno, potenciais ameaças externas e internas e riscos de gestão do ciclo de vida dos dados. Alguns alertas podem acionar uma investigação e resposta automatizadas no Office 365. Certifique-se de que as funcionalidades do Defender para Office 365 estão configuradas corretamente.

Embora determinados alertas e políticas de segurança possam acionar investigações automatizadas, não são executadas automaticamente ações de remediação para e-mail e conteúdo. Em vez disso, todas as ações de remediação de e-mail e conteúdo de e-mail aguardam a aprovação da sua equipa de operações de segurança no Centro de ação.

As definições de segurança na Proteção do Exchange Online (EOP) e no Defender para Office 365 ajudam a proteger o e-mail e o conteúdo. Recomendamos que utilize as políticas de segurança predefinidas Padrão e Estrita para atribuir proteção aos utilizadores.

Se estiver a utilizar políticas personalizadas, utilize o Analisador de configuração para comparar as definições de política com as definições de política de segurança predefinidas Padrão e Estrita. Para obter uma lista detalhada de todas as definições de política, consulte as tabelas em Definições recomendadas para a segurança do EOP e do Microsoft Defender para Office 365.

Pode rever as políticas de alerta no portal do Defender em https://security.microsoft.com>Políticas & regras>Política de alerta ou diretamente em .https://security.microsoft.com/alertpoliciesv2 Várias políticas de alerta predefinidas estão na categoria Gestão de ameaças. Algumas das políticas de alerta na categoria Gestão de ameaças podem acionar a investigação e a resposta automatizadas. Para saber mais, veja Políticas de alerta de gestão de ameaças.

Precisa de fazer alterações às definições de investigação automatizadas?

Pode escolher entre várias opções para alterar as definições das suas capacidades de investigação e resposta automatizadas. Algumas opções estão listadas na seguinte tabela:

Para fazer isto Siga estes passos
Especificar níveis de automatização para grupos de dispositivos
  1. Configurar um ou mais grupos de dispositivos. Veja Criar e gerir grupos de dispositivos.
  2. No portal do Microsoft Defender, aceda a Funções de Pontos Finais de Permissões>& grupos Grupos de dispositivos>.
  3. Selecione um grupo de dispositivos e reveja a definição de nível de Automatização . (Recomendamos a utilização de Ameaças completas – remediar automaticamente). Veja Níveis de automatização nas capacidades de investigação e remediação automatizadas.
  4. Repita os passos 2 e 3 conforme adequado para todos os grupos de dispositivos.

Próximas etapas

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.