Remediar o primeiro incidente no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
O Microsoft Defender XDR fornece capacidades de deteção e análise para garantir a contenção e a erradicação de ameaças. A contenção inclui passos para reduzir o impacto do ataque enquanto a erradicação garante que todos os rastreios da atividade do atacante são removidos da rede.
A remediação no Microsoft Defender XDR pode ser automatizada ou através de ações manuais realizadas pelos participantes de incidentes. As ações de remediação podem ser realizadas em dispositivos, ficheiros e identidades.
Remediação automática
O Microsoft Defender XDR tira partido das informações sobre ameaças e dos sinais na sua rede para combater os ataques mais disruptivos. Ransomware, comprometimento de e-mail empresarial (BEC) e phishing de adversário no meio (AiTM) são alguns dos ataques mais complexos que podem ser contidos imediatamente através da capacidade de interrupção automática de ataques . Assim que um ataque tiver sido interrompido, os socorristas podem assumir e investigar totalmente um ataque e aplicar a remediação necessária.
Saiba como a interrupção automática de ataques ajuda na resposta a incidentes:
Entretanto, as capacidades automatizadas de investigação e resposta do Microsoft Defender XDR podem investigar e aplicar automaticamente ações de remediação a itens maliciosos e suspeitos. Estas capacidades dimensionam a investigação e a resolução para ameaças, libertando os socorristas de incidentes para concentrar os seus esforços em ataques de alto impacto.
Pode configurar e gerir capacidades de investigação e resposta automatizadas. Também pode ver todas as ações passadas e pendentes através do Centro de ação.
Observação
Pode anular as ações automáticas após a revisão.
Para acelerar algumas das suas tarefas de investigação, pode fazer a triagem de alertas com o Power Automate. Além disso, a remediação automatizada pode ser criada com a automatização e manuais de procedimentos. A Microsoft tem modelos de manual de procedimentos no GitHub para os seguintes cenários:
- Remover a partilha de ficheiros confidenciais após pedir a validação do utilizador
- Alertas de país pouco frequente de triagem automática
- Pedir a ação do gestor antes de desativar uma conta
- Desativar regras de caixa de entrada maliciosas
Os manuais de procedimentos utilizam o Power Automate para criar fluxos de automatização de processos robóticos personalizados para automatizar determinadas atividades assim que forem acionados critérios específicos. As organizações podem criar manuais de procedimentos a partir de modelos existentes ou do zero. Os manuais de procedimentos também podem ser criados durante a revisão pós-incidente para criar ações de remediação a partir de incidentes resolvidos.
Saiba como o Power Automate pode ajudá-lo a automatizar a resposta a incidentes através deste vídeo:
Remediação manual
Ao responder a um ataque, as equipas de segurança podem tirar partido das ações de remediação manual do portal para impedir que os ataques incorrem em danos adicionais. Algumas ações podem parar imediatamente uma ameaça, enquanto outras ajudam em análises forenses adicionais. Pode aplicar estas ações a qualquer entidade consoante as cargas de trabalho do Defender implementadas na sua organização.
Ações em dispositivos
Isolar o dispositivo – isola um dispositivo afetado desligando o dispositivo da rede. O dispositivo permanece ligado ao serviço Defender para Endpoint para monitorização contínua.
Restringir a execução de aplicações – restringe uma aplicação ao aplicar uma política de integridade de código que só permite que os ficheiros sejam executados se estiverem assinados por um certificado emitido pela Microsoft.
Executar a análise do Antivírus - inicia uma análise remota do Antivírus do Defender para um dispositivo. A análise pode ser executada juntamente com outras soluções antivírus, quer o Antivírus do Defender seja ou não a solução antivírus ativa.
Recolher pacote de investigação – pode recolher um pacote de investigação de um dispositivo como parte do processo de investigação ou resposta. Ao recolher o pacote de investigação, pode identificar o estado atual do dispositivo e compreender melhor as ferramentas e técnicas utilizadas pelo atacante.
Iniciar investigação automatizada – inicia uma nova investigação automatizada para fins gerais no dispositivo. Enquanto uma investigação estiver em execução, qualquer outro alerta gerado a partir do dispositivo será adicionado a uma investigação automatizada em curso até que essa investigação esteja concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos serão adicionados à investigação.
Iniciar resposta em direto - dá-lhe acesso instantâneo a um dispositivo através de uma ligação de shell remota para que possa realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real. A resposta em direto foi concebida para melhorar as investigações ao permitir-lhe recolher dados forenses, executar scripts, enviar entidades suspeitas para análise, remediar ameaças e procurar proativamente ameaças emergentes.
Pergunte aos Especialistas do Defender – pode consultar um especialista do Microsoft Defender para obter mais informações sobre dispositivos potencialmente comprometidos ou já comprometidos. Os especialistas do Microsoft Defender podem ser contratados diretamente a partir do portal para obter uma resposta atempadamente e precisa. Esta ação está disponível para dispositivos e ficheiros.
Outras ações nos dispositivos estão disponíveis através do tutorial seguinte:
Observação
Pode efetuar ações em dispositivos diretamente a partir do gráfico dentro da história do ataque.
Ações em arquivos
- Ficheiro de paragem e quarentena – inclui parar processos em execução, colocar ficheiros em quarentena e eliminar dados persistentes, como chaves de registo.
- Adicionar indicadores para bloquear ou permitir ficheiros – impede que um ataque se espalhe ainda mais ao proibir ficheiros potencialmente maliciosos ou software maligno suspeito. Esta operação impede que o ficheiro seja lido, escrito ou executado em dispositivos na sua organização.
- Transferir ou recolher ficheiro – permite que os analistas transfiram um ficheiro num ficheiro de arquivo protegido por palavra-passe .zip para análise adicional por parte da organização.
- Análise aprofundada – executa um ficheiro num ambiente de cloud seguro e totalmente instrumentado. Os resultados de análise aprofundada mostram as atividades do ficheiro, os comportamentos observados e os artefactos associados, como ficheiros removidos, modificações do registo e comunicação com endereços IP.
Remediar outros ataques
Observação
Estes tutoriais aplicam-se quando outras cargas de trabalho do Defender estão ativadas no seu ambiente.
Os tutoriais seguintes enumeram passos e ações que pode aplicar ao investigar entidades ou responder a ameaças específicas:
- Responder a uma conta de e-mail comprometida através do Defender para Office 365
- Remediar vulnerabilidades com o Defender para a Gestão de Vulnerabilidades
- Ações de remediação para contas de utilizador através do Defender para Identidade
- Aplicar políticas para controlar aplicações com o Defender para Cloud Apps
Próximas etapas
- Simular ataques através do treino de simulação de ataques
- Explorar o Microsoft Defender XDR através da formação virtual ninja
Confira também
- Investigar incidentes
- Conhecer as funcionalidades e funções do portal através da formação do Microsoft Defender XDR Ninja
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.