Como funciona a investigação e resposta automatizadas no Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
À medida que os alertas de segurança são acionados, cabe à sua equipa de operações de segurança analisar esses alertas e tomar medidas para proteger a sua organização. Por vezes, as equipas de operações de segurança podem sentir-se sobrecarregadas pelo volume de alertas que são acionados. As capacidades automatizadas de investigação e resposta (AIR) no Microsoft Defender para Office 365 podem ajudar.
A AIR permite que a sua equipa de operações de segurança opere de forma mais eficiente e eficaz. As capacidades AIR incluem processos de investigação automatizados em resposta a ameaças conhecidas que existem atualmente. As ações de remediação adequadas aguardam aprovação, permitindo que a equipa de operações de segurança responda a ameaças detetadas.
Este artigo descreve como o AIR funciona através de vários exemplos. Quando estiver pronto para começar a utilizar o AIR, consulte Investigar e responder automaticamente a ameaças.
- Exemplo 1: uma mensagem de phish reportada pelo utilizador inicia um manual de procedimentos de investigação
- Exemplo 2: um administrador de segurança aciona uma investigação do Explorador de Ameaças
- Exemplo 3: uma equipa de operações de segurança integra o AIR com o respetivo SIEM através da API de Atividade de Gestão de Office 365
Exemplo: uma mensagem de phish reportada pelo utilizador inicia um manual de procedimentos de investigação
Suponha que um utilizador na sua organização recebe um e-mail que considera ser uma tentativa de phishing. O utilizador, preparado para comunicar essas mensagens, utiliza os suplementos Mensagem de Relatório da Microsoft ou Relatório de Phishing para enviá-las à Microsoft para análise. A submissão também é enviada para o seu sistema e é visível no Explorador na vista Submissões (anteriormente referida como a vista Reportada pelo utilizador ). Além disso, a mensagem comunicada pelo utilizador aciona agora um alerta informativo baseado no sistema, que inicia automaticamente o manual de procedimentos de investigação.
Durante a fase de investigação de raiz, são avaliados vários aspetos do e-mail. Estes aspetos incluem:
- Uma determinação sobre o tipo de ameaça que pode ser;
- Quem o enviou;
- De onde o e-mail foi enviado (a enviar a infraestrutura);
- Se outras instâncias do e-mail foram entregues ou bloqueadas;
- Uma avaliação dos nossos analistas;
- Se o e-mail está associado a campanhas conhecidas;
- e muito mais.
Após a conclusão da investigação de raiz, o manual de procedimentos fornece uma lista das ações recomendadas a realizar no e-mail original e as entidades associadas (por exemplo, ficheiros, URLs e destinatários).
Em seguida, são executados vários passos de investigação e investigação de ameaças:
- As mensagens de e-mail semelhantes são identificadas através de pesquisas de clusters de e-mail.
- O sinal é partilhado com outras plataformas, como Microsoft Defender para Endpoint.
- É tomada uma determinação sobre se algum utilizador clicou em ligações maliciosas em mensagens de e-mail suspeitas.
- É efetuada uma verificação em Proteção do Exchange Online (EOP) e Microsoft Defender para Office 365 para ver se existem outras mensagens semelhantes comunicadas pelos utilizadores.
- É efetuada uma verificação para ver se um utilizador foi comprometido. Esta verificação tira partido de sinais em Office 365, Microsoft Defender for Cloud Apps e Microsoft Entra ID, correlacionando quaisquer anomalias relacionadas com a atividade do utilizador.
Durante a fase de investigação, os riscos e ameaças são atribuídos a vários passos de investigação.
A remediação é a fase final do manual de procedimentos. Durante esta fase, são tomadas medidas de remediação, com base nas fases de investigação e investigação.
Exemplo: Um administrador de segurança aciona uma investigação do Explorador de Ameaças
Além das investigações automatizadas que são acionadas por um alerta, a equipa de operações de segurança da sua organização pode acionar uma investigação automatizada a partir de uma vista no Explorador de Ameaças. Esta investigação também cria um alerta, pelo que Microsoft Defender XDR incidentes e ferramentas SIEM externas podem ver que esta investigação foi acionada.
Por exemplo, suponha que está a utilizar a vista Software Maligno no Explorador. Com os separadores abaixo do gráfico, selecione o separador Email. Se selecionar um ou mais itens na lista, o botão + Ações é ativado.
Com o menu Ações , pode selecionar Acionar investigação.
À semelhança dos manuais de procedimentos acionados por um alerta, as investigações automáticas que são acionadas a partir de uma vista no Explorer incluem uma investigação de raiz, passos para identificar e correlacionar ameaças e ações recomendadas para mitigar essas ameaças.
Exemplo: uma equipa de operações de segurança integra o AIR com o respetivo SIEM através da API de Atividade de Gestão de Office 365
As capacidades AIR no Microsoft Defender para Office 365 incluem relatórios & detalhes que as equipas de operações de segurança podem utilizar para monitorizar e resolver ameaças. No entanto, também pode integrar capacidades AIR com outras soluções. Os exemplos incluem um sistema de gestão de informações e eventos de segurança (SIEM), um sistema de gestão de casos ou uma solução de relatórios personalizada. Estes tipos de integrações podem ser efetuadas com a API de Atividade de Gestão de Office 365.
Por exemplo, recentemente, uma organização criou uma forma de a equipa de operações de segurança ver alertas phish comunicados pelo utilizador que já foram processados pela AIR. A sua solução integra alertas relevantes no servidor SIEM da organização e no respetivo sistema de gestão de casos. A solução reduz significativamente o número de falsos positivos para que a equipa de operações de segurança possa concentrar o seu tempo e esforço em ameaças reais. Para saber mais sobre esta solução personalizada, consulte o blogue tech community: Improve the Effectiveness of your SOC with Microsoft Defender para Office 365 and the O365 Management API (Melhorar a Eficácia do SOC com o Microsoft Defender para Office 365 e a API de Gestão do O365).