Investigação e resposta a ameaças
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar o Microsoft Defender para Office 365.
As capacidades de investigação e resposta a ameaças no Microsoft Defender para Office 365 ajudam os analistas e administradores de segurança a proteger os utilizadores do Microsoft 365 para empresas da sua organização ao:
- Facilitar a identificação, monitorização e compreensão de ciberataques.
- Ajudar a lidar rapidamente com ameaças no Exchange Online, SharePoint Online, OneDrive para Empresas e Microsoft Teams.
- Fornecer informações e conhecimentos para ajudar as operações de segurança a evitar ciberataques contra a sua organização.
- Utilizar a investigação e resposta automatizadas no Office 365 para ameaças críticas baseadas no e-mail.
As capacidades de investigação e resposta a ameaças fornecem informações sobre ameaças e ações de resposta relacionadas que estão disponíveis no portal do Microsoft Defender. Estas informações podem ajudar a equipa de segurança da sua organização a proteger os utilizadores de ataques baseados em e-mail ou ficheiros. As capacidades ajudam a monitorizar sinais e a recolher dados de várias origens, tais como atividade do utilizador, autenticação, e-mail, PCs comprometidos e incidentes de segurança. Os decisores empresariais e a sua equipa de operações de segurança podem utilizar estas informações para compreender e responder a ameaças contra a sua organização e proteger a sua propriedade intelectual.
Familiarizar-se com as ferramentas de investigação e resposta de ameaças
As capacidades de investigação e resposta a ameaças no portal do Microsoft Defender em https://security.microsoft.com são um conjunto de ferramentas e fluxos de trabalho de resposta que incluem:
Explorador
Utilize o Explorador (e deteções em tempo real) para analisar ameaças, ver o volume de ataques ao longo do tempo e analisar dados por famílias de ameaças, infraestrutura de atacantes e muito mais. O Explorador (também conhecido como Explorador de Ameaças) é o local de partida para o fluxo de trabalho de investigação de qualquer analista de segurança.
Para ver e utilizar este relatório no portal do Microsoft Defender em https://security.microsoft.com, aceda a E-mail & Explorador de colaboração>. Em alternativa, para aceder diretamente à página Do Explorador , utilize https://security.microsoft.com/threatexplorer.
Ligação das Informações sobre Ameaças do Office 365
Esta funcionalidade só está disponível se tiver uma subscrição ativa do Office 365 E5, G5 ou Microsoft 365 E5 ou G5 ou o suplemento Informações sobre Ameaças. Para obter mais informações, consulte a página do produto Office 365 Enterprise E5.
Os dados do Microsoft Defender para Office 365 são incorporados no Microsoft Defender XDR para realizar uma investigação de segurança abrangente em caixas de correio e dispositivos Windows do Office 365.
Incidentes
Utilize a lista Incidentes (também denominada Investigações) para ver uma lista de incidentes de segurança de voo. Os incidentes são utilizados para controlar ameaças, como mensagens de e-mail suspeitas, e para realizar uma investigação e remediação mais aprofundadas.
Para ver a lista de incidentes atuais da sua organização no portal do Microsoft Defender em https://security.microsoft.com, aceda a Incidentes & alertas Incidentes>. Em alternativa, para aceder diretamente à página Incidentes , utilize https://security.microsoft.com/incidents.
Formação de simulação de ataque
Utilize a Formação de simulação de ataques para configurar e executar ciberataques realistas na sua organização e identificar pessoas vulneráveis antes de um ciberataque real afetar a sua empresa. Para saber mais, veja Simular um ataque de phishing.
Para ver e utilizar esta funcionalidade no portal do Microsoft Defender em https://security.microsoft.com, aceda a E-mail & colaboraçãoFormação de simulação de ataques>. Em alternativa, para aceder diretamente à página de preparação simulação de ataques , utilize https://security.microsoft.com/attacksimulator?viewid=overview.
Sistema automático de investigação e resposta
Utilize capacidades de investigação e resposta automatizadas (AIR) para poupar tempo e esforço na correlação de conteúdos, dispositivos e pessoas em risco de ameaças na sua organização. Os processos AIR podem começar sempre que determinados alertas são acionados ou quando são iniciados pela sua equipa de operações de segurança. Para saber mais, consulte a investigação e resposta automatizadas no Office 365.
Widgets de informações sobre ameaças
Como parte da oferta do Microsoft Defender para Office 365 Plano 2, os analistas de segurança podem rever detalhes sobre uma ameaça conhecida. Isto é útil para determinar se existem medidas/passos preventivos adicionais que podem ser dados para manter os utilizadores seguros.
Como obtemos estas capacidades?
As capacidades de resposta e investigação de ameaças do Microsoft 365 estão incluídas no Microsoft Defender para Office 365 Plano 2, que está incluído no Enterprise E5 ou como um suplemento para determinadas subscrições. Para saber mais, consulte Folha de truques e dicas do Defender para Office 365 Plano 1 vs. Plano 2.
Funções e permissões necessárias
O Microsoft Defender para Office 365 utiliza o controlo de acesso baseado em funções. As permissões são atribuídas através de determinadas funções no Microsoft Entra ID, no centro de administração do Microsoft 365 ou no portal do Microsoft Defender.
Sugestão
Embora algumas funções, como Administrador de Segurança, possam ser atribuídas no portal do Microsoft Defender, considere utilizar o centro de administração do Microsoft 365 ou o ID do Microsoft Entra. Para obter informações sobre funções, grupos de funções e permissões, veja os seguintes recursos:
| Atividade | Funções e permissões |
|---|---|
| Utilizar o dashboard de Gestão de Vulnerabilidades do Microsoft Defender Ver informações sobre ameaças recentes ou atuais |
Uma das seguintes opções:
Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Utilizar o Explorador (e deteções em tempo real) para analisar ameaças | Uma das seguintes opções:
Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Ver Incidentes (também conhecidos como Investigações) Adicionar mensagens de e-mail a um incidente |
Uma das seguintes opções:
Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Acionar ações de e-mail num incidente Localizar e eliminar mensagens de e-mail suspeitas |
Uma das seguintes opções:
As funções Administrador Global e Administrador* de Segurança podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com). A função Procurar e Remover tem de ser atribuída nas funções de colaboração & de e-mail no portal do Microsoft 36 Defender (https://security.microsoft.com). |
| Integrar o Microsoft Defender para Office 365 Plano 2 com o Microsoft Defender para Endpoint Integrar o Microsoft Defender para Office 365 Plano 2 num servidor SIEM |
O Administrador* Global ou a função de Administrador de Segurança atribuída no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com). --- mais --- Uma função adequada atribuída em aplicações adicionais (como o Centro de Segurança do Microsoft Defender ou o servidor SIEM). |
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.