Configurar capacidades de interrupção automática de ataques no Microsoft Defender XDR

Artigo
04/26/2024

Microsoft Defender XDR inclui poderosas capacidades de interrupção automatizada de ataques que podem proteger o seu ambiente de ataques sofisticados e de alto impacto.

Este artigo descreve como configurar as capacidades de interrupção automática de ataques no Microsoft Defender XDR com estes passos:

Reveja os pré-requisitos.
Reveja ou altere as exclusões de resposta automatizadas para os utilizadores.

Em seguida, depois de configurar tudo, pode ver e gerir as ações de contenção em Incidentes e no Centro de Ação. Se necessário, pode efetuar alterações às definições.

Pré-requisitos para a interrupção automática de ataques no Microsoft Defender XDR

Requisito	Detalhes
Requisitos de subscrição	Uma destas subscrições: Microsoft 365 E5 ou A5 Microsoft 365 E3 com o suplemento Microsoft 365 E5 Segurança Microsoft 365 E3 com o suplemento Enterprise Mobility + Security E5 Microsoft 365 A3 com o suplemento segurança do Microsoft 365 A5 Windows 10 Enterprise E5 ou A5 Windows 11 Enterprise E5 ou A5 Enterprise Mobility + Security (EMS) E5 ou A5 Office 365 E5 ou A5 Microsoft Defender para Endpoint Microsoft Defender para Identidade Microsoft Defender for Cloud Apps Defender para Office 365 (Plano 2) Microsoft Defender para Empresas Veja Microsoft Defender XDR requisitos de licenciamento.
Requisitos de implementação	Implementação em produtos defender (por exemplo, Defender para Endpoint, Defender para Office 365, Defender para Identidade e Defender para Aplicações na Cloud) Quanto maior for a implementação, maior será a cobertura de proteção. Por exemplo, se for utilizado um sinal de Microsoft Defender for Cloud Apps numa determinada deteção, este produto é necessário para detetar o cenário de ataque específico relevante. Da mesma forma, o produto relevante deve ser implementado para executar uma ação de resposta automatizada. Por exemplo, Microsoft Defender para Endpoint é necessário para conter automaticamente um dispositivo. A deteção de dispositivos do Microsoft Defender para Endpoint está definida como "deteção padrão"
Permissões	Para configurar as capacidades de interrupção automática de ataques, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com): Administrador Global Administrador de Segurança Para trabalhar com capacidades de investigação e resposta automatizadas, como ao rever, aprovar ou rejeitar ações pendentes, veja Permissões necessárias para tarefas do Centro de ação.

Requisito

Detalhes

Requisitos de subscrição

Uma destas subscrições:

Microsoft 365 E5 ou A5
Microsoft 365 E3 com o suplemento Microsoft 365 E5 Segurança
Microsoft 365 E3 com o suplemento Enterprise Mobility + Security E5
Microsoft 365 A3 com o suplemento segurança do Microsoft 365 A5
Windows 10 Enterprise E5 ou A5
Windows 11 Enterprise E5 ou A5
Enterprise Mobility + Security (EMS) E5 ou A5
Office 365 E5 ou A5
Microsoft Defender para Endpoint
Microsoft Defender para Identidade
Microsoft Defender for Cloud Apps
Defender para Office 365 (Plano 2)
Microsoft Defender para Empresas

Veja Microsoft Defender XDR requisitos de licenciamento.

Requisitos de implementação

Implementação em produtos defender (por exemplo, Defender para Endpoint, Defender para Office 365, Defender para Identidade e Defender para Aplicações na Cloud)

Quanto maior for a implementação, maior será a cobertura de proteção. Por exemplo, se for utilizado um sinal de Microsoft Defender for Cloud Apps numa determinada deteção, este produto é necessário para detetar o cenário de ataque específico relevante.
Da mesma forma, o produto relevante deve ser implementado para executar uma ação de resposta automatizada. Por exemplo, Microsoft Defender para Endpoint é necessário para conter automaticamente um dispositivo.

A deteção de dispositivos do Microsoft Defender para Endpoint está definida como "deteção padrão"

Permissões

Para configurar as capacidades de interrupção automática de ataques, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):

Administrador Global
Administrador de Segurança

Para trabalhar com capacidades de investigação e resposta automatizadas, como ao rever, aprovar ou rejeitar ações pendentes, veja Permissões necessárias para tarefas do Centro de ação.

Pré-requisitos do Microsoft Defender para Endpoint

Versão mínima do Cliente Sense (cliente MDE)

A versão mínima do Agente de Sensor necessária para que a ação Conter Utilizador funcione é v10.8470. Pode identificar a versão do Agente do Sense num dispositivo ao executar o seguinte comando do PowerShell:

Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"

Definição de automatização para os dispositivos da sua organização

Reveja o nível de automatização configurado para as políticas do grupo de dispositivos, wWhether automated investigations run e se as ações de remediação são executadas automaticamente ou apenas após a aprovação para os seus dispositivos dependem de determinadas definições. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:

Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.
Reveja as políticas do grupo de dispositivos. Observe a coluna ao nível da Automatização . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para excluir um grupo de dispositivos da contenção automatizada, defina o nível de automatização para nenhuma resposta automatizada. Tenha em atenção que isto não é altamente recomendado e só deve ser feito para um número limitado de dispositivos.

Configuração da deteção de dispositivos

No mínimo, as definições de deteção de dispositivos têm de ser ativadas para "Deteção Padrão". Saiba como configurar a deteção de dispositivos em Configurar a deteção de dispositivos.

Nota

A interrupção do ataque pode atuar em dispositivos independentemente do estado operacional Microsoft Defender Antivírus de um dispositivo. O estado operacional pode estar no Modo de Bloqueio Ativo, Passivo ou EDR.

Pré-requisitos do Microsoft Defender para Identidade

Configurar a auditoria em controladores de domínio

Saiba como configurar a auditoria em controladores de domínio em Configurar políticas de auditoria para registos de eventos do Windows para garantir que os eventos de auditoria necessários são configurados nos controladores de domínio onde o sensor do Defender para Identidade está implementado.

Configurar contas de ação

O Defender para Identidade permite-lhe realizar ações de remediação direcionadas Active Directory no local contas caso uma identidade seja comprometida. Para efetuar estas ações, o Defender para Identidade tem de ter as permissões necessárias para o fazer. Por predefinição, o sensor do Defender para Identidade representa a conta localSystem do controlador de domínio e executa as ações. Uma vez que a predefinição pode ser alterada, confirme que o Defender para Identidade tem as permissões necessárias.

Pode encontrar mais informações sobre as contas de ação em Configurar contas de ação Microsoft Defender para Identidade

O sensor do Defender para Identidade tem de ser implementado no controlador de domínio onde a conta do Active Directory deve ser desativada.

Nota

Se tiver automatizações implementadas para ativar ou bloquear um utilizador, verifique se as automatizações podem interferir com a Interrupção. Por exemplo, se existir uma automatização em vigor para verificar e impor regularmente que todos os funcionários ativos tenham ativado contas, isto poderá ativar involuntariamente as contas que foram desativadas por interrupção do ataque enquanto um ataque é detetado.

pré-requisitos do Microsoft Defender for Cloud Apps

Conector Microsoft Office 365

Microsoft Defender for Cloud Apps tem de estar ligado a Microsoft Office 365 através do conector. Para ligar o Defender para Aplicações na Cloud, consulte Ligar o Microsoft 365 ao Microsoft Defender for Cloud Apps.

Governação de Aplicações

A Governação de Aplicações tem de estar ativada. Veja a documentação de governação de aplicações para ativá-la.

pré-requisitos do Microsoft Defender para Office 365

Localização das caixas de correio

As caixas de correio têm de ser alojadas no Exchange Online.

Registo de auditoria da caixa de correio

Os seguintes eventos de caixa de correio têm de ser auditados no mínimo:

MailItemsAccessed
UpdateInboxRules
MoveToDeletedItems
SoftDelete
HardDelete

Reveja gerir a auditoria de caixas de correio para saber mais sobre a gestão da auditoria de caixas de correio.

A política de ligações seguras tem de estar presente.

Rever ou alterar exclusões de resposta automatizadas para utilizadores

A interrupção automática de ataques permite a exclusão de contas de utilizador específicas de ações de contenção automatizadas. Os utilizadores excluídos não serão afetados por ações automatizadas acionadas por interrupção do ataque. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:

Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
Aceda a Definições>Microsoft Defender XDR>Identidade de resposta automatizada. Verifique a lista de utilizadores para excluir contas.
Para excluir uma nova conta de utilizador, selecione Adicionar exclusão de utilizador.

A exclusão das contas de utilizador não é recomendada e as contas adicionadas a esta lista não serão suspensas em todos os tipos de ataque suportados, como o comprometimento de e-mail empresarial (BEC) e o ransomware operado por humanos.

Passos seguintes

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.

Partilhar via