Configurar capacidades de investigação e resposta automatizadas no Microsoft Defender XDR
O Microsoft Defender XDR inclui poderosas capacidades de investigação e resposta automatizadas que podem poupar muito tempo e esforço à sua equipa de operações de segurança. Com a autorrecuperação, estas capacidades imitam os passos que um analista de segurança seguiria para investigar e responder a ameaças, apenas mais rapidamente e com mais capacidade de dimensionamento.
Este artigo descreve como configurar a investigação e resposta automatizadas no Microsoft Defender XDR com estes passos:
- Reveja os pré-requisitos.
- Reveja ou altere o nível de automatização dos grupos de dispositivos.
- Reveja as suas políticas de segurança e alertas no Office 365.
Em seguida, depois de configurar tudo, pode ver e gerir as ações de remediação no Centro de ação. Se necessário, pode efetuar alterações às definições de investigação automatizadas.
Pré-requisitos para investigação e resposta automatizadas no Microsoft Defender XDR
Requisito | Detalhes |
---|---|
Requisitos de subscrição | Uma destas subscrições:
Veja Requisitos de licenciamento do Microsoft Defender XDR. |
Requisitos de rede | |
Requisitos de dispositivos Windows |
|
Proteção para conteúdos de e-mail e ficheiros do Office |
|
Permissões | Para configurar capacidades automatizadas de investigação e resposta, tem de ter uma das seguintes funções atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):
|
Nota
A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.
Rever ou alterar o nível de automatização dos grupos de dispositivos
Se as investigações automatizadas são executadas e se as ações de remediação são executadas automaticamente ou apenas após a aprovação dos seus dispositivos dependem de determinadas definições, como as políticas de grupo de dispositivos da sua organização. Reveja o nível de automatização configurado para as políticas do grupo de dispositivos. Tem de ser um administrador global ou administrador de segurança para efetuar o seguinte procedimento:
Aceda ao portal do Microsoft Defender em https://security.microsoft.com e inicie sessão.
Aceda a Definições Pontos Finais>Grupos de dispositivos> em Permissões.
Reveja as políticas do grupo de dispositivos. Em particular, observe a coluna Nível de remediação . Recomendamos que utilize As ameaças completas são remediadas automaticamente. Poderá ter de criar ou editar os grupos de dispositivos para obter o nível de automatização que pretende. Para obter ajuda com esta tarefa, consulte os seguintes artigos:
Rever as suas políticas de segurança e alertas no Office 365
A Microsoft fornece políticas de alerta incorporadas que ajudam a identificar determinados riscos. Estes riscos incluem abuso de permissões de administrador do Exchange, atividade de software maligno, potenciais ameaças externas e internas e riscos de gestão do ciclo de vida dos dados. Alguns alertas podem acionar uma investigação e resposta automatizadas no Office 365. Certifique-se de que as funcionalidades do Defender para Office 365 estão configuradas corretamente.
Embora determinados alertas e políticas de segurança possam acionar investigações automatizadas, não são executadas automaticamente ações de remediação para e-mail e conteúdo. Em vez disso, todas as ações de remediação de e-mail e conteúdo de e-mail aguardam a aprovação da sua equipa de operações de segurança no Centro de ação.
As definições de segurança na Proteção do Exchange Online (EOP) e no Defender para Office 365 ajudam a proteger o e-mail e o conteúdo. Recomendamos que utilize as políticas de segurança predefinidas Padrão e Estrita para atribuir proteção aos utilizadores.
Se estiver a utilizar políticas personalizadas, utilize o Analisador de configuração para comparar as definições de política com as definições de política de segurança predefinidas Padrão e Estrita. Para obter uma lista detalhada de todas as definições de política, consulte as tabelas em Definições recomendadas para a segurança do EOP e do Microsoft Defender para Office 365.
Pode rever as políticas de alerta no portal do Defender em https://security.microsoft.com>Políticas & regras>Política de alerta ou diretamente em .https://security.microsoft.com/alertpoliciesv2 Várias políticas de alerta predefinidas estão na categoria Gestão de ameaças. Algumas das políticas de alerta na categoria Gestão de ameaças podem acionar a investigação e a resposta automatizadas. Para saber mais, veja Políticas de alerta de gestão de ameaças.
Precisa de fazer alterações às definições de investigação automatizadas?
Pode escolher entre várias opções para alterar as definições das suas capacidades de investigação e resposta automatizadas. Algumas opções estão listadas na seguinte tabela:
Para fazê-lo | Siga estes passos |
---|---|
Especificar níveis de automatização para grupos de dispositivos |
|
Passos seguintes
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.