Gerenciar e responder aos alertas de segurança

O Defender para Nuvem coleta, analisa e integra dados de log de seus recursos do Azure, híbridos e multivem da rede e das soluções de parceiros conectados, como firewalls e agentes de ponto de extremidade. O Defender para Nuvem usa os dados de log para detectar ameaças reais e reduzir falsos positivos. Uma lista priorizada de alertas de segurança é exibida no Defender para Nuvem, junto as informações necessárias para investigar rapidamente o problema e quais etapas realizar para corrigir um ataque.

Este artigo mostra como exibir e processar alertas do Defender para Nuvem e proteger os seus recursos.

Ao triar alertas de segurança, você deve priorizar alertas com base na severidade do alerta, resolvendo alertas de severidade mais altos primeiro. Saiba mais sobre como os alertas são classificados.

Dica

Você pode conectar o Microsoft Defender para Nuvem às soluções SIEM, incluindo o Microsoft Sentinel, e consumir os alertas de sua ferramenta de escolha. Saiba mais em como transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Pré-requisitos

Para pré-requisitos e requisitos, confira Matrizes de suporte para o Defender para Nuvem.

Gerenciar os seus alertas de segurança

Siga estas etapas:

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Alertas de segurança.

   

3. (Opcional) Filtre a lista de alertas com qualquer um dos filtros relevantes. Você pode adicionar filtros extras com a opção Adicionar filtro.

   

   A lista é atualizada de acordo com os filtros selecionados. Por exemplo, convém lidar com os alertas de segurança que ocorreram nas últimas 24 horas, pois você está investigando uma possível falha no sistema.

Investigar um alerta de segurança

Cada alerta contém informações sobre o alerta que ajuda você na investigação.

Para investigar um alerta de segurança:

1. Selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e todos os recursos afetados.

   

2. Examine as informações de alto nível sobre o alerta de segurança.

   • A severidade, o status e a hora da atividade do alerta
   • Descrição que explica a atividade precisa que foi detectada
   • Recursos afetados
   • Encerrar a intenção da cadeia da atividade na matriz MITRE ATT&CK (se aplicável)

3. Selecione Exibir detalhes completos.

   O painel direito inclui a guia Detalhes do alerta que contém mais detalhes do alerta para ajudar você a investigar o problema: endereços IP, arquivos, processos e muito mais.

   

   Além disso, no painel direito há a guia Executar ação. Use essa guia para executar outras ações em relação ao alerta de segurança. Ações como:

   • Inspecionar contexto do recurso – envia você para os logs de atividades do recurso que dão suporte ao alerta de segurança
   • Mitigar a ameaça: fornece etapas de correção manual para esse alerta de segurança
   • Evitar ataques futuros: fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros
   • Disparar a resposta automatizada: fornece a opção de disparar um aplicativo lógico como uma resposta a este alerta de segurança
   • Suprimir alertas semelhantes – fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

   

   Para obter mais detalhes, entre em contato com o proprietário do recurso para verificar se a atividade detectada é um falso positivo. Você também pode investigar os logs brutos gerados pelo recurso atacado.

Alterar o status de vários alertas de segurança de uma vez

A lista de alertas inclui caixas de seleção para que você possa manipular vários alertas ao mesmo tempo. Por exemplo, para fins de triagem, você pode optar por ignorar todos os alertas informativos de um recurso específico.

1. Filtre de acordo com os alertas que você deseja manipular em massa.

   Neste exemplo, os alertas com severidade do Informational recurso ASC-AKS-CLOUD-TALK são selecionados.

   

2. Use as caixas de seleção para selecionar os alertas a serem processados.

   Neste exemplo, todos os alertas são selecionados. O botão Alterar status agora está disponível.

   

3. Use as opções de Alterar status para definir o status desejado.

   

   Os alertas mostrados na página atual terão o status alterado para o valor selecionado.

Responder a um alerta de segurança

Depois de investigar um alerta de segurança, você pode responder ao alerta de dentro do Microsoft Defender para Nuvem.

Para responder a um alerta de segurança:

1. Abra a guia Executar ação para ver as respostas recomendadas.

   

2. Examine na seção Atenuar a ameaça as etapas de investigação manual necessárias para atenuar o problema.

3. Para proteger seus recursos e evitar ataques futuros desse tipo, corrija as recomendações de segurança na seção Evitar ataques futuros.

4. Para disparar um aplicativo lógico com etapas de resposta automatizadas, use a seção Disparar resposta automatizada e selecione Disparar aplicativo lógico.

5. Se a atividade detectada não for mal intencionada, suprima alertas futuros desse tipo usando a seção Suprimir alertas semelhantes e selecione Criar regra de supressão.

6. Selecione Definir configurações de notificação por email para exibir quem recebe emails sobre alertas de segurança nesta assinatura. Entre em contato com o proprietário da assinatura para definir as configurações de emails.

7. Quando tiver concluído a investigação do alerta e respondido da maneira apropriada, altere o status para Ignorado.

   

   O alerta é removido da lista de alertas principais. Use o filtro na página de lista de alertas para exibir todos os alertas com status de Ignorado.

8. Incentivamos você a fornecer comentários sobre o alerta à Microsoft:

   1. Marque o alerta como Útil ou Não útil.
   2. Selecione um motivo e adicione um comentário.

   

   Dica

   Analisamos seus comentários para aprimorar nossos algoritmos e fornecer alertas de segurança melhores.

   Para saber mais sobre os diferentes tipos de alertas, confira Alertas de segurança – Um guia de referência.

   Para ter uma visão geral de como o Defender para Nuvem gera alertas, consulte Como o Microsoft Defender para Nuvem detecta e responde a ameaças.

   Examinar os resultados da verificação sem agente

   Os resultados do verificador baseado em agente e sem agente aparecem na página Alertas de segurança.

   

   Observação

   A correção de um desses alertas não corrigirá o outro alerta até que a próxima verificação seja concluída.

Conteúdo relacionado

• Configurar regras de supressão de alerta
• Automatizar respostas aos gatilhos do Defender para Nuvem
• Alertas de segurança – um guia de referência

O Defender para Nuvem coleta, analisa e integra dados de log de seus recursos do Azure, híbridos e multivem da rede e das soluções de parceiros conectados, como firewalls e agentes de ponto de extremidade. O Defender para Nuvem usa os dados de log para detectar ameaças reais e reduzir falsos positivos. Uma lista priorizada de alertas de segurança é exibida no Defender para Nuvem, junto as informações necessárias para investigar rapidamente o problema e quais etapas realizar para corrigir um ataque.

Este artigo mostra como exibir e processar alertas do Defender para Nuvem e proteger os seus recursos.

Ao triar alertas de segurança, você deve priorizar alertas com base na severidade do alerta, resolvendo alertas de severidade mais altos primeiro. Saiba mais sobre como os alertas são classificados.

Dica

Você pode conectar o Microsoft Defender para Nuvem às soluções SIEM, incluindo o Microsoft Sentinel, e consumir os alertas de sua ferramenta de escolha. Saiba mais em como transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Para pré-requisitos e requisitos, confira Matrizes de suporte para o Defender para Nuvem.

Siga estas etapas:

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Alertas de segurança.

   

3. (Opcional) Filtre a lista de alertas com qualquer um dos filtros relevantes. Você pode adicionar filtros extras com a opção Adicionar filtro.

   

   A lista é atualizada de acordo com os filtros selecionados. Por exemplo, convém lidar com os alertas de segurança que ocorreram nas últimas 24 horas, pois você está investigando uma possível falha no sistema.

Cada alerta contém informações sobre o alerta que ajuda você na investigação.

Para investigar um alerta de segurança:

1. Selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e todos os recursos afetados.

   

2. Examine as informações de alto nível sobre o alerta de segurança.

   • A severidade, o status e a hora da atividade do alerta
   • Descrição que explica a atividade precisa que foi detectada
   • Recursos afetados
   • Encerrar a intenção da cadeia da atividade na matriz MITRE ATT&CK (se aplicável)

3. Selecione Exibir detalhes completos.

   O painel direito inclui a guia Detalhes do alerta que contém mais detalhes do alerta para ajudar você a investigar o problema: endereços IP, arquivos, processos e muito mais.

   

   Além disso, no painel direito há a guia Executar ação. Use essa guia para executar outras ações em relação ao alerta de segurança. Ações como:

   • Inspecionar contexto do recurso – envia você para os logs de atividades do recurso que dão suporte ao alerta de segurança
   • Mitigar a ameaça: fornece etapas de correção manual para esse alerta de segurança
   • Evitar ataques futuros: fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros
   • Disparar a resposta automatizada: fornece a opção de disparar um aplicativo lógico como uma resposta a este alerta de segurança
   • Suprimir alertas semelhantes – fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

   

   Para obter mais detalhes, entre em contato com o proprietário do recurso para verificar se a atividade detectada é um falso positivo. Você também pode investigar os logs brutos gerados pelo recurso atacado.

A lista de alertas inclui caixas de seleção para que você possa manipular vários alertas ao mesmo tempo. Por exemplo, para fins de triagem, você pode optar por ignorar todos os alertas informativos de um recurso específico.

1. Filtre de acordo com os alertas que você deseja manipular em massa.

   Neste exemplo, os alertas com severidade do Informational recurso ASC-AKS-CLOUD-TALK são selecionados.

   

2. Use as caixas de seleção para selecionar os alertas a serem processados.

   Neste exemplo, todos os alertas são selecionados. O botão Alterar status agora está disponível.

   

3. Use as opções de Alterar status para definir o status desejado.

   

   Os alertas mostrados na página atual terão o status alterado para o valor selecionado.

Depois de investigar um alerta de segurança, você pode responder ao alerta de dentro do Microsoft Defender para Nuvem.

Para responder a um alerta de segurança:

1. Abra a guia Executar ação para ver as respostas recomendadas.

   

2. Examine na seção Atenuar a ameaça as etapas de investigação manual necessárias para atenuar o problema.

3. Para proteger seus recursos e evitar ataques futuros desse tipo, corrija as recomendações de segurança na seção Evitar ataques futuros.

4. Para disparar um aplicativo lógico com etapas de resposta automatizadas, use a seção Disparar resposta automatizada e selecione Disparar aplicativo lógico.

5. Se a atividade detectada não for mal intencionada, suprima alertas futuros desse tipo usando a seção Suprimir alertas semelhantes e selecione Criar regra de supressão.

6. Selecione Definir configurações de notificação por email para exibir quem recebe emails sobre alertas de segurança nesta assinatura. Entre em contato com o proprietário da assinatura para definir as configurações de emails.

7. Quando tiver concluído a investigação do alerta e respondido da maneira apropriada, altere o status para Ignorado.

   

   O alerta é removido da lista de alertas principais. Use o filtro na página de lista de alertas para exibir todos os alertas com status de Ignorado.

8. Incentivamos você a fornecer comentários sobre o alerta à Microsoft:

   1. Marque o alerta como Útil ou Não útil.
   2. Selecione um motivo e adicione um comentário.

   

   Dica

   Analisamos seus comentários para aprimorar nossos algoritmos e fornecer alertas de segurança melhores.

   Para saber mais sobre os diferentes tipos de alertas, confira Alertas de segurança – Um guia de referência.

   Para ter uma visão geral de como o Defender para Nuvem gera alertas, consulte Como o Microsoft Defender para Nuvem detecta e responde a ameaças.

   Examinar os resultados da verificação sem agente

   Os resultados do verificador baseado em agente e sem agente aparecem na página Alertas de segurança.

   

   Observação

   A correção de um desses alertas não corrigirá o outro alerta até que a próxima verificação seja concluída.