Interrupção automática de ataque no Microsoft Defender para Empresas
Um ataque operado pelo homem é um ataque ativo de cibercriminosos que se infiltram em uma organização, elevam seus privilégios, navegam na rede e implantam ransomware ou roubam informações. Esses tipos de ataques podem ser catastróficos para operações comerciais, tendem a ser difíceis de resolver e, às vezes, continuam ameaçando operações comerciais após o encontro inicial. Para obter mais informações, confira Ataques de ransomware operados por humanos.
Para ajudar a proteger contra ataques avançados ou operados pelo homem, Microsoft Defender XDR adição de interrupção automática de ataque em novembro de 2022 para clientes corporativos. Agora, essas funcionalidades estão chegando ao Defender para Empresas! Este artigo descreve como funciona a interrupção automática do ataque, como exibir detalhes sobre um ataque e como obter essas funcionalidades.
Como funciona a interrupção automática do ataque
A interrupção automática do ataque foi projetada para:
- Conter ataques avançados que estão em andamento;
- Limitar o impacto e a progressão de ataques em seus ativos empresariais (como dispositivos); E
- Forneça mais tempo para sua equipe de TI/segurança corrigir totalmente um ataque.
A interrupção automática de ataque usa insights de pesquisadores de segurança da Microsoft e modelos avançados de IA para combater as complexidades de ataques avançados. Limita o progresso de um ator de ameaça no início e reduz drasticamente o impacto geral de um ataque, de custos associados à perda de produtividade. Confira alguns exemplos no Microsoft Security Blog.
Com a interrupção automática do ataque, assim que um ataque operado pelo homem é detectado em um dispositivo, as etapas são tomadas imediatamente para conter o dispositivo afetado e as contas de usuário no dispositivo. Um incidente é criado no portal Microsoft Defender (https://security.microsoft.com). Lá, sua equipe de TI/segurança pode exibir detalhes sobre o risco e a contenção status de ativos comprometidos durante e após o processo. Uma página Incidente fornece detalhes sobre o ataque e o status atualizado dos ativos afetados.
As ações de resposta automatizadas incluem:
- Contendo um dispositivo bloqueando a comunicação de entrada/saída
- Contendo uma conta de usuário desconectando as conexões de usuário atuais no nível do dispositivo
Importante
- Para exibir informações sobre um ataque avançado detectado, você deve ter a função Leitor de Segurança, Administrador de Segurança ou Administrador Global atribuída.
- Para executar ações de correção, liberar um dispositivo/usuário contido ou habilitar novamente uma conta de usuário, você deve ter a função administrador de segurança ou administrador global atribuída.
- Consulte Funções de segurança e permissões no Defender para Empresas.
Exibir detalhes sobre um ataque no portal do Microsoft Defender
No portal Microsoft Defender, acesse Incidentes.
Selecione um incidente marcado com Interrupção de Ataque.
Examine o grafo de incidentes, que permite que você obtenha toda a história de ataque e avalie o impacto da interrupção do ataque e status.
Quando estiver pronto para liberar um dispositivo ou uma conta de usuário contida ou habilitar novamente uma conta de usuário, siga uma das seguintes etapas:
- Para liberar um dispositivo contido, selecione o dispositivo e escolha Liberar na contenção.
- Para liberar um usuário contido, selecione a conta de usuário e, no painel lateral, selecione Desfazer.
Os incidentes interrompidos incluem uma marca para Attack Disruption
e o tipo de ameaça específico identificado (como ransomware). Se sua equipe de TI/segurança receber incidentes notificações por email, essas marcas também aparecerão nos emails.
Quando um incidente é interrompido, o texto realçado aparece abaixo do título do incidente. Dispositivos contidos ou contas de usuário são listados com um rótulo que indica seu status.
Controlar ações de interrupção de ataque no Centro de Ações
O Centro de Ações reúne todas as ações de correção e resposta, se essas ações foram executadas automaticamente ou manualmente. Você pode exibir todas as ações automáticas de interrupção de ataque no Centro de Ações. E, depois que sua equipe de TI/segurança tiver mitigado o risco e concluído a investigação de um incidente, eles poderão liberar ativos contidos.
No portal do Microsoft Defender, vá para o Centro de ações & envios>de ação.
Selecione a guia Histórico .
Selecione uma ação, como Conter usuário ou Conter dispositivo, e escolha Desfazer.
Para obter mais informações, consulte Revisar ações de correção no Centro de Ações.
Como obter interrupção automática de ataque
A interrupção automática do ataque é incorporada ao Defender para Empresas; você não precisa ativar explicitamente essas funcionalidades. É importante integrar todos os dispositivos da sua organização (computadores, telefones e tablets) ao Defender para Empresas para que eles sejam protegidos o mais rápido possível.
Além disso, inscreva-se para receber recursos de visualização para que você obtenha os recursos mais recentes e maiores assim que eles estiverem disponíveis.