Entender os conceitos de inteligência contra ameaças

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Vários eventos maliciosos complexos, atributos e informações contextuais incluem ataques avançados de cibersegurança. Identificar e decidir qual destas atividades se qualifica como suspeitas pode ser uma tarefa desafiante. O seu conhecimento de atributos conhecidos e atividades anormais específicas da sua indústria é fundamental para saber quando chamar um comportamento observado como suspeito.

Com Microsoft Defender XDR, pode criar alertas de ameaças personalizados que podem ajudá-lo a controlar possíveis atividades de ataque na sua organização. Pode sinalizar eventos suspeitos para juntar pistas e, possivelmente, parar uma cadeia de ataques. Estes alertas de ameaças personalizados só serão apresentados na sua organização e sinalizarão os eventos que definiu como monitorização.

Antes de criar alertas de ameaças personalizados, é importante conhecer os conceitos subjacentes às definições de alerta e indicadores de comprometimento (IOCs) e a relação entre eles.

Definições de alerta

As definições de alerta são atributos contextuais que podem ser utilizados coletivamente para identificar pistas iniciais sobre um possível ataque de cibersegurança. Normalmente, estes indicadores são uma combinação de atividades, características e ações tomadas por um atacante para alcançar com êxito o objetivo de um ataque. Monitorizar estas combinações de atributos é fundamental para obter um ponto de vista contra ataques e possivelmente interferir com a cadeia de eventos antes de atingir o objetivo de um atacante.

Indicadores de compromisso (COI)

Os IOCs são eventos maliciosos individualmente conhecidos que indicam que uma rede ou dispositivo já foi violado. Ao contrário das definições de alerta, estes indicadores são considerados como prova de uma falha de segurança. São muitas vezes vistos depois de um ataque já ter sido realizado e o objectivo ter sido atingido, como a exfiltração. Manter um registo de IOCs também é importante durante as investigações forenses. Embora possa não ser capaz de intervir com uma cadeia de ataques, reunir estes indicadores pode ser útil na criação de melhores defesas para possíveis ataques futuros.

Relação entre definições de alertas e IOCs

No contexto de Microsoft Defender XDR e Microsoft Defender para Ponto de Extremidade, as definições de alerta são contentores para IOCs e definem o alerta, incluindo os metadados gerados para uma correspondência específica do COI. Vários metadados são fornecidos como parte das definições de alerta. Os metadados, como o nome da definição de alerta de ataque, gravidade e descrição, são fornecidos juntamente com outras opções.

Cada COI define a lógica de deteção concreta com base no seu tipo, valor e ação, que determina como é correspondida. Está vinculado a uma definição de alerta específica que define a forma como uma deteção é apresentada como um alerta na consola do Microsoft Defender XDR.

Eis um exemplo de um COI:

• Tipo: Sha1
• Valor: 92cfceb39d57d914ed8b14d0e37643de0797ae56
• Ação: Igual a

Os IOCs têm uma relação muitos-para-um com definições de alerta de modo a que uma definição de alerta possa ter muitos IOCs que correspondem à mesma.

Tópicos relacionados

• Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

• Descrição geral dos indicadores

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.