Compartilhar via


Resolver contas de utilizador comprometidas com investigação e resposta automatizadas

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Microsoft Defender para Office 365 Plano 2 inclui poderosas capacidades de investigação e resposta automatizada (AIR). Estas capacidades podem poupar muito tempo e esforço à sua equipa de operações de segurança para lidar com ameaças. Este artigo descreve uma das facetas das capacidades AIR, o manual de procedimentos de segurança do utilizador comprometido.

O manual de procedimentos de segurança do utilizador comprometido permite à equipa de segurança da sua organização:

  • Acelerar a deteção de contas de utilizador comprometidas;
  • Limitar o âmbito de uma falha de segurança quando uma conta é comprometida; e
  • Responder a utilizadores comprometidos de forma mais eficaz e eficiente.

Alertas de utilizador comprometidos

Quando uma conta de utilizador é comprometida, ocorrem comportamentos atípicos ou anómalos. Por exemplo, as mensagens de phishing e spam podem ser enviadas internamente a partir de uma conta de utilizador fidedigna. Defender para Office 365 pode detetar tais anomalias em padrões de e-mail e atividade de colaboração no Office 365. Quando isto acontece, os alertas são acionados e o processo de mitigação de ameaças é iniciado.

Investigar e responder a um utilizador comprometido

Quando uma conta de utilizador é comprometida, os alertas são acionados. Em alguns casos, essa conta de utilizador é bloqueada e impedida de enviar mais mensagens de e-mail até que o problema seja resolvido pela equipa de operações de segurança da sua organização. Noutros casos, inicia-se uma investigação automatizada que pode resultar em ações recomendadas que a sua equipa de segurança deve realizar.

Importante

Tem de ter as permissões adequadas para efetuar as seguintes tarefas. Veja Permissões necessárias para utilizar as capacidades AIR.

Veja este breve vídeo para saber como pode detetar e responder a um compromisso do utilizador no Microsoft Defender para Office 365 através da Investigação e Resposta Automatizada (AIR) e dos alertas de utilizador comprometidos.

Ver e investigar utilizadores restritos

Tem algumas opções para navegar para uma lista de utilizadores restritos. Por exemplo, no portal Microsoft Defender, pode aceder a Email & colaboração>Rever>Utilizadores Restritos. O procedimento seguinte descreve a navegação com a dashboard Alertas, que é uma boa forma de ver vários tipos de alertas que podem ter sido acionados.

  1. Abra o portal do Microsoft Defender em https://security.microsoft.com e aceda a Incidentes & alertas Alertas>. Em alternativa, para aceder diretamente à página Alertas , utilize https://security.microsoft.com/alerts.

  2. Na página Alertas , filtre os resultados por período de tempo e a política denominada Utilizador impediu o envio de e-mails.

    A página Alertas no portal do Microsoft Defender filtrada para utilizadores restritos

  3. Se selecionar a entrada ao clicar no nome, é aberta uma página utilizador impedida de enviar e-mail com detalhes adicionais para rever. Junto ao botão Gerir alerta, pode clicar em Mais opções e, em seguida, selecionar Ver detalhes de utilizadores restritos para aceder à página Utilizadores restritos, onde pode libertar o utilizador restrito.

O Utilizador impediu o envio da página de e-mail

Ver detalhes sobre investigações automatizadas

Quando uma investigação automatizada tiver começado, pode ver os respetivos detalhes e resultados no Centro de ação no portal Microsoft Defender.

Para saber mais, consulte Ver detalhes de uma investigação.

Tenha em atenção os seguintes pontos

  • Mantenha-se a par dos alertas. Como sabe, quanto mais tempo um compromisso não for detetado, maior será o potencial de impacto e custo generalizados para a sua organização, clientes e parceiros. A deteção precoce e a resposta atempadamente são fundamentais para mitigar ameaças e, especialmente, quando a conta de um utilizador é comprometida.

  • A Automatização ajuda a equipa de operações de segurança. As capacidades automatizadas de investigação e resposta podem detetar um utilizador comprometido no início e permitir que a equipa de operações de segurança tome medidas para remediar a ameaça. Precisa de ajuda com isto? Veja Rever e aprovar ações.

Próximas etapas