Compartilhar via


Investigação e resposta a ameaças

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

As capacidades de investigação e resposta a ameaças no Microsoft Defender para Office 365 ajudam os analistas e administradores de segurança a proteger os utilizadores do Microsoft 365 para empresas da sua organização ao:

  • Facilitar a identificação, monitorização e compreensão de ciberataques.
  • Ajudar a lidar rapidamente com ameaças no Exchange Online, SharePoint Online, OneDrive para Empresas e Microsoft Teams.
  • Fornecer informações e conhecimentos para ajudar as operações de segurança a evitar ciberataques contra a sua organização.
  • Utilizar a investigação e resposta automatizadas no Office 365 para ameaças críticas baseadas no e-mail.

As capacidades de investigação e resposta a ameaças fornecem informações sobre ameaças e ações de resposta relacionadas que estão disponíveis no portal do Microsoft Defender. Estas informações podem ajudar a equipa de segurança da sua organização a proteger os utilizadores de ataques baseados em e-mail ou ficheiros. As capacidades ajudam a monitorizar sinais e a recolher dados de várias origens, tais como atividade do utilizador, autenticação, e-mail, PCs comprometidos e incidentes de segurança. Os decisores empresariais e a sua equipa de operações de segurança podem utilizar estas informações para compreender e responder a ameaças contra a sua organização e proteger a sua propriedade intelectual.

Familiarizar-se com as ferramentas de investigação e resposta de ameaças

As capacidades de investigação e resposta a ameaças no portal do Microsoft Defender em https://security.microsoft.com são um conjunto de ferramentas e fluxos de trabalho de resposta que incluem:

Explorador

Utilize o Explorador (e deteções em tempo real) para analisar ameaças, ver o volume de ataques ao longo do tempo e analisar dados por famílias de ameaças, infraestrutura de atacantes e muito mais. O Explorador (também conhecido como Explorador de Ameaças) é o local de partida para o fluxo de trabalho de investigação de qualquer analista de segurança.

A página Explorador de ameaças

Para ver e utilizar este relatório no portal do Microsoft Defender em https://security.microsoft.com, aceda a E-mail & Explorador de colaboração>. Em alternativa, para aceder diretamente à página Do Explorador , utilize https://security.microsoft.com/threatexplorer.

Ligação das Informações sobre Ameaças do Office 365

Esta funcionalidade só está disponível se tiver uma subscrição ativa do Office 365 E5, G5 ou Microsoft 365 E5 ou G5 ou o suplemento Informações sobre Ameaças. Para obter mais informações, consulte a página do produto Office 365 Enterprise E5.

Os dados do Microsoft Defender para Office 365 são incorporados no Microsoft Defender XDR para realizar uma investigação de segurança abrangente em caixas de correio e dispositivos Windows do Office 365.

Incidentes

Utilize a lista Incidentes (também denominada Investigações) para ver uma lista de incidentes de segurança de voo. Os incidentes são utilizados para controlar ameaças, como mensagens de e-mail suspeitas, e para realizar uma investigação e remediação mais aprofundadas.

A lista de Incidentes de Ameaças atuais no Office 365

Para ver a lista de incidentes atuais da sua organização no portal do Microsoft Defender em https://security.microsoft.com, aceda a Incidentes & alertas Incidentes>. Em alternativa, para aceder diretamente à página Incidentes , utilize https://security.microsoft.com/incidents.

Treinamento de simulação de ataque

Utilize a Formação de simulação de ataques para configurar e executar ciberataques realistas na sua organização e identificar pessoas vulneráveis antes de um ciberataque real afetar a sua empresa. Para saber mais, veja Simular um ataque de phishing.

Para ver e utilizar esta funcionalidade no portal do Microsoft Defender em https://security.microsoft.com, aceda a E-mail & colaboraçãoFormação de simulação de ataques>. Em alternativa, para aceder diretamente à página de preparação simulação de ataques , utilize https://security.microsoft.com/attacksimulator?viewid=overview.

Investigação e resposta automatizadas

Utilize capacidades de investigação e resposta automatizadas (AIR) para poupar tempo e esforço na correlação de conteúdos, dispositivos e pessoas em risco de ameaças na sua organização. Os processos AIR podem começar sempre que determinados alertas são acionados ou quando são iniciados pela sua equipa de operações de segurança. Para saber mais, consulte a investigação e resposta automatizadas no Office 365.

Widgets de informações sobre ameaças

Como parte da oferta do Microsoft Defender para Office 365 Plano 2, os analistas de segurança podem rever detalhes sobre uma ameaça conhecida. Isto é útil para determinar se existem medidas/passos preventivos adicionais que podem ser dados para manter os utilizadores seguros.

O painel Tendências de segurança a mostrar informações sobre ameaças recentes

Como obtemos estas capacidades?

As capacidades de resposta e investigação de ameaças do Microsoft 365 estão incluídas no Microsoft Defender para Office 365 Plano 2, que está incluído no Enterprise E5 ou como um suplemento para determinadas subscrições. Para saber mais, consulte Folha de truques e dicas do Defender para Office 365 Plano 1 vs. Plano 2.

Funções e permissões necessárias

O Microsoft Defender para Office 365 utiliza o controlo de acesso baseado em funções. As permissões são atribuídas através de determinadas funções no Microsoft Entra ID, no centro de administração do Microsoft 365 ou no portal do Microsoft Defender.

Dica

Embora algumas funções, como Administrador de Segurança, possam ser atribuídas no portal do Microsoft Defender, considere utilizar o centro de administração do Microsoft 365 ou o ID do Microsoft Entra. Para obter informações sobre funções, grupos de funções e permissões, veja os seguintes recursos:

Atividade Funções e permissões
Utilizar o dashboard de Gestão de Vulnerabilidades do Microsoft Defender

Ver informações sobre ameaças recentes ou atuais
Uma das seguintes opções:
  • Administrador Global*
  • Administrador de Segurança
  • Leitor de Segurança

Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com).
Utilizar o Explorador (e deteções em tempo real) para analisar ameaças Uma das seguintes opções:
  • Administrador Global*
  • Administrador de Segurança
  • Leitor de Segurança

Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com).
Ver Incidentes (também conhecidos como Investigações)

Adicionar mensagens de e-mail a um incidente
Uma das seguintes opções:
  • Administrador Global*
  • Administrador de Segurança
  • Leitor de Segurança

Estas funções podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com).
Acionar ações de e-mail num incidente

Localizar e eliminar mensagens de e-mail suspeitas
Uma das seguintes opções:
  • Administrador Global*
  • Administrador de Segurança e a função Procurar e Remover

As funções Administrador Global e Administrador* de Segurança podem ser atribuídas no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com).

A função Procurar e Remover tem de ser atribuída nas funções de colaboração & de e-mail no portal do Microsoft 36 Defender (https://security.microsoft.com).
Integrar o Microsoft Defender para Office 365 Plano 2 com o Microsoft Defender para Endpoint

Integrar o Microsoft Defender para Office 365 Plano 2 num servidor SIEM
O Administrador* Global ou a função de Administrador de Segurança atribuída no Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com).

--- mais ---

Uma função adequada atribuída em aplicações adicionais (como o Centro de Segurança do Microsoft Defender ou o servidor SIEM).

Importante

* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Próximas etapas