Investigar e responder com Microsoft Defender XDR

Aqui estão as tarefas primárias de investigação e resposta para Microsoft Defender XDR:

• Responder aos incidentes
• Examinar e aprovar ações de correção automática
• Pesquisa para ameaças conhecidas em seus dados
• Entender os ataques cibernéticos mais recentes

Resposta a incidentes

Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como juntar os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft Defender XDR agrega automaticamente os alertas e suas informações associadas a um incidente.

Em uma base contínua, você precisa identificar os incidentes de maior prioridade para análise e resolução na fila de incidentes e prepará-los para resposta. Esta é uma combinação de:

• Priorizando a determinação dos incidentes de maior prioridade por meio da filtragem e classificação da fila de incidentes. Isso também é conhecido como tririação.
• Gerenciando incidentes modificando seu título, atribuindo-os a um analista, adicionando marcas e comentários e, quando resolvidos, classificando-os.

Para cada incidente, use seu fluxo de trabalho de resposta a incidentes para analisar o incidente e seus alertas e dados para conter o ataque, erradicar a ameaça, recuperar-se do ataque e aprender com ele. Consulte este exemplo para Microsoft Defender XDR.

Investigação e correção automatizadas

Se sua organização estiver usando Microsoft Defender XDR, sua equipe de operações de segurança receberá um alerta no portal Microsoft Defender sempre que uma atividade ou artefato mal-intencionado ou suspeito for detectado. Dado o fluxo contínuo de ameaças que podem entrar, as equipes de segurança geralmente enfrentam o desafio de lidar com um alto volume de alertas. Felizmente, Microsoft Defender XDR inclui recursos automatizados de investigação e resposta (AIR) que podem ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.

Após a conclusão de uma investigação automatizada, será emitido um veredito para cada evidência de um incidente. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de correção são tomadas automaticamente; em outros casos, as ações de correção aguardam aprovação por meio do centro de ações Microsoft Defender XDR.

Para obter mais informações, consulte Investigação e resposta automatizadas em Microsoft Defender XDR.

Pesquisa proativa por ameaças com caça avançada

Não é suficiente responder aos ataques como ocorrem. Para ataques estendidos de várias fases, como ransomware, você deve pesquisar proativamente as evidências de um ataque em andamento e tomar medidas para pará-lo antes que ele seja concluído.

A caça avançada é uma ferramenta de busca de ameaças baseada em consulta em Microsoft Defender XDR que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. Esse acesso flexível aos dados de Microsoft Defender XDR permite a busca sem restrições para ameaças conhecidas e potenciais.

Você pode usar as mesmas consultas de caça a ameaças para criar regras de detecção personalizadas. Essas regras são executadas automaticamente para marcar e, em seguida, respondem a atividades suspeitas de violação, computadores mal configurados e outras descobertas.

Consulte Procurar proativamente ameaças com busca avançada em Microsoft Defender XDR para obter mais informações.

Fique à frente de ameaças emergentes com análise de ameaças

A análise de ameaças é uma funcionalidade de inteligência contra ameaças em Microsoft Defender XDR projetada para ajudar sua equipe de segurança a ser o mais eficiente possível enquanto enfrenta ameaças emergentes. Ele inclui análise detalhada e informações sobre:

• Atores de ameaças ativas e suas campanhas
• Técnicas de ataque populares e novas
• Vulnerabilidades críticas
• Superfícies de ataque comuns
• Malware predominante

A análise de ameaças também inclui informações sobre incidentes relacionados e ativos afetados no locatário do Microsoft 365 para cada ameaça identificada.

Cada ameaça identificada inclui um relatório de analista, uma análise abrangente da ameaça escrita por pesquisadores de segurança da Microsoft que estão na vanguarda da detecção e análise de segurança cibernética. Esses relatórios também podem fornecer informações sobre como os ataques aparecem em Microsoft Defender XDR.

Para obter mais informações, consulte Análise de ameaças no Microsoft Defender XDR.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.