Investigação e resposta automatizadas em Microsoft Defender XDR
Artigo
Aplica-se a:
Microsoft Defender XDR
Se sua organização estiver usando Microsoft Defender XDR, sua equipe de operações de segurança receberá um alerta no portal Microsoft Defender sempre que uma atividade ou artefato mal-intencionado ou suspeito for detectado. Dado o fluxo aparentemente interminável de ameaças que podem entrar, as equipes de segurança muitas vezes enfrentam o desafio de enfrentar o alto volume de alertas. Felizmente, Microsoft Defender XDR inclui recursos automatizados de investigação e resposta (AIR) que podem ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Este artigo fornece uma visão geral do AIR e inclui links para as próximas etapas e recursos adicionais.
Como funciona a investigação automatizada e o self-healing
À medida que os alertas de segurança são disparados, cabe à sua equipe de operações de segurança examinar esses alertas e executar etapas para proteger sua organização. Priorizar e investigar alertas pode consumir muito tempo, especialmente quando novos alertas continuam chegando enquanto uma investigação está em andamento. As equipes de operações de segurança podem se sentir sobrecarregadas pelo simples volume de ameaças que devem ser monitoradas e protegidas. Recursos automatizados de investigação e resposta, com auto-cura, em Microsoft Defender XDR podem ajudar.
Assista ao vídeo a seguir para ver como a auto-cura funciona:
Em Microsoft Defender XDR, a investigação e a resposta automatizadas com recursos de auto-recuperação funcionam em seus dispositivos, email & conteúdo e identidades.
Imagine ter um analista virtual em sua equipe de operações de segurança de nível 1 ou 2. O analista virtual imita as etapas ideais que as operações de segurança poderiam executar para investigar e corrigir ameaças. O analista virtual poderia trabalhar 24x7, com capacidade ilimitada, e assumir uma carga significativa de investigações e correção de ameaças. Esse analista virtual poderia reduzir significativamente o tempo para responder, liberando sua equipe de operações de segurança para outras ameaças importantes ou projetos estratégicos. Se esse cenário soa como ficção científica, não é! Esse analista virtual faz parte do seu pacote de Microsoft Defender XDR e seu nome é investigação e resposta automatizadas.
Os recursos automatizados de investigação e resposta permitem que sua equipe de operações de segurança aumente drasticamente a capacidade da sua organização de lidar com alertas de segurança e incidentes. Com investigação e resposta automatizadas, você pode reduzir o custo de lidar com atividades de investigação e resposta e aproveitar ao máximo seu pacote de proteção contra ameaças. Os recursos automatizados de investigação e resposta ajudam sua equipe de operações de segurança por:
Determinando se uma ameaça requer ação.
Executando (ou recomendando) todas as ações de correção necessárias.
Determinando se e quais outras investigações devem ocorrer.
Repetindo o processo conforme necessário para outros alertas.
O processo de investigação automatizada
Um alerta disparado cria um incidente, que pode iniciar uma investigação automática. A investigação automatizada resulta em um veredito para cada evidência. Os vereditos podem ser:
Mal-intencionado
Suspeito
Nenhuma ameaça encontrada
Ações de correção para entidades mal-intencionadas ou suspeitas são identificadas. Exemplos de ações de correção incluem:
Enquanto uma investigação está em execução, quaisquer outros alertas relacionados que surgirem são adicionados à investigação até que ela seja concluída. Se uma entidade afetada for vista em outro lugar, a investigação automatizada expandirá seu escopo para incluir essa entidade e o processo de investigação se repetirá.
Em Microsoft Defender XDR, cada investigação automatizada correlaciona sinais entre Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365, conforme resumido na seguinte tabela:
Entidades
Serviços de proteção contra ameaças
Dispositivos (também chamados de pontos de extremidade ou computadores)
Nem todo alerta aciona uma investigação automatizada e nem toda investigação resulta em ações de correção automatizadas. Depende de como a investigação e resposta automatizadas são configuradas na sua organização. Confira como Configurar os recursos de investigação e resposta automatizadas.
Cartão de resposta de & de investigação automatizada
O novo cartão de resposta de & de investigação automatizada está disponível no portal do Microsoft Defender (https://security.microsoft.com). Essa nova cartão visibilidade do número total de ações de correção disponíveis. O cartão também fornece uma visão geral de todos os alertas e o tempo de aprovação necessário para cada alerta.
Usando a investigação automatizada & cartão de resposta, sua equipe de operações de segurança pode navegar rapidamente até a Central de Ações selecionando o link Aprovar na Central de Ações e, em seguida, tomar as ações apropriadas. O cartão permite que sua equipe de operações de segurança gerencie de forma mais eficaz ações pendentes de aprovação.
Para obter essa credencial de Habilidades Aplicadas da Microsoft, os alunos demonstram a capacidade de usar o Microsoft Defender XDR para detectar e responder a ameaças cibernéticas. Os candidatos a essa credencial devem estar familiarizados com a investigação e coleta de evidências sobre ataques a pontos de extremidade. Eles também devem ter experiência usando o Microsoft Defender para Ponto de Extremidade e a KQL (Linguagem de Consulta Kusto).