Investigação e resposta automatizadas em Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Se sua organização estiver usando Microsoft Defender XDR, sua equipe de operações de segurança receberá um alerta no portal Microsoft Defender sempre que uma atividade ou artefato mal-intencionado ou suspeito for detectado. Dado o fluxo aparentemente interminável de ameaças que podem entrar, as equipes de segurança muitas vezes enfrentam o desafio de enfrentar o alto volume de alertas. Felizmente, Microsoft Defender XDR inclui recursos automatizados de investigação e resposta (AIR) que podem ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Este artigo fornece uma visão geral do AIR e inclui links para as próximas etapas e recursos adicionais.
Como funciona a investigação automatizada e o self-healing
À medida que os alertas de segurança são disparados, cabe à sua equipe de operações de segurança examinar esses alertas e executar etapas para proteger sua organização. Priorizar e investigar alertas pode consumir muito tempo, especialmente quando novos alertas continuam chegando enquanto uma investigação está em andamento. As equipes de operações de segurança podem se sentir sobrecarregadas pelo simples volume de ameaças que devem ser monitoradas e protegidas. Recursos automatizados de investigação e resposta, com auto-cura, em Microsoft Defender XDR podem ajudar.
Assista ao vídeo a seguir para ver como a auto-cura funciona:
Em Microsoft Defender XDR, a investigação e a resposta automatizadas com recursos de auto-recuperação funcionam em seus dispositivos, email & conteúdo e identidades.
Dica
Este artigo descreve como a investigação e a resposta automatizadas funcionam. Para configurar esses recursos, consulte Configurar recursos automatizados de investigação e resposta em Microsoft Defender XDR.
Seu próprio analista virtual
Imagine ter um analista virtual em sua equipe de operações de segurança de nível 1 ou 2. O analista virtual imita as etapas ideais que as operações de segurança poderiam executar para investigar e corrigir ameaças. O analista virtual poderia trabalhar 24x7, com capacidade ilimitada, e assumir uma carga significativa de investigações e correção de ameaças. Esse analista virtual poderia reduzir significativamente o tempo para responder, liberando sua equipe de operações de segurança para outras ameaças importantes ou projetos estratégicos. Se esse cenário soa como ficção científica, não é! Esse analista virtual faz parte do seu pacote de Microsoft Defender XDR e seu nome é investigação e resposta automatizadas.
Os recursos automatizados de investigação e resposta permitem que sua equipe de operações de segurança aumente drasticamente a capacidade da sua organização de lidar com alertas de segurança e incidentes. Com investigação e resposta automatizadas, você pode reduzir o custo de lidar com atividades de investigação e resposta e aproveitar ao máximo seu pacote de proteção contra ameaças. Os recursos automatizados de investigação e resposta ajudam sua equipe de operações de segurança por:
- Determinando se uma ameaça requer ação.
- Executando (ou recomendando) todas as ações de correção necessárias.
- Determinando se e quais outras investigações devem ocorrer.
- Repetindo o processo conforme necessário para outros alertas.
O processo de investigação automatizada
Um alerta disparado cria um incidente, que pode iniciar uma investigação automática. A investigação automatizada resulta em um veredito para cada evidência. Os vereditos podem ser:
- Mal-intencionado
- Suspeito
- Nenhuma ameaça encontrada
Ações de correção para entidades mal-intencionadas ou suspeitas são identificadas. Exemplos de ações de correção incluem:
- Enviar um arquivo para quarentena
- Interromper um processo
- Isolar um dispositivo
- Bloquear uma URL
- Outras ações
Para obter mais informações, consulte Ações de correção em Microsoft Defender XDR.
Dependendo de como os recursos automatizados de investigação e resposta são configurados para sua organização, as ações de correção são tomadas automaticamente ou somente após a aprovação da equipe de operações de segurança. Todas as ações, pendentes ou concluídas, estão listadas no Centro de Ações.
Enquanto uma investigação está em execução, quaisquer outros alertas relacionados que surgirem são adicionados à investigação até que ela seja concluída. Se uma entidade afetada for vista em outro lugar, a investigação automatizada expandirá seu escopo para incluir essa entidade e o processo de investigação se repetirá.
Em Microsoft Defender XDR, cada investigação automatizada correlaciona sinais entre Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365, conforme resumido na seguinte tabela:
Entidades | Serviços de proteção contra ameaças |
---|---|
Dispositivos (também chamados de pontos de extremidade ou computadores) | Pilot Defender para Ponto de Extremidade |
Usuários locais do Active Directory, comportamento de entidade e atividades | Microsoft Defender para Identidade |
Email conteúdo (mensagens de email que podem conter arquivos e URLs) | Defender para Office 365 |
Observação
Nem todo alerta aciona uma investigação automatizada e nem toda investigação resulta em ações de correção automatizadas. Depende de como a investigação e resposta automatizadas são configuradas na sua organização. Confira como Configurar os recursos de investigação e resposta automatizadas.
Exibindo uma lista de investigações
Para exibir investigações, acesse a página Incidentes . Selecione um incidente e selecione a guia Investigações . Para saber mais, confira Detalhes e resultados de uma investigação automatizada.
Cartão de resposta de & de investigação automatizada
O novo cartão de resposta de & de investigação automatizada está disponível no portal do Microsoft Defender (https://security.microsoft.com). Essa nova cartão visibilidade do número total de ações de correção disponíveis. O cartão também fornece uma visão geral de todos os alertas e o tempo de aprovação necessário para cada alerta.
Usando a investigação automatizada & cartão de resposta, sua equipe de operações de segurança pode navegar rapidamente até a Central de Ações selecionando o link Aprovar na Central de Ações e, em seguida, tomar as ações apropriadas. O cartão permite que sua equipe de operações de segurança gerencie de forma mais eficaz ações pendentes de aprovação.
Próximas etapas
- Consulte os pré-requisitos para investigação e resposta automatizadas
- Configurar investigação e resposta automatizadas para sua organização
- Saiba mais sobre a Central de Ações
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.