Compartilhar via

Começar a utilizar Os Especialistas do Defender para o serviço XDR

  • Artigo

Aplica-se a:

Depois de concluir os passos de integração e as verificações de preparação para Especialistas do Microsoft Defender para XDR, os nossos especialistas começarão a monitorizar o seu ambiente para simplificar o serviço para que possamos executar um serviço abrangente em seu nome. Durante esta fase, os nossos especialistas identificam ameaças latentes, fontes de risco e atividade normal.

Assim que os nossos especialistas começarem a realizar um trabalho de resposta abrangente em seu nome, começará a receber notificações sobre incidentes que requerem passos de remediação e recomendações direcionadas sobre incidentes críticos. Também pode conversar com os nossos especialistas ou os seus gestores de entrega de serviços (SDMs) sobre consultas importantes e revisões regulares da postura empresarial e de segurança e ver relatórios em tempo real sobre o número de incidentes que investigámos e resolvemos em seu nome.

Detecção e resposta gerenciadas

Através de uma combinação de automatização e conhecimentos humanos, os Especialistas em Defender para XDR triagem os incidentes XDR do Microsoft Defender, prioriza-os em seu nome, filtra o ruído, realiza investigações detalhadas e fornece uma resposta gerida acionável às suas equipas do centro de operações de segurança (SOC).

Atualizações de incidentes

Assim que os nossos especialistas começarem a investigar um incidente, os campos Atribuído a e Estado do incidente são atualizados para Especialistas do Defender e Em curso, respetivamente.

Quando os nossos especialistas concluem a investigação sobre um incidente, o campo Classificação do incidente é atualizado para um dos seguintes, dependendo das conclusões dos especialistas:

  • Verdadeiro Positivo
  • Falso Positivo
  • Atividade Informativa e Esperada

O campo Determinação correspondente a cada classificação também é atualizado para fornecer mais informações sobre os resultados que levaram os nossos especialistas a determinar a classificação.

Captura de ecrã da página Incidentes a mostrar os campos Etiquetas, Estado, Atribuído a, Classificação e Determinação.

Se um incidente for classificado como Falso Positivo ou Informativo, Atividade Esperada, o campo Estado do incidente é atualizado para Resolvido. Em seguida, os nossos especialistas concluem o seu trabalho sobre este incidente e o campo Atribuído a é atualizado para Não Atribuído. Os nossos especialistas podem partilhar atualizações da sua investigação e a sua conclusão ao resolver um incidente. Estas atualizações são publicadas no painel comentários e lista de opções do histórico do incidente.

Observação

Os comentários de incidentes são mensagens unidirecionais. Os Especialistas em Defender não podem responder a quaisquer comentários ou perguntas que adicione no painel Comentários e histórico . Para obter mais informações sobre como corresponder aos nossos especialistas, consulte Comunicar com especialistas no serviço Microsoft Defender Experts for XDR.

Caso contrário, se um incidente for classificado como Verdadeiro Positivo, os nossos especialistas identificarão as ações de resposta necessárias que têm de ser executadas. O método no qual as ações são executadas depende das permissões e níveis de acesso que deu aos Especialistas do Defender para o serviço XDR. Saiba mais sobre como conceder permissões aos nossos especialistas.

  • Se tiver concedido aos Especialistas do Defender para XDR as permissões de acesso recomendadas do Operador de Segurança, os nossos especialistas poderão realizar as ações de resposta necessárias no incidente em seu nome. Estas ações, juntamente com um resumo de Investigação, são apresentadas no painel de lista de opções resposta gerida do incidente no portal do Microsoft Defender para que você ou a sua equipa do SOC possam rever. Todas as ações concluídas pelos Especialistas do Defender para XDR são apresentadas na secção Ações concluídas . Todas as ações pendentes que exijam a conclusão da equipa SOC são listadas na secção Ações pendentes . Para obter mais informações, veja a secção Ações . Depois de os nossos especialistas terem efetuado todas as ações necessárias no incidente, o respetivo campo Estado é atualizado para Resolvido e o campo Atribuído a é atualizado para Não Atribuído.

  • Se tiver concedido aos Especialistas do Defender para XDR o acesso predefinido ao Leitor de Segurança, as ações de resposta necessárias, juntamente com um resumo de Investigação, aparecem no painel de lista de opções Resposta gerida do incidente na secção Ações pendentes no portal do Microsoft Defender para que o utilizador ou a equipa do SOC efetuem. Para obter mais informações, veja a secção Ações . Para identificar esta transferência, o campo Estado do incidente é atualizado para Aguardar Ação do Cliente e o campo Atribuído a é atualizado para Cliente.

Pode verificar o número de incidentes que requerem a sua ação na faixa Especialistas em Defender na parte superior da home page do Microsoft Defender.

Captura de ecrã do cartão Especialistas do Defender no portal do Microsoft Defender a mostrar o número de incidentes que aguardam a ação do cliente.

Para ver os incidentes que os nossos especialistas investigaram ou estão atualmente a investigar, filtre a fila de incidentes no portal do Microsoft Defender com a etiqueta Especialistas do Defender .

Captura de ecrã da fila Incidentes no portal do Microsoft Defender filtrada para mostrar apenas aqueles com a etiqueta Especialistas em Defender.

Como utilizar a resposta gerida no Microsoft Defender XDR

No portal do Microsoft Defender, um incidente que requer a sua atenção através da resposta gerida tem o campo Atribuído a definido como Cliente e um cartão de tarefa na parte superior do painel Incidentes . Os contactos de incidente designados também recebem uma notificação por e-mail correspondente com uma ligação para o portal do Defender para ver o incidente. Saiba mais sobre os contactos de notificação.

Selecione Ver resposta gerida no cartão de tarefa ou na parte superior da página do portal (separador Resposta gerida ) para abrir um painel de lista de opções onde pode ler o resumo da investigação dos nossos especialistas, concluir ações pendentes identificadas pelos nossos especialistas ou interagir com os mesmos através do chat.

Resumo da investigação

A secção Resumo da investigação fornece-lhe mais contexto sobre o incidente analisado pelos nossos especialistas para lhe fornecer visibilidade sobre a sua gravidade e impacto potencial se não for resolvido imediatamente. Pode incluir a linha cronológica do dispositivo, indicadores de ataque e indicadores de comprometimento (IOCs) observados e outros detalhes.

Captura de ecrã do resumo da investigação de resposta gerida.

Ações

O separador Ações apresenta cartões de tarefas que contêm ações de resposta recomendadas pelos nossos especialistas.

Atualmente, os Especialistas em Defender para XDR suportam as seguintes ações de resposta gerida com um clique:

Action Descrição
Isolar dispositivo Isola um dispositivo, o que ajuda a impedir que um atacante controle o mesmo e realize atividades adicionais, como a transferência de dados exfiltração e movimento lateral. O dispositivo isolado continuará ligado ao Microsoft Defender para Endpoint.
Arquivo de quarentena Para a execução de processos, coloca os ficheiros em quarentena e elimina dados persistentes, como chaves de registo.
Restringir execução de aplicativo Restringe a execução de programas potencialmente maliciosos e bloqueia o dispositivo para evitar mais tentativas.
Libertar do isolamento Anula o isolamento de um dispositivo.
Remover restrição de aplicativo Anula a libertação do isolamento.

Para além destas ações com um clique, também pode receber respostas geridas dos nossos especialistas que precisa de realizar manualmente.

Observação

Antes de executar qualquer uma das ações de resposta gerida recomendadas, certifique-se de que estas ainda não estão a ser abordadas pelas configurações automatizadas de investigação e resposta. Saiba mais sobre as capacidades de investigação e resposta automatizadas no Microsoft Defender XDR.

Para ver e executar as ações de resposta gerida:

  1. Selecione os botões de seta num cartão de ação para expandi-lo e ler mais informações sobre a ação necessária.

    Captura de ecrã da ação de resposta gerida para isolar o servidor prod do dispositivo.

  2. Para cartões com ações de resposta com um clique, selecione a ação necessária. O Estado da ação no cartão muda para Em curso e, em seguida, para Com Falhas ou Concluída, dependendo do resultado da ação.

    Captura de ecrã a mostrar a ação de resposta gerida que mostra em curso para isolar o servidor de prod do dispositivo.

    Dica

    Também pode monitorizar o estado das ações de resposta no portal no Centro de ação. Se uma ação de resposta falhar, tente fazê-lo novamente a partir da página Ver detalhes do dispositivo ou inicie uma conversa com especialistas do Defender.

  3. Para cartões com as ações necessárias que precisa de executar manualmente, selecione Concluí esta ação depois de as executar e, em seguida, selecione Sim, já o fiz na caixa de diálogo de confirmação apresentada.

    Captura de ecrã da ação de resposta gerida para confirmar a conclusão da ação.

  4. Se não quiser concluir imediatamente uma ação necessária, selecione Ignorar e, em seguida, selecione Sim, ignore esta ação na caixa de diálogo de confirmação apresentada.

Importante

Se reparar que qualquer um dos botões nos cartões de ação está desativado, poderá indicar que não tem as permissões necessárias para efetuar a ação. Certifique-se de que tem sessão iniciada no portal XDR do Microsoft Defender com as permissões adequadas. A maioria das ações de resposta geridas requer que tenha, pelo menos, o acesso do Operador de Segurança.

Se ainda encontrar este problema mesmo com as permissões adequadas, navegue para Ver detalhes do dispositivo e conclua os passos a partir daí.

Obter visibilidade para investigações de Especialistas em Defender na sua aplicação SIEM ou ITSM

À medida que os Especialistas em Defender para XDR investigam incidentes e apresentam ações de remediação, pode ter visibilidade do seu trabalho sobre incidentes nas suas aplicações de gestão de informações e eventos de segurança (SIEM) e gestão de serviços de TI (ITSM), incluindo aplicações que estão disponíveis desativadas.

Microsoft Sentinel

Pode obter visibilidade de incidentes no Microsoft Sentinel ao ativar o conector de dados XDR do Microsoft Defender. Saiba mais.

Depois de ativar o conector, as atualizações dos peritos do Defender para os campos Estado, Atribuído a, Classificação e Determinação no Microsoft Defender XDR serão apresentadas nos campos Estado, Proprietário e Motivo correspondentes para fechar no Sentinel.

Observação

O estado dos incidentes investigados por Especialistas do Defender no Microsoft Defender XDR normalmente transita de Ativo para Em curso para Aguardar Ação do Cliente para Resolvido, enquanto no Sentinel segue o caminho Novo para Ativo para Resolvido . O Estado XDR do Microsoft Defender a Aguardar Ação do Cliente não tem um campo equivalente no Sentinel; Em vez disso, é apresentado como uma etiqueta num incidente no Sentinel.

A secção seguinte descreve como um incidente tratado pelos nossos especialistas é atualizado no Sentinel à medida que progride ao longo do percurso de investigação:

  1. Um incidente que está a ser investigado pelos nossos especialistas tem o Estado listado como Ativo e o Proprietário listado como Especialistas do Defender.
  2. Um incidente que os nossos especialistas confirmaram como Verdadeiro Positivo tem uma resposta gerida publicada no Microsoft Defender XDR e uma Etiquetaa Aguardar Ação do Cliente e o Proprietário está listado como Cliente. Tem de agir sobre o incidente com base na utilização da resposta gerida fornecida.
  3. Assim que os nossos peritos concluírem a investigação e encerrarem um incidente como Falso Positivo ou Informativo, Atividade Esperada, o Estado do incidente é atualizado para Resolvido, o Proprietário é atualizado para Não Atribuído e é fornecido um Motivo para fechar .

Captura de ecrã a mostrar os incidentes do Microsoft Sentinel.

Outros aplicativos

Pode obter visibilidade sobre incidentes na sua aplicação SIEM ou ITSM com a API ou conectoresdo Microsoft Defender XDR no Sentinel.

Depois de configurar um conector, as atualizações dos Especialistas do Defender para os campos Estado, Atribuído a, Classificação e Determinação de um incidente no Microsoft Defender XDR podem ser sincronizadas com as aplicações SIEM ou ITSM de terceiros, consoante a forma como o mapeamento de campos foi implementado. Para ilustrar, pode ver o conector disponível do Sentinel para o ServiceNow.

Obter visibilidade em tempo real com os especialistas do Defender para relatórios XDR

Os Especialistas em Defender para XDR incluem um relatório interativo a pedido que fornece um resumo claro do trabalho que os nossos analistas especialistas estão a fazer em seu nome, agregam informações sobre o seu panorama de incidentes e detalhes granulares sobre incidentes específicos. O gestor de entrega de serviços (SDM) também utiliza o relatório para lhe fornecer mais contexto sobre o serviço durante uma revisão mensal da empresa.

Captura de ecrã do relatório Especialistas em Defender para XDR.

Cada secção do relatório foi concebida para fornecer mais informações sobre os incidentes que os nossos especialistas investigaram e resolveram no seu ambiente em tempo real. Também pode selecionar o Intervalo de datas para obter informações detalhadas sobre incidentes com base na gravidade, categoria e compreender o tempo necessário para investigar e resolver um incidente durante um período específico.

Compreender o relatório dos Especialistas em Defender para XDR

A secção superior do relatório Defender Experts for XDR fornece a percentagem de incidentes que resolvemos no seu ambiente, proporcionando transparência nas nossas operações. Esta percentagem deriva dos seguintes números, que também são apresentados no relatório:

  • Investigado – o número de ameaças ativas e outros incidentes da fila de incidentes que triagemmos, investigámos ou que estamos a investigar no nosso âmbito.
  • Resolvido – o número total de incidentes investigados que foram fechados.
  • Resolvido diretamente – o número de incidentes investigados que conseguimos fechar diretamente em seu nome.
  • Resolvido com a sua ajuda – o número de incidentes investigados que foram resolvidos devido à sua ação numa ou mais tarefas de resposta geridas.

A secção Tempo médio para resolver incidentes apresenta um gráfico de barras do tempo médio, em minutos, que os nossos especialistas passaram a investigar e a fechar incidentes no seu ambiente e o tempo médio que passou a realizar as ações de resposta geridas necessárias.

As secções Incidentes por gravidade, Incidentes por categoria e Incidentes por origem de serviço dividem os incidentes resolvidos por gravidade, técnica de ataque e origem do serviço de segurança da Microsoft, respetivamente. Estas secções permitem-lhe identificar potenciais pontos de entrada de ataques e tipos de ameaças detetadas no seu ambiente, avaliar o impacto e desenvolver estratégias para os mitigar e impedir. Selecione Ver incidentes para obter uma vista filtrada da fila de incidentes com base nas seleções que efetuou em cada uma das duas secções.

A secção Recursos mais afetados mostra os utilizadores e dispositivos no seu ambiente que estiveram envolvidos no maior número de incidentes durante o intervalo de datas selecionado. Pode ver o volume de incidentes em que cada recurso esteve envolvido. Selecione um recurso para obter uma vista filtrada da fila de incidentes com base nos incidentes que incluíam o referido recurso.

Investigação proativa gerida

Os Especialistas em Defender para XDR também incluem investigação proativa de ameaças oferecida por Especialistas do Microsoft Defender para Investigação. Os Especialistas em Investigação do Defender foram criados para clientes que têm um centro de operações de segurança robusto, mas querem que a Microsoft os ajude a investigar proativamente ameaças com dados do Microsoft Defender. Este serviço proativo de investigação de ameaças vai além do ponto final para investigar entre pontos finais, Office 365, aplicações na nuvem e identidade. Os nossos especialistas investigam tudo o que encontrarem e, em seguida, entregam as informações de alerta contextuais juntamente com as instruções de remediação, para que possa responder rapidamente.

Pedir conhecimentos avançados sobre ameaças a pedido

Selecione Perguntar aos Especialistas do Defender diretamente no portal do Microsoft Defender XDR para obter respostas rápidas e precisas a todas as suas perguntas sobre ameaças. Os especialistas podem fornecer informações para compreender melhor as ameaças complexas que a sua organização pode enfrentar. Consulte um especialista para:

  • Recolha informações adicionais sobre alertas e incidentes, incluindo as causas e o âmbito.
  • Obtenha clareza sobre dispositivos, alertas ou incidentes suspeitos e obtenha os próximos passos se for confrontado com um atacante avançado.
  • Determine riscos e proteções disponíveis relacionadas com grupos de atividades, campanhas ou técnicas de atacantes emergentes.

Observação

Pergunte aos Especialistas do Defender que não é um serviço de resposta a incidentes de segurança. Destina-se a fornecer uma melhor compreensão das ameaças complexas que afetam a sua organização. Contacte a sua própria equipa de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se não tiver a sua própria equipa de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie um pedido de suporte no Hub de Serviços Premier.

A opção para Perguntar aos Especialistas do Defender está disponível nas páginas de incidentes e alertas para que possa fazer perguntas contextuais sobre um incidente ou alerta específico:

  • Menu de lista de opções da página de alertas:

Captura de ecrã a mostrar a opção de menu Perguntar aos Especialistas do Defender no menu de lista de opções da página Alertas no portal do Microsoft Defender.

  • Menu de ações da página incidentes:

IScreenshot da opção de menu Perguntar aos Especialistas do Defender no menu Ações da página Incidentes no portal do Microsoft Defender.

Confira também

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.