Share via


Começar a usar o serviço Defender Experts para XDR

Aplica-se a:

Depois de concluir as etapas de integração e as verificações de preparação para Microsoft Defender Especialistas para XDR, nossos especialistas começarão a monitorar seu ambiente para simplificar o serviço para que possamos executar um serviço abrangente em seu nome. Durante esse estágio, nossos especialistas identificam ameaças latentes, fontes de risco e atividade normal.

Depois que nossos especialistas começarem a executar um trabalho de resposta abrangente em seu nome, você começará a receber notificações sobre incidentes que exigem etapas de correção e recomendações direcionadas sobre incidentes críticos. Você também pode conversar com nossos especialistas ou seus SDMs (gerenciadores de entrega de serviços) sobre consultas importantes e revisões regulares de postura comercial e de segurança e exibir relatórios em tempo real sobre o número de incidentes que investigamos e resolvemos em seu nome.

Detecção e resposta gerenciadas

Por meio de uma combinação de automação e experiência humana, o Defender Experts para XDR triageia Microsoft Defender XDR incidentes, prioriza-os em seu nome, filtra o ruído, realiza investigações detalhadas e fornece resposta gerenciada acionável às equipes do SOC (Centro de Operações de Segurança).

Atualizações de incidentes

Depois que nossos especialistas começarem a investigar um incidente, os campos Atribuídos a e Status do incidente serão atualizados para Especialistas do Defender e em andamento, respectivamente.

Quando nossos especialistas concluem sua investigação sobre um incidente, o campo Classificação do incidente é atualizado para um dos seguintes, dependendo das conclusões dos especialistas:

  • True Positive
  • Falso Positivo
  • Atividade informativa e esperada

O campo Determinação correspondente a cada classificação também é atualizado para fornecer mais informações sobre os resultados que levaram nossos especialistas a determinar a classificação.

Captura de tela da página Incidentes mostrando os campos Marcas, Status, Atribuídos, Classificação e Determinação.

Se um incidente for classificado como False Positive ou Informational, Atividade Esperada, o campo Status do incidente será atualizado para Resolvido. Nossos especialistas então concluem seu trabalho sobre este incidente e o campo Atribuído ao é atualizado para Não Atribuído. Nossos especialistas podem compartilhar atualizações de sua investigação e sua conclusão ao resolver um incidente. Essas atualizações são postadas no painel de flyout Comentários e histórico do incidente.

Observação

Os comentários sobre incidentes são postagens unidirecionais. Os Especialistas do Defender não podem responder a comentários ou perguntas que você adiciona no painel Comentários e histórico . Para obter mais informações sobre como corresponder com nossos especialistas, confira Comunicação com especialistas no serviço Microsoft Defender Experts for XDR.

Caso contrário, se um incidente for classificado como True Positive, nossos especialistas identificarão as ações de resposta necessárias que precisam ser executadas. O método no qual as ações são executadas depende das permissões e níveis de acesso que você deu ao serviço Defender Experts for XDR. Saiba mais sobre como conceder permissões a nossos especialistas.

  • Se você concedeu aos Especialistas do Defender para XDR as permissões de acesso recomendadas do Operador de Segurança, nossos especialistas poderão executar as ações de resposta necessárias no incidente em seu nome. Essas ações, juntamente com um resumo de Investigação, aparecem no painel de sobrevoo de resposta gerenciada do incidente em seu portal de Microsoft Defender para que você ou sua equipe do SOC examinem. Todas as ações concluídas pelo Defender Experts para XDR aparecem na seção Ações concluídas . Todas as ações pendentes que exigem que você ou sua equipe do SOC sejam concluídas estão listadas na seção Ações pendentes . Para obter mais informações, confira a seção Ações . Depois que nossos especialistas tomarem todas as ações necessárias sobre o incidente, seu campo Status será atualizado para Resolvido e o campo Atribuído a é atualizado para Não Atribuído.

  • Se você concedeu aos Especialistas do Defender para XDR o acesso padrão do Leitor de Segurança, as ações de resposta necessárias, juntamente com um resumo de Investigação, aparecerão no painel de flyout de resposta gerenciada do incidente na seção Ações pendentes em seu portal Microsoft Defender para você ou sua equipe SOC executarem. Para obter mais informações, confira a seção Ações . Para identificar essa entrega, o campo Status do incidente é atualizado para Aguardar a ação do cliente e o campo Atribuído a é atualizado para o Cliente.

Você pode marcar o número de incidentes que exigem sua ação na faixa de Especialistas do Defender na parte superior da página inicial do Microsoft Defender.

Captura de tela do cartão do Defender Experts no portal Microsoft Defender mostrando o número de incidentes que aguardam a ação do cliente.

Para exibir os incidentes que nossos especialistas investigaram ou estão investigando no momento, filtre a fila de incidentes em seu portal de Microsoft Defender usando a marca Defender Experts.

Captura de tela da fila Incidentes no portal Microsoft Defender filtrada para mostrar somente aqueles com a marca Especialistas do Defender.

Como usar a resposta gerenciada no Microsoft Defender XDR

No portal Microsoft Defender, um incidente que requer sua atenção usando a resposta gerenciada tem o campo Atribuído ao definido como Cliente e uma tarefa cartão em cima do painel Incidentes. Os contatos de incidente designados também recebem uma notificação de email correspondente com um link para o portal do Defender para exibir o incidente. Saiba mais sobre contatos de notificação.

Selecione Exibir resposta gerenciada na tarefa cartão ou na parte superior da página do portal (guia Resposta gerenciada) para abrir um painel de sobrevoo em que você pode ler o resumo da investigação de nossos especialistas, concluir ações pendentes identificadas por nossos especialistas ou se envolver com eles por meio do chat.

Resumo da investigação

A seção Resumo da investigação fornece mais contexto sobre o incidente analisado por nossos especialistas para fornecer visibilidade sobre sua gravidade e impacto potencial se não for resolvido imediatamente. Ele pode incluir o dispositivo linha do tempo, indicadores de ataque e indicadores de comprometimento (IOCs) observados e outros detalhes.

Captura de tela do resumo da investigação de resposta gerenciada.

Ações

A guia Ações exibe cartões de tarefas que contêm ações de resposta recomendadas por nossos especialistas.

Atualmente, os Especialistas do Defender para XDR dão suporte às seguintes ações de resposta gerenciada com um clique:

Action Descrição
Isolar dispositivo Isola um dispositivo, o que ajuda a impedir que um invasor o controle e execute outras atividades, como exfiltração de dados e movimentação lateral. O dispositivo isolado ainda será conectado a Microsoft Defender para Ponto de Extremidade.
Arquivo de quarentena Interrompe a execução de processos, coloca em quarentena os arquivos e exclui dados persistentes, como chaves de registro.
Restringir execução de aplicativo Restringe a execução de programas potencialmente mal-intencionados e bloqueia o dispositivo para evitar novas tentativas.
Liberação do isolamento Desfaz o isolamento de um dispositivo.
Remover restrição de aplicativo Desfaz a liberação do isolamento.

Além dessas ações de um clique, você também pode receber respostas gerenciadas de nossos especialistas que você precisa executar manualmente.

Observação

Antes de executar qualquer uma das ações recomendadas de resposta gerenciada, verifique se elas ainda não estão sendo tratadas pelas configurações de investigação e resposta automatizadas. Saiba mais sobre recursos automatizados de investigação e resposta em Microsoft Defender XDR.

Para exibir e executar as ações de resposta gerenciada:

  1. Selecione os botões de seta em uma ação cartão para expandi-la e leia mais informações sobre a ação necessária.

    Captura de tela da ação de resposta gerenciada para isolar o servidor prod do dispositivo.

  2. Para cartões com ações de resposta de um clique, selecione a ação necessária. A Ação status no cartão muda para Em andamento e, em seguida, para Falha ou Concluída, dependendo do resultado da ação.

    Captura de tela da ação de resposta gerenciada mostrando em andamento para isolar o servidor de prod do dispositivo.

    Dica

    Você também pode monitorar o status de ações de resposta no portal no Centro de Ações. Se uma ação de resposta falhar, tente fazê-lo novamente na página Exibir detalhes do dispositivo ou iniciar um chat com especialistas do Defender.

  3. Para cartões com ações necessárias que você precisa executar manualmente, selecione Eu completei essa ação depois de executá-los e selecione Sim, eu fiz isso na caixa de diálogo de confirmação que aparece.

    Captura de tela da ação de resposta gerenciada para confirmar a conclusão da ação.

  4. Se você não quiser concluir uma ação necessária imediatamente, selecione Ignorar e selecione Sim, ignore essa ação na caixa de diálogo de confirmação exibida.

Importante

Se você notar que qualquer um dos botões nos cartões de ação está esmaecido, isso pode indicar que você não tem as permissões necessárias para executar a ação. Verifique se você está conectado ao portal Microsoft Defender XDR com as permissões apropriadas. A maioria das ações de resposta gerenciadas exige que você tenha pelo menos o acesso do Operador de Segurança.

Se você ainda encontrar esse problema mesmo com as permissões apropriadas, navegue até Exibir detalhes do dispositivo e conclua as etapas a partir daí.

Obter visibilidade das investigações do Defender Experts em seu aplicativo SIEM ou ITSM

À medida que os Especialistas do Defender para XDR investigam incidentes e criam ações de correção, você pode ter visibilidade do trabalho deles em incidentes em seus aplicativos SIEM (gerenciamento de eventos e informações de segurança) e gerenciamento de serviços de TI (ITSM), incluindo aplicativos disponíveis fora da caixa.

Microsoft Sentinel

Você pode obter visibilidade de incidentes no Microsoft Sentinel ativando seu conector de dados Microsoft Defender XDR fora da caixa. Saiba mais.

Depois de ativar o conector, as atualizações dos Especialistas do Defender para os campos Status, Atribuídos a, Classificação e Determinação em Microsoft Defender XDR aparecerão nos campos Status, Proprietário e Razão correspondentes para fechamento no Sentinel.

Observação

O status de incidentes investigados pelo Defender Experts em Microsoft Defender XDR normalmente faz a transição do Ativo para Em andamento para Aguardar a Ação do Cliente para Resolvido, enquanto no Sentinel, ele segue o caminho Novo para Ativo para Resolvido. O status Microsoft Defender XDR aguardando a ação do cliente não tem um campo equivalente no Sentinel; em vez disso, é exibido como uma marca em um incidente no Sentinel.

A seção a seguir descreve como um incidente tratado por nossos especialistas é atualizado no Sentinel à medida que progride durante a jornada de investigação:

  1. Um incidente que está sendo investigado por nossos especialistas tem o Status listado como Ativo e o Proprietário listado como Especialistas do Defender.
  2. Um incidente que nossos especialistas confirmaram como um True Positive tem uma resposta gerenciada postada em Microsoft Defender XDR, e uma marcaaguardando a ação do cliente e o Proprietário está listado como Cliente. Você precisa agir sobre o incidente com base no uso da resposta gerenciada fornecida.
  3. Depois que nossos especialistas concluirem sua investigação e encerrarem um incidente como False Positive ou Informational, Atividade Esperada, o Status do incidente é atualizado para Resolvido, o Proprietário é atualizado para Não Atribuído e um Motivo para fechamento é fornecido.

Captura de tela dos incidentes do Microsoft Sentinel.

Outros aplicativos

Você pode obter visibilidade sobre incidentes em seu aplicativo SIEM ou ITSM usando a API ouconectores Microsoft Defender XDR no Sentinel.

Depois de configurar um conector, as atualizações dos Especialistas do Defender para os campos Status, Atribuído a, Classificação e Determinação de incidentes em Microsoft Defender XDR podem ser sincronizadas com os aplicativos SIEM ou ITSM de terceiros, dependendo de como o mapeamento de campo foi implementado. Para ilustrar, você pode dar uma olhada no conector disponível do Sentinel para o ServiceNow.

Obter visibilidade em tempo real com os especialistas do Defender para relatórios XDR

O Defender Experts para XDR inclui um relatório interativo sob demanda que fornece um resumo claro do trabalho que nossos analistas especialistas estão fazendo em seu nome, agregar informações sobre seu cenário de incidentes e detalhes granulares sobre incidentes específicos. O SDM (gerenciador de entrega de serviços) também usa o relatório para fornecer mais contexto sobre o serviço durante uma revisão mensal de negócios.

Captura de tela do relatório Especialistas do Defender para XDR.

Cada seção do relatório foi projetada para fornecer mais informações sobre os incidentes que nossos especialistas investigaram e resolveram em seu ambiente em tempo real. Você também pode selecionar o intervalo Date para obter informações detalhadas sobre incidentes com base na gravidade, categoria e entender o tempo necessário para investigar e resolve um incidente durante um período específico.

Entender o relatório Especialistas do Defender para XDR

A seção mais alta do relatório Especialistas do Defender para XDR fornece o percentual de incidentes que resolvemos em seu ambiente, fornecendo transparência em nossas operações. Esse percentual é derivado dos seguintes números, que também são apresentados no relatório:

  • Investigado – O número de ameaças ativas e outros incidentes de sua fila de incidentes que examinamos, investigamos ou investigamos atualmente em nosso escopo.
  • Resolvido – o número total de incidentes investigados que foram fechados.
  • Resolvido diretamente – o número de incidentes investigados que conseguimos fechar diretamente em seu nome.
  • Resolvido com sua ajuda – o número de incidentes investigados que foram resolvidos devido à sua ação em uma ou mais tarefas de resposta gerenciadas.

A seção Tempo médio para resolve incidentes exibe um gráfico de barras do tempo médio, em minutos, nossos especialistas gastaram investigando e fechando incidentes em seu ambiente e o tempo médio gasto executando as ações de resposta gerenciadas necessárias.

As seções Incidentes por gravidade, Incidentes por categoria e Incidentes por fonte de serviço dividem incidentes resolvidos por gravidade, técnica de ataque e fonte do serviço de segurança da Microsoft, respectivamente. Essas seções permitem identificar possíveis pontos de entrada de ataque e tipos de ameaças detectados em seu ambiente, avaliar seu impacto e desenvolver estratégias para mitiga-los e impedi-los. Selecione Exibir incidentes para obter uma exibição filtrada da fila de incidentes com base nas seleções feitas em cada uma das duas seções.

A seção Ativos mais afetados mostra os usuários e dispositivos em seu ambiente que estiveram envolvidos no maior número de incidentes durante o intervalo de datas selecionado. Você pode ver o volume de incidentes em que cada ativo estava envolvido. Selecione um ativo para obter uma exibição filtrada da fila de incidentes com base nos incidentes que incluíram o ativo dito.

Caça gerenciada proativa

Os especialistas do Defender para XDR também incluem a busca proativa de ameaças oferecida por Especialistas do Microsoft Defender para Busca. Especialistas do Defender para Busca foi criado para clientes que têm um centro de operações de segurança robusto, mas querem que a Microsoft os ajude a caçar ameaças proativamente usando Microsoft Defender dados. Esse serviço proativo de busca de ameaças vai além do ponto de extremidade para caçar entre pontos de extremidade, Office 365, aplicativos de nuvem e identidade. Nossos especialistas investigam tudo o que encontrarem e, em seguida, distribuam as informações de alerta contextual junto com as instruções de correção, para que você possa responder rapidamente.

Solicitar experiência avançada de ameaças sob demanda

Selecione Solicitar especialistas do Defender diretamente dentro do portal Microsoft Defender XDR para obter respostas rápidas e precisas para todas as suas perguntas sobre ameaças. Especialistas podem fornecer insights para entender melhor as ameaças complexas que sua organização pode enfrentar. Consulte um especialista para:

  • Colete informações adicionais sobre alertas e incidentes, incluindo causas raiz e escopo.
  • Obtenha clareza em dispositivos suspeitos, alertas ou incidentes e obtenha as próximas etapas se enfrentar um invasor avançado.
  • Determine riscos e proteções disponíveis relacionadas a grupos de atividades, campanhas ou técnicas de invasor emergentes.

Observação

Pergunte aos Especialistas do Defender que não é um serviço de resposta a incidentes de segurança. Ele pretende fornecer uma melhor compreensão das ameaças complexas que afetam sua organização. Engage com sua própria equipe de resposta a incidentes de segurança para resolver problemas urgentes de resposta a incidentes de segurança. Se você não tiver sua própria equipe de resposta a incidentes de segurança e quiser a ajuda da Microsoft, crie uma solicitação de suporte no Hub de Serviços Premier.

A opção de Perguntar aos Especialistas do Defender está disponível nas páginas de incidentes e alertas para que você faça perguntas contextuais sobre um incidente ou alerta específico:

  • Menu de sobrevoo da página alertas:

Captura de tela da opção De menu Perguntar Especialistas do Defender no menu de sobrevoo da página Alertas no portal Microsoft Defender.

  • Menu Ações de página de incidentes:

IScreenshot da opção De menu Perguntar Especialistas do Defender no menu Ações de página Incidentes no portal Microsoft Defender.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.