Compartilhar via

Análise de ameaças no Microsoft Defender XDR

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

A análise de ameaças é nossa solução de inteligência contra ameaças no produto de pesquisadores especialistas em segurança da Microsoft. Ela foi projetada para ajudar as equipes de segurança a serem o mais eficientes possível ao enfrentar ameaças emergentes, como:

  • Atores de ameaças ativos e suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Malware predominante

Pode aceder à análise de ameaças no canto superior esquerdo da barra de navegação do portal do Microsoft Defender ou a partir de um cartão de dashboard dedicado que mostra as principais ameaças à sua organização, tanto em termos de impacto conhecido, como em termos de exposição.

Captura de ecrã da página de destino do Threat Analytics

Obter visibilidade sobre campanhas ativas ou contínuas e saber o que fazer por meio da análise de ameaças pode ajudar a equipe de operações de segurança a tomar decisões informadas.

Com adversários mais sofisticados e novas ameaças emergentes com frequência e predominantemente, é fundamental ser capaz de rapidamente:

  • Identificar e reagir a ameaças emergentes
  • Saiba se está atualmente a ser atacado
  • Avaliar o impacto da ameaça aos seus ativos
  • Reveja a sua resiliência ou exposição às ameaças
  • Identifique as ações de mitigação, recuperação ou prevenção que pode tomar para parar ou conter as ameaças

Cada relatório fornece uma análise de uma ameaça controlada e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.

Funções e permissões necessárias

A tabela seguinte descreve as funções e as permissões necessárias para aceder ao Threat Analytics. As funções definidas na tabela referem-se a funções personalizadas em portais individuais e não estão ligadas a funções globais no Microsoft Entra ID, mesmo que com um nome semelhante.

É necessária uma das seguintes funções para o Microsoft Defender XDR É necessária uma das seguintes funções para o Microsoft Defender para Endpoint É necessária uma das seguintes funções para o Microsoft Defender para Office 365 É necessária uma das seguintes funções para o Microsoft Defender para Cloud Apps e o Microsoft Defender para Identidade É necessária uma das seguintes funções para o Microsoft Defender for Cloud
Análise de ameaças Dados de alertas e incidentes:
  • Ver dados - operações de segurança
Mitigações da Gestão de Vulnerabilidades do Defender:
  • Ver dados – Gestão de ameaças e vulnerabilidades
 Dados de alertas e incidentes:
  • Gerir alertas apenas de visualização
  • Gerenciar alertas
  • Configuração da organização
  • Logs de auditoria
  • Ver registos de auditoria apenas
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
Tentativas de e-mail impedidas:
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
  • Administrador global
  • Administrador de segurança

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Terá visibilidade para todos os relatórios de análise de ameaças, mesmo que tenha apenas um dos produtos e as respetivas funções correspondentes descritas na tabela anterior. No entanto, tem de ter cada produto e funções para ver os incidentes, recursos, exposição e ações recomendadas do produto associados à ameaça.

Saiba mais:

Exibir o painel de análise de ameaças

O dashboard de análise de ameaças (security.microsoft.com/threatanalytics3) realça os relatórios mais relevantes para a sua organização. Ele resume as ameaças nas seções a seguir:

  • Ameaças mais recentes — lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de impacto elevado — lista as ameaças que têm o maior impacto na sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Ameaças de exposição mais elevadas — lista as ameaças às quais a sua organização tem a maior exposição. O nível de exposição a uma ameaça é calculado com duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos na sua organização podem ser explorados por essas vulnerabilidades.

Captura de ecrã do dashboard do Threat Analytics,

Selecione uma ameaça no painel para exibir o relatório dessa ameaça. Também pode selecionar o campo Procurar para chave numa palavra-chave relacionada com o relatório de análise de ameaças que gostaria de ler.

Ver relatórios por categoria

Pode filtrar a lista de relatórios de ameaças e ver os relatórios mais relevantes de acordo com um tipo de ameaça específico ou por tipo de relatório.

  • Etiquetas de ameaças — ajudam-no a ver os relatórios mais relevantes de acordo com uma categoria de ameaças específica. Por exemplo, a etiqueta Ransomware inclui todos os relatórios relacionados com ransomware.
  • Tipos de relatório — ajudam-no a ver os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, a etiqueta Ferramentas & técnicas inclui todos os relatórios que abrangem ferramentas e técnicas.

As diferentes etiquetas têm filtros equivalentes que o ajudam a rever eficazmente a lista de relatórios de ameaças e a filtrar a vista com base numa etiqueta de ameaça específica ou num tipo de relatório. Por exemplo, para ver todos os relatórios de ameaças relacionados com a categoria de ransomware ou relatórios de ameaças que envolvam vulnerabilidades.

A equipa do Microsoft Threat Intelligence adiciona etiquetas de ameaça a cada relatório de ameaças. As seguintes etiquetas de ameaça estão atualmente disponíveis:

  • Ransomware
  • Extorsão
  • Phishing
  • Mãos no teclado
  • Grupo de atividades
  • Vulnerabilidade
  • Campanha de ataque
  • Ferramenta ou técnica

As marcas de ameaça são apresentadas na parte superior da página de análise de ameaças. Há contadores para o número de relatórios disponíveis em cada marca.

Captura de ecrã a mostrar as etiquetas do relatório de análise de ameaças.

Para definir os tipos de relatórios que pretende na lista, selecione Filtros, escolha a partir da lista e selecione Aplicar.

Captura de ecrã da lista Filtros.

Se definir mais do que um filtro, a lista de relatórios de análise de ameaças também pode ser ordenada por etiqueta de ameaça ao selecionar a coluna de etiquetas de ameaças:

Captura de ecrã a mostrar a coluna de etiquetas de ameaça.

Exibir um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em várias secções:

Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas

A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.

Captura de ecrã da secção de descrição geral de um relatório de análise de ameaças.

Avaliar o impacto na sua organização

Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Incidentes relacionados — fornece uma descrição geral do impacto da ameaça registada na sua organização com os seguintes dados:
    • Número de alertas ativos e o número de incidentes ativos a que estão associados
    • Gravidade de incidentes ativos
  • Alertas ao longo do tempo — mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. O ideal é que o gráfico esteja mostrando alertas resolvidos em alguns dias.
  • Recursos afetados — mostra o número de recursos distintos que têm atualmente, pelo menos, um alerta ativo associado à ameaça controlada. Os alertas são disparados para caixas de correio que receberam emails de ameaça. Reveja as políticas ao nível da organização e do utilizador para obter substituições que causem a entrega de e-mails de ameaças.

Rever a resiliência e postura de segurança

Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:

  • Ações recomendadas — mostra a percentagem de estado da ação ou o número de pontos que conseguiu para melhorar a postura de segurança. Execute as ações recomendadas para ajudar a resolver a ameaça. Pode ver a discriminação dos pontos por Categoria ou Estado.
  • Exposição de pontos finais — mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft

Na secção Relatório de analistas , leia a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .

Saiba mais sobre o relatório do analista

A guia Incidentes relacionados fornece a lista de todos os incidentes relacionados à ameaça controlada. Você pode atribuir incidentes ou gerenciar alertas vinculados a cada incidente.

Captura de tela da seção de incidentes relacionados de um relatório de análise de ameaças.

Observação

Os incidentes e alertas associados à ameaça são obtidos a partir do Defender para Endpoint, Defender para Identidade, Defender para Office 365, Defender para Cloud Apps e Defender para Cloud.

Recursos afetados: obter lista de dispositivos, utilizadores, caixas de correio, aplicações e recursos na cloud afetados

O separador Ativos afetados mostra os recursos afetados pela ameaça ao longo do tempo. É apresentado:

  • Recursos afetados por alertas ativos
  • Recursos afetados por alertas resolvidos
  • Todos os recursos ou o número total de recursos afetados por alertas ativos e resolvidos

Os recursos estão divididos nas seguintes categorias:

  • Dispositivos
  • Usuários
  • Caixas de correio
  • Aplicativos
  • Recursos de nuvem

Captura de tela da seção de ativos afetados de um relatório de análise de ameaças.

Exposição de pontos finais: Conhecer o estado de implementação das atualizações de segurança

A secção Exposição de Pontos finais fornece o nível de Exposição da sua organização à ameaça, que é calculado com base na gravidade das vulnerabilidades e configurações incorretas exploradas pela mesma e no número de dispositivos com estas fraquezas.

Esta secção também fornece o estado de implementação das atualizações de segurança de software suportadas para vulnerabilidades encontradas em dispositivos integrados. Incorpora dados da Gestão de Vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de desagregação de várias ligações no relatório.

A secção Exposição de pontos finais de um relatório de análise de ameaças

No separador Ações recomendadas , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui configurações de segurança suportadas, tais como:

  • Proteção fornecida na nuvem
  • Proteção de aplicativo potencialmente indesejado (PUA)
  • Proteção em tempo real

A secção Ações recomendadas de um relatório de análise de ameaças que mostra os detalhes da vulnerabilidade

Configurar notificações por e-mail para atualizações de relatórios

Pode configurar notificações por e-mail que lhe irão enviar atualizações em relatórios de análise de ameaças. Para criar notificações por e-mail, siga os passos em Obter notificações por e-mail para atualizações da Análise de ameaças no Microsoft Defender XDR.

Outros detalhes e limitações do relatório

Ao analisar os dados da análise de ameaças, lembre-se dos seguintes fatores:

  • A lista de verificação no separador Ações recomendadas só apresenta recomendações registadas na Classificação de Segurança da Microsoft. Verifique o separador Relatório do analista para obter mais ações recomendadas que não são controladas na Classificação de Segurança.
  • As ações recomendadas não garantem uma resiliência total e refletem apenas as melhores ações possíveis necessárias para melhorá-la.
  • As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus do Microsoft Defender.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.