Guia de operações de segurança do Microsoft 365 Business Premium
Se você for novo para Microsoft 365 Business Premium ou se sua empresa ainda não tiver um guia de operações de segurança em vigor, use este artigo como ponto de partida. Se você já tiver um guia de operações de segurança, examine-o em relação às recomendações deste artigo.
Você pode usar essas diretrizes para tomar decisões sobre prioridades e tarefas de incidentes de segurança que sua equipe de segurança executará no portal do Microsoft Defender (https://security.microsoft.com).
Tarefas de operações de segurança a serem executadas
Tarefas diárias
| Tarefa | Descrição |
|---|---|
| Verifique o dashboard de gerenciamento de vulnerabilidades contra ameaças | Obtenha uma instantâneo de vulnerabilidade contra ameaças examinando seu dashboard de gerenciamento de vulnerabilidades, o que reflete o quão vulnerável sua organização é para ameaças à segurança cibernética. Uma pontuação de exposição alta significa que seus dispositivos estão mais vulneráveis à exploração. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, selecione Painel de gerenciamento > de vulnerabilidades. 2. Dê uma olhada na pontuação de exposição da organização. Se estiver no intervalo aceitável ou "Alto", você poderá seguir em frente. Se não estiver, clique em Melhorar pontuação para ver detalhes adicionais e recomendações de segurança para melhorar essa pontuação. Estar ciente de sua pontuação de exposição ajuda você a: - Entenda e identifique rapidamente os takeaways de alto nível sobre o estado de segurança em sua organização - Detectar e responder a áreas que exigem investigação ou ação para melhorar o estado atual – Comunicar-se com pares e gerenciamento sobre o impacto dos esforços de segurança |
| Revisar ações pendentes na Central de Ações | À medida que as ameaças são detectadas, as ações de correção entram em jogo. Dependendo da ameaça específica e de como suas configurações de segurança são definidas, as ações de correção podem ser tomadas automaticamente ou somente mediante aprovação, por isso elas devem ser monitoradas regularmente. As ações de correção são rastreadas no Centro de Ações. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Centro de ação. 2. Selecione a guia Pendente para exibir e aprovar (ou rejeitar) todas as ações pendentes. Essas ações podem surgir da proteção antivírus/antimalware, investigações automatizadas, atividades de resposta manual ou sessões de resposta imediata. 3. Selecione a guia Histórico para exibir uma lista de ações concluídas. |
| Examinar dispositivos com detecções de ameaças | Quando as ameaças são detectadas em dispositivos, sua equipe de segurança precisa saber para que todas as ações necessárias, como isolar um dispositivo, possam ser tomadas prontamente. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Relatórios > Relatório de Segurança Geral>. 2. Role para baixo até a linha dispositivos vulneráveis . Se as ameaças foram detectadas em dispositivos, você verá essas informações nesta linha. |
| Saiba mais sobre novos incidentes ou alertas | À medida que as ameaças são detectadas e os alertas são disparados, os incidentes são criados. A equipe de segurança da sua empresa pode exibir e gerenciar incidentes no portal do Microsoft 365 Defender. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no menu de navegação, selecione Incidentes. Incidentes são exibidos na página com alertas associados. 2. Selecione um alerta para abrir seu painel de sobrevoo, no qual você pode saber mais sobre o alerta. 3. No flyout, você pode ver o título do alerta, exibir uma lista de ativos (como pontos de extremidade ou contas de usuário) que foram afetados, tomar ações disponíveis e usar links para exibir mais informações e até mesmo abrir a página de detalhes do alerta selecionado. |
| Executar uma verificação ou investigação automatizada | Sua equipe de segurança pode iniciar uma verificação ou uma investigação automatizada em um dispositivo com alto nível de risco ou ameaças detectadas. Dependendo dos resultados da verificação ou da investigação automatizada, as ações de correção podem ocorrer automaticamente ou após a aprovação. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Dispositivos de Ativos>. 2. Selecione um dispositivo para abrir seu painel de flyout e examine as informações exibidas. - Selecione as reticências (...) para abrir o menu de ações. – Selecione uma ação, como Executar verificação antivírus ou Iniciar Investigação Automatizada. |
Tarefas semanais
| Tarefa | Descrição |
|---|---|
| Monitorar e melhorar a pontuação do Microsoft Secure | O Microsoft Secure Score é uma medida da postura de segurança da sua organização. Números mais altos indicam que menos ações de melhoria são necessárias. Usando a Pontuação Segura, você pode: – Relatar o estado atual da postura de segurança da sua organização. – Aprimore sua postura de segurança fornecendo descoberta, visibilidade, diretrizes e controle. - Compare com os benchmarks e estabeleça os principais indicadores de desempenho (KPIs). Para marcar sua pontuação, siga estas etapas: 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Pontuação segura. 2. Examine e tome decisões sobre as correções e ações para melhorar sua pontuação geral de segurança da Microsoft. |
| Melhorar sua classificação de segurança para dispositivos | Melhore sua configuração de segurança corrigindo problemas usando a lista de recomendações de segurança. À medida que você faz isso, o Microsoft Secure Score para Dispositivos melhora e sua organização se torna mais resiliente contra ameaças e vulnerabilidades de segurança cibernética no futuro. Sempre vale a pena dedicar o tempo necessário para revisar e melhorar sua pontuação. Para marcar sua pontuação segura, siga estas etapas: 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, selecione Pontuação segura. 2. Na pontuação de segurança da Microsoft para dispositivos cartão no dashboard de Gerenciamento de Vulnerabilidades do Defender, selecione uma das categorias. Uma lista de recomendações relacionadas a essa categoria é exibida, juntamente com recomendações. 3.Selecione um item na lista para exibir detalhes relacionados à recomendação. 4. Selecione Opções de correção. 5. Leia a descrição para entender o contexto do problema e o que fazer a seguir. Escolha uma data de vencimento, adicione anotações e selecione Exportar todos os dados de atividade de correção para CSV para que você possa anexá-los a um email para acompanhamento. Uma mensagem de confirmação informa que a tarefa de correção foi criada. 6. Envie um email de acompanhamento para o administrador de TI e permita o tempo que você atribuiu para a correção se propagar no sistema. 7. Retorne ao Microsoft Secure Score for Devices cartão no dashboard. O número de recomendações de controles de segurança diminuiu como resultado de suas ações. 8. Selecione Controles de segurança para voltar à página Recomendações de segurança. O item que você abordou não está mais listado lá, o que resulta na melhoria da classificação de segurança da Microsoft. |
Tarefas mensais
| Tarefa | Descrição |
|---|---|
| Executar relatórios | Vários relatórios estão disponíveis no portal do Microsoft 365 Defender (https://security.microsoft.com). 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, selecione Relatórios. 2. Escolha um relatório para examinar. Cada relatório exibe várias categorias pertinentes para esse relatório. 3. Selecione Exibir detalhes para ver informações mais profundas para cada categoria. 4. Selecione o título de uma ameaça específica para ver detalhes específicos. |
| Executar um tutorial de simulação | É sempre uma boa ideia aumentar a preparação de segurança para você e sua equipe por meio de treinamento. Você pode acessar tutoriais de simulação no portal do Microsoft 365 Defender. Os tutoriais abordam vários tipos de ameaças cibernéticas. Para começar, siga estas etapas: 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Tutoriais.< 2. Leia o passo a passo para um tutorial que você está interessado em executar e baixe o arquivo ou copie o script necessário para executar a simulação de acordo com as instruções. |
| Explorar o Hub de aprendizagem | Use o hub de aprendizagem para aumentar seu conhecimento sobre ameaças de segurança cibernética e como resolvê-las. Recomendamos explorar os recursos oferecidos, especialmente nas seções Microsoft 365 Defender e Pontos de Extremidade. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, escolha Hub de aprendizagem. 2. Selecione uma área, como Microsoft 365 Defender ou Pontos de Extremidade. 3. Selecione um item para saber mais sobre cada conceito. Observe que alguns recursos no hub de aprendizagem podem abranger funcionalidades que não estão realmente incluídas no Microsoft 365 Business Premium. Por exemplo, os recursos avançados de busca estão incluídos em assinaturas corporativas, como o Plano 2 do Defender para Ponto de Extremidade ou o Microsoft 365 Defender, mas não no Microsoft 365 Business Premium. Compare os recursos de segurança nos planos do Microsoft 365 para pequenas e médias empresas. |
Tarefas a serem executadas conforme necessário
| Tarefa | Descrição |
|---|---|
| Usar o painel Análise de ameaças | Use o painel de análise de ameaças para obter uma visão geral do cenário atual de ameaças destacando relatórios que são mais relevantes para sua organização. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, selecione Análise de ameaças para exibir o dashboard de análise de ameaças. O painel resume as ameaças nas seguintes seções: - As ameaças mais recentes listam os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos. - Ameaças de alto impacto listam as ameaças que têm o maior impacto para sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro. - A maior exposição lista as ameaças com os níveis de exposição mais altos primeiro. O nível de exposição de uma ameaça é calculado usando duas informações: a gravidade das vulnerabilidades associadas à ameaça e quantos dispositivos em sua organização podem ser explorados por essas vulnerabilidades. 3. Selecione o título do que você deseja investigar e leia o relatório associado. 4. Você também pode examinar o relatório completo do Analista para obter mais detalhes ou selecionar outros títulos para exibir os incidentes relacionados, ativos afetados e exposição e mitigações. |
| Corrigir um item | Microsoft 365 Business Premium inclui várias ações de correção. Algumas ações são executadas automaticamente e outras aguardam aprovação da sua equipe de segurança. 1. No portal Microsoft 365 Defender (https://security.microsoft.com), no painel de navegação, acesse Dispositivos de Ativos>. 2. Selecione um dispositivo, como um com alto nível de risco ou nível de exposição. Um painel de sobrevoo abre e exibe mais informações sobre alertas e incidentes gerados para esse item. 3. No flyout, exiba as informações exibidas. Selecione as reticências (...) para abrir um menu que lista as ações disponíveis. 4. Selecione uma ação disponível. Por exemplo, você pode escolher Executar verificação antivírus, o que fará com que o Microsoft Defender Antivírus inicie uma verificação rápida no dispositivo. Ou você pode selecionar Iniciar Investigação Automatizada para disparar uma investigação automatizada no dispositivo. |
Ações de correção no Microsoft 365 Business Premium
A tabela a seguir resume as ações de correção que estão disponíveis no Microsoft 365 Business Premium:
| Source | Ações |
|---|---|
| Investigações automatizadas | Colocar em quarentena um arquivo Remover uma chave do registro Matar um processo Parar um serviço Desabilitar um driver Remover uma tarefa agendada |
| Ações de resposta manual | Executar verificação de antivírus Isolar dispositivo Adicionar um indicador para bloquear ou permitir um arquivo |
| Resposta Imediata | Coletar dados forenses Analisar um arquivo Executar um script Enviar uma entidade suspeita para a Microsoft para análise Corrigir um arquivo Buscar proativamente por ameaças |