O relatório do analista em análise de ameaças
Aplica-se a:
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Cada relatório de análise de ameaças inclui seções dinâmicas e uma seção escrita abrangente chamada relatório de analista. Para acessar esta seção, abra o relatório sobre a ameaça rastreada e selecione a guia Relatório do Analista .
Seção relatório de analista de um relatório de análise de ameaças
Examinar o relatório do analista
Cada seção do relatório do analista foi projetada para fornecer informações acionáveis. Embora os relatórios variem, a maioria dos relatórios inclui as seções descritas na tabela a seguir.
| Seção Relatório | Descrição |
|---|---|
| Resumo executivo | Visão geral da ameaça, incluindo quando foi vista pela primeira vez, suas motivações, eventos notáveis, destinos principais e ferramentas e técnicas distintas. Você pode usar essas informações para avaliar melhor como priorizar a ameaça no contexto de sua indústria, localização geográfica e rede. |
| Análise | Informações técnicas sobre as ameaças, incluindo os detalhes de um ataque e como os invasores podem utilizar uma nova técnica ou superfície de ataque |
| Técnicas do MITRE ATT&CK observadas | Como as técnicas observadas são mapeadas para a estrutura de ataque do MITRE ATT&CK |
| Mitigações | Recomendações que podem parar ou ajudar a reduzir o impacto da ameaça. Esta seção também inclui mitigações que não são rastreadas dinamicamente como parte do relatório de análise de ameaças. |
| Detalhes da detecção | Detecções específicas e genéricas fornecidas por soluções de segurança da Microsoft que podem criar atividades ou componentes associados à ameaça. |
| Busca avançada | Consultas de caça avançadas para identificar proativamente possíveis atividades de ameaça. A maioria das consultas é fornecida para detecções de suplementos, especialmente para localizar componentes ou comportamentos potencialmente mal-intencionados que não poderiam ser avaliados dinamicamente como mal-intencionados. |
| Referências | Publicações da Microsoft e de terceiros referenciadas por analistas durante a criação do relatório. O conteúdo da análise de ameaças é baseado em dados validados por pesquisadores da Microsoft. Informações de fontes de terceiros disponíveis publicamente são identificadas claramente como tal. |
| Log de mudanças | A hora em que o relatório foi publicado e quando foram feitas alterações significativas no relatório. |
Aplicar mitigações adicionais
A análise de ameaças rastreia dinamicamente o status de atualizações de segurança e configurações seguras. Essas informações estão disponíveis como gráficos e tabelas na guia Mitigações .
Além dessas mitigações controladas, o relatório de analistas também discute mitigações que não são monitoradas dinamicamente. Aqui estão alguns exemplos de mitigações importantes que não são rastreadas dinamicamente:
- Bloquear emails com anexos .lnk ou outros tipos de arquivo suspeitos
- Randomizar senhas de administrador local
- Educar usuários finais sobre email de phishing e outros vetores de ameaças
- Ativar regras específicas de redução de superfície de ataque
Embora você possa usar a guia Mitigações para avaliar sua postura de segurança contra uma ameaça, essas recomendações permitem que você tome medidas adicionais para melhorar sua postura de segurança. Leia atentamente todas as diretrizes de mitigação no relatório do analista e aplique-as sempre que possível.
Entender como cada ameaça pode ser detectada
O relatório do analista também fornece as detecções de recursos EDR (detecção e resposta) de Microsoft Defender Antivírus e ponto de extremidade.
Detecções de antivírus
Essas detecções estão disponíveis em dispositivos com Microsoft Defender Antivírus ativado. Quando essas detecções ocorrem em dispositivos que foram integrados a Microsoft Defender para Ponto de Extremidade, elas também disparam alertas que iluminam os gráficos no relatório.
Observação
O relatório do analista também lista detecções genéricas que podem identificar uma ampla gama de ameaças, além de componentes ou comportamentos específicos da ameaça rastreada. Essas detecções genéricas não refletem nos gráficos.
Alertas de EDR (detecção e resposta) de ponto de extremidade
Alertas EDR são gerados para dispositivos integrados a Microsoft Defender para Ponto de Extremidade. Esses alertas geralmente dependem de sinais de segurança coletados pelo sensor Microsoft Defender para Ponto de Extremidade e outros recursos de ponto de extremidade (como antivírus, proteção de rede, proteção contra adulterações) que servem como fontes de sinal poderosas.
Como a lista de detecções de antivírus, alguns alertas EDR são projetados para sinalizar genericamente comportamentos suspeitos que podem não estar associados à ameaça rastreada. Nesses casos, o relatório identificará claramente o alerta como "genérico" e que ele não influencia nenhum dos gráficos no relatório.
Localizar artefatos de ameaça sutil usando a caça avançada
Embora as detecções permitam identificar e parar a ameaça rastreada automaticamente, muitas atividades de ataque deixam traços sutis que exigem inspeção adicional. Algumas atividades de ataque exibem comportamentos que também podem ser normais, portanto, detectá-los dinamicamente pode resultar em ruído operacional ou até mesmo falsos positivos.
A caça avançada fornece uma interface de consulta baseada em Linguagem de Consulta Kusto que simplifica a localização de indicadores sutis da atividade de ameaça. Ele também permite que você exira informações contextuais e verifique se os indicadores estão conectados a uma ameaça.
Consultas de caça avançadas nos relatórios de analistas foram examinadas por analistas da Microsoft e estão prontas para você executar no editor avançado de consultas de caça. Você também pode usar as consultas para criar regras de detecção personalizadas que disparam alertas para correspondências futuras.
Tópicos relacionados
- Visão geral da análise de ameaças
- Localizar ameaças proativamente com a caça avançada
- Regras de detecção personalizadas
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de