O relatório de analistas na análise de ameaças

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Cada relatório de análise de ameaças inclui seções dinâmicas e uma seção por escrito abrangente chamada relatório de analista. Para acessar esta seção, abra o relatório sobre a ameaça controlada e selecione a guia Relatório de Analistas.

A seção de relatório de analista de um relatório de análise de ameaças

Seção de relatório de analista de um relatório de análise de ameaças

Examinar o relatório de analistas

Cada seção do relatório de analista foi projetada para fornecer informações acionáveis. Embora os relatórios variem, a maioria dos relatórios inclui as seções descritas na tabela a seguir.



Seção Relatório Descrição
Resumo executivo Visão geral da ameaça, incluindo quando ela foi vista pela primeira vez, suas motivações, eventos importantes, principais destinos e ferramentas e técnicas distintas. Você pode usar essas informações para avaliar ainda mais como priorizar a ameaça no contexto de seu setor, localização geográfica e rede.
Análise Informações técnicas sobre as ameaças, incluindo os detalhes de um ataque e como os invasores podem utilizar uma nova técnica ou superfície de ataque
Técnicas de MITRE ATT&CK observadas Como as técnicas observadas são mapeadas para a estrutura de ataque do MITRE ATT&CK
Mitigações Recomendações que podem parar ou ajudar a reduzir o impacto da ameaça. Esta seção também inclui mitigações que não são controladas dinamicamente como parte do relatório de análise de ameaças.
Detalhes da detecção Detecções específicas e genéricas fornecidas pelas soluções de segurança da Microsoft que podem exibir atividades ou componentes associados à ameaça.
Busca avançada Consultas de busca avançadas para identificar proativamente possíveis atividades de ameaças. A maioria das consultas é fornecida para complementar detecções, especialmente para localizar componentes ou comportamentos potencialmente mal-intencionados que não puderam ser avaliados dinamicamente como mal-intencionados.
Referências Publicações da Microsoft e de terceiros referenciadas por analistas durante a criação do relatório. O conteúdo da análise de ameaças é baseado em dados validados por pesquisadores da Microsoft. As informações de fontes de terceiros disponíveis publicamente são identificadas claramente como tal.
Log de mudanças A hora em que o relatório foi publicado e quando foram feitas alterações significativas no relatório.

Aplicar mitigações adicionais

A análise de ameaças acompanha dinamicamente o status de atualizações de segurança e configurações seguras. Essas informações estão disponíveis como gráficos e tabelas na guia Mitigações .

Além dessas mitigações controladas, o relatório de analistas também discute mitigações que não são monitoradas dinamicamente. Aqui estão alguns exemplos de mitigações importantes que não são controladas dinamicamente:

  • Bloquear emails com anexos .lnk ou outros tipos de arquivo suspeitos
  • Randomizar senhas de administrador local
  • Instruir os usuários finais sobre o email de phishing e outros vetores de ameaça
  • Ativar regras específicas de redução da superfície de ataque

Embora você possa usar a guia Mitigações para avaliar sua postura de segurança contra uma ameaça, essas recomendações permitem que você execute etapas adicionais para melhorar sua postura de segurança. Leia cuidadosamente todas as diretrizes de mitigação no relatório de analistas e aplique-as sempre que possível.

Entender como cada ameaça pode ser detectada

O relatório de analista também fornece as detecções Microsoft Defender recursos de EDR (detecção e resposta de ponto de extremidade e antivírus).

Detecções de antivírus

Essas detecções estão disponíveis em dispositivos com Microsoft Defender Antivírus ativado. Quando essas detecções ocorrem em dispositivos que foram integrados ao Microsoft Defender para Ponto de Extremidade, eles também disparam alertas que acendem os gráficos no relatório.

Observação

O relatório de analistas também lista detecções genéricas que podem identificar uma ampla variedade de ameaças, além de componentes ou comportamentos específicos da ameaça controlada. Essas detecções genéricas não refletem nos gráficos.

Alertas de EDR (detecção e resposta de ponto de extremidade)

Alertas de EDR são gerados para dispositivos integrados Microsoft Defender para Ponto de Extremidade. Esses alertas geralmente dependem de sinais de segurança coletados pelo sensor Microsoft Defender para Ponto de Extremidade e outros recursos de ponto de extremidade (como antivírus, proteção de rede, proteção contra adulterações) que servem como fontes de sinal avançadas.

Como a lista de detecções de antivírus, alguns alertas de EDR são projetados para sinalizar genericamente comportamento suspeito que pode não estar associado à ameaça controlada. Nesses casos, o relatório identificará claramente o alerta como "genérico" e não influenciará nenhum dos gráficos no relatório.

Localizar artefatos de ameaça sutis usando a busca avançada

Embora as detecções permitam identificar e parar a ameaça controlada automaticamente, muitas atividades de ataque deixam rastreamentos sutis que exigem inspeção adicional. Algumas atividades de ataque exibem comportamentos que também podem ser normais, portanto, detectá-los dinamicamente pode resultar em ruído operacional ou até mesmo falsos positivos.

A busca avançada fornece uma interface de consulta baseada Linguagem de Consulta Kusto que simplifica a localização de indicadores sutis da atividade de ameaças. Ele também permite exibir informações contextuais e verificar se os indicadores estão conectados a uma ameaça.

Consultas de busca avançadas nos relatórios de analistas foram avaliadas por analistas da Microsoft e estão prontas para serem executadas no editor de consultas de busca avançada. Você também pode usar as consultas para criar regras de detecção personalizadas que disparam alertas para futuras partidas.