Acompanhar e responder a ameaças emergentes por meio da análise de ameaças

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Com adversários mais sofisticados e novas ameaças que surgem com frequência e predominantemente, é essencial ser capaz de rapidamente:

  • Avaliar o impacto de novas ameaças
  • Examine sua resiliência contra ou exposição às ameaças
  • Identificar as ações que você pode executar para parar ou conter as ameaças

A análise de ameaças é um conjunto de relatórios de pesquisadores de segurança especialistas da Microsoft que abrangem as ameaças mais relevantes, incluindo:

  • Atores de ameaças ativos e suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Malware predominante

Cada relatório fornece uma análise detalhada de uma ameaça e orientações abrangentes sobre como se defender contra essa ameaça. Ele também incorpora dados de sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor.

Assista a este breve vídeo para saber mais sobre como a análise de ameaças pode ajudá-lo a acompanhar as ameaças mais recentes e impedi-las.

Funções e permissões necessárias

A tabela a seguir descreve as funções e permissões necessárias para acessar o Threat Analytics. As funções definidas na tabela a seguir referem-se a funções personalizadas em portais individuais e não estão conectadas a funções globais no Azure AD, mesmo que sejam nomeadas da mesma forma.

Uma das funções a seguir é necessária para Microsoft 365 Defender Uma das funções a seguir é necessária para o Defender para Ponto de Extremidade Uma das funções a seguir é necessária para Defender para Office 365 Uma das funções a seguir é necessária para o Defender para Aplicativos de Nuvem
Análise de Ameaças Dados de alertas e incidentes:
  • Exibir operações de segurança de dados
Mitigações do Gerenciamento de Vulnerabilidades do Defender:
  • Exibir dados – Gerenciamento de ameaças e vulnerabilidades
Dados de alertas e incidentes:
  • Gerenciar alertas somente exibição
  • Gerenciar alertas
  • Configuração da organização
  • Logs de auditoria
  • Logs de auditoria somente exibição
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários somente exibição
Tentativas de email evitadas:
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários somente exibição
Não disponível para usuários do Defender para Aplicativos na Nuvem ou MDI

Exibir o painel de análise de ameaças

O painel de análise de ameaças é um ótimo ponto de partida para acessar os relatórios mais relevantes para sua organização. Ele resume as ameaças nas seguintes seções:

  • Ameaças mais recentes: lista os relatórios de ameaças publicados mais recentemente, juntamente com o número de dispositivos com alertas ativos e resolvidos.
  • Ameaças de alto impacto: lista as ameaças que tiveram o maior impacto na organização. Esta seção classifica as ameaças pelo número de dispositivos que têm alertas ativos.
  • Resumo de ameaças: mostra o impacto geral das ameaças controladas mostrando o número de ameaças com alertas ativos e resolvidos.

Selecione uma ameaça no painel para exibir o relatório dessa ameaça.

O painel de análise de ameaças

Exibir um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em três seções: Visão geral, relatório de analistas e Mitigações.

Visão geral: entender rapidamente a ameaça, avaliar seu impacto e examinar as defesas

A seção Visão geral fornece uma visualização do relatório detalhado do analista. Ele também fornece gráficos que realçam o impacto da ameaça para sua organização e sua exposição por meio de dispositivos mal configurados e sem patch.

A seção Visão geral de um relatório de análise de ameaçasseção Visão geral de um relatório de análise de ameaças

Avaliar o impacto em sua organização

Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Dispositivos com alertas: mostra o número atual de dispositivos distintos que foram afetados pela ameaça. Um dispositivo será categorizado como Ativo se houver pelo menos um alerta associado a essa ameaça e resolvido se todos os alertas associados à ameaça no dispositivo tiverem sido resolvidos.
  • Dispositivos com alertas ao longo do tempo: mostra o número de dispositivos distintos com alertas ativose resolvidos ao longo do tempo. O número de alertas resolvidos indica a rapidez com que sua organização responde aos alertas associados a uma ameaça. O ideal é que o gráfico esteja mostrando alertas resolvidos em alguns dias.

Examinar a resiliência e a postura de segurança

Cada relatório inclui gráficos que fornecem uma visão geral de como sua organização é resiliente contra uma determinada ameaça:

  • Status da configuração de segurança: mostra o número de dispositivos que aplicaram as configurações de segurança recomendadas que podem ajudar a atenuar a ameaça. Os dispositivos serão considerados seguros se tiverem aplicado todas as configurações controladas.
  • Status de aplicação de patch de vulnerabilidade: mostra o número de dispositivos que aplicaram atualizações de segurança ou patches que abordam vulnerabilidades exploradas pela ameaça.

Relatório de analistas: obtenha informações de especialistas de pesquisadores de segurança da Microsoft

Vá para a seção Relatório de Analistas para ler a gravação detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas das cadeias de ataque, incluindo táticas e técnicas mapeadas para a estrutura MITRE ATT&CK, listas completas de recomendações e diretrizes avançadas de busca de ameaças.

Saiba mais sobre o relatório de analistas

Mitigações: examinar a lista de mitigações e o status de seus dispositivos

Na seção Mitigações , examine a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar sua resiliência organizacional contra a ameaça. A lista de mitigações controladas inclui:

  • Atualizações de segurança: implantação de atualizações de segurança ou patches para vulnerabilidades
  • Microsoft Defender de antivírus
    • Versão de inteligência de segurança
    • Proteção fornecida na nuvem
    • Proteção pua (aplicativo potencialmente indesejado)
    • Proteção em tempo real

As informações de mitigação nesta seção incorporam dados do Gerenciamento de Vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de drill down de vários links no relatório.

A seção Mitigações de um relatório de análise de ameaças

Seção mitigações de um relatório de análise de ameaças

Detalhes e limitações adicionais do relatório

Ao usar os relatórios, lembre-se do seguinte:

  • Os dados são definidos com base no escopo do RBAC (controle de acesso baseado em função). Você verá o status dos dispositivos em grupos que podem ser acessados.
  • Os gráficos refletem apenas mitigações controladas. Verifique a visão geral do relatório para obter mitigações adicionais que não são mostradas nos gráficos.
  • As mitigações não garantem resiliência completa. As mitigações fornecidas refletem as melhores ações possíveis necessárias para melhorar a resiliência.
  • Os dispositivos serão contados como "indisponíveis" se não tiverem transmitido dados para o serviço.
  • As estatísticas relacionadas ao antivírus são baseadas Microsoft Defender configurações de antivírus. Dispositivos com soluções antivírus de terceiros podem aparecer como "expostos".