Acompanhar e responder a ameaças emergentes por meio da análise de ameaças

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Com adversários mais sofisticados e novas ameaças emergentes com frequência e predominantemente, é fundamental ser capaz de rapidamente:

• Avaliar o impacto de novas ameaças
• Examine sua resiliência contra ou exposição às ameaças
• Identificar as ações que você pode tomar para parar ou conter as ameaças

Análise de ameaças é um conjunto de relatórios de pesquisadores especializados de segurança da Microsoft que abrangem as ameaças mais relevantes, incluindo:

• Atores de ameaças ativos e suas campanhas
• Técnicas de ataque populares e novas
• Vulnerabilidades críticas
• Superfícies de ataque comuns
• Malware predominante

Cada relatório fornece uma análise detalhada de uma ameaça e orientações extensas sobre como se defender contra essa ameaça. Ele também incorpora dados de sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor.

Assista a este pequeno vídeo para saber mais sobre como a análise de ameaças pode ajudá-lo a rastrear as ameaças mais recentes e pará-las.

Funções e permissões necessárias

A tabela a seguir descreve as funções e permissões necessárias para acessar o Threat Analytics. As funções definidas na tabela abaixo referem-se a funções personalizadas em portais individuais e não estão conectadas a funções globais em Microsoft Entra ID, mesmo que nomeadas da mesma forma.

Uma das funções a seguir é necessária para Microsoft Defender XDR	Uma das funções a seguir são necessárias para o Defender para Ponto de Extremidade	Uma das funções a seguir é necessária para Defender para Office 365	Uma das funções a seguir é necessária para o Defender para Aplicativos de Nuvem
Análise de Ameaças	Dados de alertas e incidentes: Exibir operações de segurança de dados Mitigações do Gerenciamento de Vulnerabilidades do Defender: Exibir dados – Gerenciamento de ameaças e vulnerabilidades	Dados de alertas e incidentes: Gerenciar alertas somente exibição Gerenciar alertas Configuração da organização Logs de auditoria Logs de auditoria somente exibição Leitor de segurança Administrador de segurança Destinatários somente exibição Tentativas de email impedidas: Leitor de segurança Administrador de segurança Destinatários somente exibição	Não disponível para usuários do Defender para Aplicativos de Nuvem ou MDI

Exibir o painel de análise de ameaças

A análise de ameaças dashboard é um grande ponto de partida para chegar aos relatórios mais relevantes para sua organização. Ele resume as ameaças nas seções a seguir:

• Ameaças mais recentes: Listas os relatórios de ameaças publicados mais recentemente, juntamente com o número de dispositivos com alertas ativos e resolvidos.
• Ameaças de alto impacto: Listas as ameaças que tiveram o maior impacto para a organização. Esta seção classifica as ameaças pelo número de dispositivos que têm alertas ativos.
• Resumo de ameaças: mostra o impacto geral das ameaças rastreadas mostrando o número de ameaças com alertas ativos e resolvidos.

Selecione uma ameaça no painel para exibir o relatório dessa ameaça.

Exibir um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em três seções: Visão geral, relatório de analista e Mitigações.

Visão geral: entenda rapidamente a ameaça, avalie seu impacto e examine as defesas

A seção Visão geral fornece uma visualização do relatório detalhado do analista. Ele também fornece gráficos que realçam o impacto da ameaça à sua organização e sua exposição por meio de dispositivos não configurados e não corrigidos.

Visão geral de um relatório de análise de ameaças

Avaliar o impacto em sua organização

Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:

• Dispositivos com alertas: mostra o número atual de dispositivos distintos que foram afetados pela ameaça. Um dispositivo será categorizado como Ativo se houver pelo menos um alerta associado a essa ameaça e Resolvido se todos os alertas associados à ameaça no dispositivo tiverem sido resolvidos.
• Dispositivos com alertas ao longo do tempo: mostra o número de dispositivos distintos com alertas ativos e resolvidos ao longo do tempo. O número de alertas resolvidos indica a rapidez com que sua organização responde a alertas associados a uma ameaça. O ideal é que o gráfico esteja mostrando alertas resolvidos em alguns dias.

Revisar a resiliência e a postura de segurança

Cada relatório inclui gráficos que fornecem uma visão geral de como sua organização é resiliente contra uma determinada ameaça:

• Configuração de segurança status: mostra o número de dispositivos que aplicaram as configurações de segurança recomendadas que podem ajudar a mitigar a ameaça. Os dispositivos serão considerados seguros se tiverem aplicado todas as configurações rastreadas.
• Status de correção de vulnerabilidade: mostra o número de dispositivos que aplicaram atualizações de segurança ou patches que abordam vulnerabilidades exploradas pela ameaça.

Relatório do analista: obter informações de especialistas de pesquisadores de segurança da Microsoft

Vá para a seção Relatório do Analista para ler a gravação detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataque, incluindo táticas e técnicas mapeadas para o MITRE ATT&estrutura CK, listas exaustivas de recomendações e diretrizes poderosas de caça a ameaças .

Saiba mais sobre o relatório do analista

Mitigações: revise a lista de mitigações e o status de seus dispositivos

Na seção Mitigações , examine a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar sua resiliência organizacional contra a ameaça. A lista de mitigações controladas inclui:

• Atualizações de segurança: implantação de atualizações de segurança ou patches para vulnerabilidades
• Microsoft Defender configurações do Antivírus
  • Versão de inteligência de segurança
  • Proteção fornecida na nuvem
  • Proteção de aplicativo potencialmente indesejado (PUA)
  • Proteção em tempo real

As informações de mitigação nesta seção incorporam dados de Gerenciamento de Vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de detalhamento de vários links no relatório.

Seção mitigações de um relatório de análise de ameaças

Detalhes e limitações adicionais do relatório

Ao usar os relatórios, tenha o seguinte em mente:

• Os dados são escopo com base no escopo do RBAC (controle de acesso baseado em função). Você verá a status de dispositivos em grupos que você pode acessar.
• Os gráficos refletem apenas mitigações que são rastreadas. Verifique a visão geral do relatório para obter mitigações adicionais que não são mostradas nos gráficos.
• Mitigações não garantem resiliência completa. As mitigações fornecidas refletem as melhores ações possíveis necessárias para melhorar a resiliência.
• Os dispositivos serão contados como "indisponíveis" se não tiverem transmitido dados para o serviço.
• As estatísticas relacionadas ao antivírus baseiam-se nas configurações Microsoft Defender Antivírus. Dispositivos com soluções antivírus de terceiros podem aparecer como "expostos".

Tópicos relacionados

• Localizar ameaças proativamente com a caça avançada
• Entender a seção relatório do analista
• Avaliar e resolve fraquezas e exposições de segurança

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.