Resposta a incidentes com Microsoft 365 Defender

Observação

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e pilotar Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Um incidente no Microsoft 365 Defender é uma coleção de alertas correlacionados e dados associados que compõem a história de um ataque.

Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário.

Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.

Como Microsoft 365 Defender correlaciona eventos de entidades em um incidente.

Agrupar alertas relacionados a um incidente oferece uma visão abrangente de um ataque. Por exemplo, você poderá ver:

  • Onde o ataque foi iniciado.
  • Quais táticas foram usadas.
  • Até que ponto o ataque afetou o locatário.
  • O escopo do ataque, como quantos dispositivos, usuários e caixas de correio foram afetados.
  • Todos os dados associados ao ataque.

Se habilitado, Microsoft 365 Defender poderá investigar e resolve alertas automaticamente por meio de automação e inteligência artificial. Você também pode executar etapas adicionais de correção para resolve ataque.

Incidentes e alertas no portal do Microsoft 365 Defender

Você gerencia incidentes de incidentes & alertas > incidentes no lançamento rápido do portal Microsoft 365 Defender. Veja um exemplo.

A página Incidentes no portal Microsoft 365 Defender.

Selecionar um nome de incidente exibe toda a história de ataque do incidente, incluindo:

  • Página de alerta dentro do incidente: o escopo de alertas relacionados ao incidente e suas informações na mesma guia.
  • Grafo: uma representação visual do ataque que conecta as diferentes entidades suspeitas que fazem parte do ataque com seus ativos relacionados, como usuários, dispositivos e caixas de correio.

Você pode exibir os detalhes da entidade diretamente do grafo e agir sobre eles com opções de resposta, como exclusão de arquivo ou isolamento do dispositivo.

Captura de tela que mostra a página de história do ataque para um incidente no portal do Microsoft 365 Defender.

As guias adicionais para um incidente são:

  • História de ataque

    A história completa do ataque, incluindo todos os alertas, ativos e ações de correção tomadas.

  • Alertas

    Todos os alertas relacionados ao incidente e suas informações.

  • Ativos

    Todos os ativos (dispositivos, usuários, caixas de correio e aplicativos) que foram identificados como parte ou relacionados ao incidente.

  • Investigações

    Todas as investigações automatizadas disparadas por alertas no incidente.

  • Evidência e resposta

    Todos os eventos com suporte e entidades suspeitas nos alertas do incidente.

  • Resumo

    Uma visão geral rápida dos ativos afetados associados aos alertas.

Observação

Se você vir um alerta de tipo de alerta sem suporte status, isso significa que os recursos automatizados de investigação não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.

Exemplo de fluxo de trabalho de resposta a incidentes para Microsoft 365 Defender

Aqui está um exemplo de fluxo de trabalho para responder a incidentes no Microsoft 365 com o portal Microsoft 365 Defender.

Um exemplo de um fluxo de trabalho de resposta a incidentes para o portal Microsoft 365 Defender.

Em uma base contínua, identifique os incidentes de maior prioridade para análise e resolução na fila de incidentes e prepare-os para resposta. Esta é uma combinação de:

  • Deseja determinar os incidentes de maior prioridade por meio da filtragem e classificação da fila de incidentes.
  • Gerenciando incidentes modificando seu título, atribuindo-os a um analista e adicionando marcas e comentários.

Considere estas etapas para seu próprio fluxo de trabalho de resposta a incidentes:

  1. Para cada incidente, inicie uma investigação e análise de ataque e alerta:

    1. Veja a história de ataque do incidente para entender seu escopo, gravidade, fonte de detecção e quais entidades são afetadas.

    2. Comece a analisar os alertas para entender sua origem, escopo e gravidade com a história do alerta dentro do incidente.

    3. Conforme necessário, colete informações sobre dispositivos, usuários e caixas de correio afetados com o grafo. Clique com o botão direito do mouse em qualquer entidade para abrir um flyout com todos os detalhes.

    4. Veja como Microsoft 365 Defender resolveu automaticamente alguns alertas com a guia Investigações.

    5. Conforme necessário, use informações no conjunto de dados para o incidente para obter mais informações com a guia Evidências e Resposta .

  2. Após ou durante sua análise, execute a contenção para reduzir qualquer impacto adicional do ataque e da erradicação da ameaça de segurança.

  3. Na medida do possível, recupere-se do ataque restaurando os recursos do locatário para o estado em que estavam antes do incidente.

  4. Resolva o incidente e leve tempo para que o aprendizado pós-incidente seja:

    • Entenda o tipo de ataque e seu impacto.
    • Pesquise o ataque no Threat Analytics e na comunidade de segurança para obter uma tendência de ataque de segurança.
    • Lembre-se do fluxo de trabalho usado para resolver o incidente e atualizar seus fluxos de trabalho, processos, políticas e guias estratégicos padrão, conforme necessário.
    • Determine se as alterações na configuração de segurança são necessárias e implemente-as.

Se você for novo na análise de segurança, confira a introdução à resposta ao primeiro incidente para obter informações adicionais e passar por um incidente de exemplo.

Para obter mais informações sobre a resposta a incidentes em produtos microsoft, consulte este artigo.

Operações de segurança de exemplo para Microsoft 365 Defender

Aqui está um exemplo de operações de segurança (SecOps) para Microsoft 365 Defender.

Um exemplo de operações de segurança para Microsoft 365 Defender

Tarefas diárias podem incluir:

As tarefas mensais podem incluir:

Tarefas trimestrais podem incluir um relatório e um briefing de resultados de segurança para o CISO (Chief Information Security Officer).

Tarefas anuais podem incluir a realização de um grande incidente ou exercício de violação para testar sua equipe, sistemas e processos.

Tarefas diárias, mensais, trimestrais e anuais podem ser usadas para atualizar ou refinar processos, políticas e configurações de segurança.

Consulte Integrando Microsoft 365 Defender em suas operações de segurança para obter mais detalhes.

Recursos do SecOps em produtos da Microsoft

Para obter mais informações sobre SecOps entre os produtos da Microsoft, confira estes recursos:

Obter notificações de incidentes por email

Você pode configurar Microsoft 365 Defender para notificar sua equipe com um email sobre novos incidentes ou atualizações para incidentes existentes. Você pode optar por obter notificações com base em:

  • Gravidade do alerta
  • Fontes de alerta
  • Grupo de dispositivos

Escolha receber notificações por email somente para uma fonte de serviço específica: você pode selecionar facilmente fontes de serviço específicas para as quais deseja obter notificações por email.

Obter mais granularidade com fontes de detecção específicas: você só pode receber notificações para uma fonte de detecção específica.

Defina a gravidade por detecção ou fonte de serviço: você pode optar por obter notificações por email apenas em gravidades específicas por origem. Por exemplo, você pode ser notificado para alertas médios e altos para EDR e todas as gravidades para Microsoft Defender Experts.

A notificação por email contém detalhes importantes sobre o incidente, como o nome do incidente, a gravidade e as categorias, entre outros. Você também pode ir diretamente para o incidente e iniciar sua análise imediatamente. Para obter mais informações, consulte Investigar incidentes.

Você pode adicionar ou remover destinatários no notificações por email. Novos destinatários são notificados sobre incidentes após serem adicionados.

Observação

Você precisa da permissão Gerenciar configurações de segurança para configurar as configurações de notificação por email. Se você tiver escolhido usar o gerenciamento de permissões básicas, os usuários com funções de Administrador de Segurança ou Administrador Global poderão configurar notificações por email.

Da mesma forma, se sua organização estiver usando o RBAC (controle de acesso baseado em função), você só poderá criar, editar, excluir e receber notificações com base em grupos de dispositivos que você tem permissão para gerenciar.

Criar uma regra para notificações por email

Siga estas etapas para criar uma nova regra e personalizar as configurações de notificação por email.

  1. Vá para Microsoft 365 Defender no painel de navegação, selecione Configurações > Microsoft 365 Defender > notificações por email incidente.

  2. Selecione Adicionar item.

  3. Na página Noções básicas , digite o nome da regra e uma descrição e selecione Avançar.

  4. Na página Configurações de notificação , configure:

    • Severidade do alerta - Escolha as severidades do alerta que irão acionar uma notificação de incidente. Por exemplo, se você quiser apenas ser informado sobre incidentes de alta gravidade, selecione Alto.
    • Escopo do grupo de dispositivos - você pode especificar todos os grupos de dispositivos ou selecionar na lista de grupos de dispositivos em seu locatário.
    • Enviar apenas uma notificação por incidente – selecione se você quiser uma notificação por incidente.
    • Incluir o nome da organização no email - Selecione se deseja que o nome da sua organização apareça na notificação por email.
    • Incluir link de portal específico do locatário - Selecione se deseja adicionar um link com a ID do locatário na notificação por email para acesso a um locatário específico do Microsoft 365.

    Captura de tela da página Configurações de notificação para notificações por email de incidentes no portal Microsoft 365 Defender.

  5. Selecione Avançar. Na página Destinatários , adicione os endereços de email que receberão as notificações de incidente. Selecione Adicionar depois de digitar cada novo endereço de email. Para testar as notificações e garantir que os destinatários as recebam nas caixas de entrada, selecione Enviar email de teste.

  6. Selecione Avançar. Na página Revisar regra , examine as configurações da regra e selecione Criar regra. Os destinatários começarão a receber notificações de incidentes por email com base nas configurações.

Para editar uma regra existente, selecione-a na lista de regras. No painel com o nome da regra, selecione Editar regra e faça suas alterações nas páginas Noções Básicas, Notificação e Destinatários .

Para excluir uma regra, selecione-a na lista de regras. No painel com o nome da regra, selecione Excluir.

Depois de receber a notificação, você pode ir diretamente para o incidente e iniciar sua investigação imediatamente. Para obter mais informações sobre como investigar incidentes, consulte Investigar incidentes em Microsoft 365 Defender.

Treinamento para analistas de segurança

Use este módulo de aprendizado do Microsoft Learn para entender como usar Microsoft 365 Defender para gerenciar incidentes e alertas.

Treinamento: Investigar incidentes com Microsoft 365 Defender
Investigue incidentes com Microsoft 365 Defender ícone de treinamento. Microsoft 365 Defender unifica dados de ameaças de vários serviços e usa a IA para combiná-los em incidentes e alertas. Saiba como minimizar o tempo entre um incidente e seu gerenciamento para resposta e resolução subsequentes.

27 min – 6 Unidades

Próximas etapas

Use as etapas listadas com base no nível de experiência ou função em sua equipe de segurança.

Nível de experiência

Siga esta tabela para obter seu nível de experiência com análise de segurança e resposta a incidentes.

Nível Etapas
New
  1. Consulte o passo a passo Responder ao primeiro incidente para obter um tour guiado de um processo típico de análise, correção e revisão pós-incidente no portal Microsoft 365 Defender com um ataque de exemplo.
  2. Consulte quais incidentes devem ser priorizados com base na gravidade e em outros fatores.
  3. Gerencie incidentes, o que inclui renomear, atribuir, classificar e adicionar marcas e comentários com base no fluxo de trabalho de gerenciamento de incidentes.
Experiente
  1. Comece com a fila de incidentes da página Incidentes do portal Microsoft 365 Defender. Aqui você pode:
    • Consulte quais incidentes devem ser priorizados com base na gravidade e em outros fatores.
    • Gerencie incidentes, o que inclui renomear, atribuir, classificar e adicionar marcas e comentários com base no fluxo de trabalho de gerenciamento de incidentes.
    • Realize investigações de incidentes.
  2. Acompanhe e responda a ameaças emergentes com análise de ameaças.
  3. Procure proativamente ameaças com caça avançada de ameaças.
  4. Consulte esses guias estratégicos de resposta a incidentes para obter diretrizes detalhadas sobre phishing, spray de senha e ataques de concessão de consentimento do aplicativo.

Função de equipe de segurança

Siga esta tabela com base na função da equipe de segurança.

Role Etapas
Respondente de incidentes (Camada 1) Comece com a fila de incidentes da página Incidentes do portal Microsoft 365 Defender. Aqui você pode:
  • Consulte quais incidentes devem ser priorizados com base na gravidade e em outros fatores.
  • Gerencie incidentes, o que inclui renomear, atribuir, classificar e adicionar marcas e comentários com base no fluxo de trabalho de gerenciamento de incidentes.
Investigador de segurança ou analista (Camada 2)
  1. Execute investigações de incidentes na página Incidentes do portal Microsoft 365 Defender.
  2. Consulte esses guias estratégicos de resposta a incidentes para obter diretrizes detalhadas sobre phishing, spray de senha e ataques de concessão de consentimento do aplicativo.
Analista de segurança avançado ou caçador de ameaças (Camada 3)
  1. Execute investigações de incidentes na página Incidentes do portal Microsoft 365 Defender.
  2. Acompanhe e responda a ameaças emergentes com análise de ameaças.
  3. Procure proativamente ameaças com caça avançada de ameaças.
  4. Consulte esses guias estratégicos de resposta a incidentes para obter diretrizes detalhadas sobre phishing, spray de senha e ataques de concessão de consentimento do aplicativo.
Gerente do SOC Confira como integrar Microsoft 365 Defender ao SOC (Centro de Operações de Segurança).

Dica

Quer saber mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft 365 Defender Comunidade Tecnológica.