Investigue alertas no Microsoft 365 Defender

Observação

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e pilotar Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Observação

Este artigo descreve alertas de segurança no Microsoft 365 Defender. No entanto, você pode usar alertas de atividade para enviar notificações por email a si mesmo ou a outros administradores quando os usuários executam atividades específicas no Microsoft 365. Para obter mais informações, confira Criar alertas de atividade – Microsoft Purview | Microsoft Docs.

Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos mal-intencionados ou suspeitos em seu ambiente. Alertas normalmente fazem parte de um ataque mais amplo e fornecem pistas sobre um incidente.

Em Microsoft 365 Defender, os alertas relacionados são agregados para formar incidentes. Os incidentes sempre fornecerão o contexto mais amplo de um ataque, no entanto, a análise de alertas pode ser valiosa quando uma análise mais profunda é necessária.

A fila Alertas mostra o conjunto atual de alertas. Você chega à fila de alertas dos alertas de incidentes & alertas > sobre o lançamento rápido do portal Microsoft 365 Defender.

A seção Alertas no portal Microsoft 365 Defender

Alertas de diferentes soluções de segurança da Microsoft, como Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365 e Microsoft 365 Defender aparecem aqui.

Por padrão, a fila de alertas no portal Microsoft 365 Defender exibe os alertas novos e em andamento dos últimos 30 dias. O alerta mais recente está no topo da lista para que você possa vê-lo primeiro.

Na fila de alertas padrão, você pode selecionar Filtrar para ver um painel Filtro , no qual você pode especificar um subconjunto dos alertas. Veja um exemplo.

A seção Filtros no portal Microsoft 365 Defender.

Você pode filtrar alertas de acordo com esses critérios:

  • Severity
  • Status
  • Fontes de serviço
  • Entidades (os ativos afetados)
  • Estado de investigação automatizado

Funções necessárias para alertas de Defender para Office 365

Você precisará ter qualquer uma das seguintes funções para acessar Microsoft Defender para Office 365 alertas:

  • Para funções globais do Azure Active Directory (Azure AD):

    • Administrador global
    • Administrador de segurança
    • Operador de segurança
    • Leitor global
    • Leitor de segurança
  • Segurança & Office 365 Grupos de Funções de Conformidade

    • Administrador de Conformidade
    • Gerenciamento de Organização
  • Uma função personalizada

Analisar um alerta

Para ver a página de alerta principal, selecione o nome do alerta. Veja um exemplo.

Captura de tela mostrando os detalhes de um alerta no portal do Microsoft 365 Defender

Você também pode selecionar a ação Abrir a página de alerta principal no painel Gerenciar alerta .

Uma página de alerta é composta por estas seções:

  • História de alerta, que é a cadeia de eventos e alertas relacionados a esse alerta em ordem cronológica
  • Detalhes do resumo

Em uma página de alerta, você pode selecionar as reticências (...) ao lado de qualquer entidade para ver as ações disponíveis, como vincular o alerta a outro incidente. A lista de ações disponíveis depende do tipo de alerta.

Fontes de alerta

Microsoft 365 Defender alertas podem vir de soluções como Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Identidade, Microsoft Defender para Aplicativos de Nuvem, o complemento de governança do aplicativo para Microsoft Defender para Aplicativos de Nuvem , Proteção de Identidade do Azure Active Directory e Prevenção contra Perda de Dados da Microsoft. Você pode observar alertas com caracteres pré-configurados no alerta. A tabela a seguir fornece diretrizes para ajudá-lo a entender o mapeamento de fontes de alerta com base no caractere pré-configurado no alerta.

Observação

  • Os GUIDs pré-endended são específicos apenas para experiências unificadas, como fila de alertas unificados, página alertas unificados, investigação unificada e incidente unificado.
  • O caractere pré-endended não altera o GUID do alerta. A única alteração no GUID é o componente pré-endended.
Fonte de alerta Caractere pré-endended
Microsoft 365 Defender ra
ta para ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Obter o Microsoft Defender para Office 365 fa{GUID}
Exemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para Ponto de Extremidade da ou ed para alertas de detecção personalizados
Microsoft Defender para Identidade aa{GUID}
Exemplo: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exemplo: ca123a456b-c789-1d2e-12f1g33h445h6i
Proteção de Identidade do Azure Active Directory (AAD) ad
Governança do aplicativo ma
Prevenção contra perda de dados da Microsoft dl

Configurar o serviço de alerta IP do AAD

  1. Acesse o portal Microsoft 365 Defender (security.microsoft.com), selecione Configurações>Microsoft 365 Defender.

  2. Na lista, selecione Configurações de serviço de alerta e configure seu serviço de alerta de proteção de identidade Azure AD.

    Captura de tela da configuração de alertas de proteção de identidade Azure AD no portal do Microsoft 365 Defender.

Por padrão, somente os alertas mais relevantes para a central de operações de segurança estão habilitados. Se você quiser obter todas as detecções de risco de IP do AAD, poderá alterá-la na seção Configurações do serviço de alerta .

Você também pode acessar as configurações do serviço de alerta diretamente na página Incidentes no portal Microsoft 365 Defender.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Analisar ativos afetados

A seção Ações realizadas tem uma lista de ativos afetados, como caixas de correio, dispositivos e usuários afetados por esse alerta.

Você também pode selecionar Exibir no centro de ações para exibir a guia Histórico da central de ações no portal Microsoft 365 Defender.

Rastrear a função de um alerta na história do alerta

A história do alerta exibe todos os ativos ou entidades relacionados ao alerta em uma exibição de árvore de processo. O alerta no título é aquele em foco quando você aterrissa pela primeira vez na página do alerta selecionado. Os ativos na história do alerta são expansíveis e clicáveis. Eles fornecem informações adicionais e agilizam sua resposta, permitindo que você tome medidas diretamente no contexto da página de alerta.

Observação

A seção história do alerta pode conter mais de um alerta, com alertas adicionais relacionados à mesma árvore de execução que aparece antes ou depois do alerta selecionado.

Exibir mais informações de alerta na página de detalhes

A página de detalhes mostra os detalhes do alerta selecionado, com detalhes e ações relacionadas a ele. Se você selecionar qualquer um dos ativos ou entidades afetados na história do alerta, a página de detalhes será alterada para fornecer informações contextuais e ações para o objeto selecionado.

Depois de selecionar uma entidade de interesse, a página de detalhes será alterada para exibir informações sobre o tipo de entidade selecionado, informações históricas quando estiver disponível e opções para agir sobre essa entidade diretamente na página de alerta.

Gerenciar alertas

Para gerenciar um alerta, selecione Gerenciar alerta na seção de detalhes de resumo da página de alerta. Para um único alerta, aqui está um exemplo do painel Gerenciar alerta .

Captura de tela da seção Gerenciar alerta no portal do Microsoft 365 Defender

O painel Gerenciar alerta permite que você exiba ou especifique:

  • O status do alerta (Novo, Resolvido, Em andamento).
  • A conta de usuário que recebeu o alerta.
  • Classificação do alerta:
    • Não definido (padrão).
    • Verdadeiro positivo com um tipo de ameaça. Use essa classificação para alertas que indicam com precisão uma ameaça real. Especificando esses alertas de tipo de ameaça, sua equipe de segurança vê padrões de ameaça e age para defender sua organização deles.
    • Atividade informativa e esperada com um tipo de atividade. Use essa opção para alertas tecnicamente precisos, mas que representam comportamento normal ou atividade simulada de ameaça. Você geralmente deseja ignorar esses alertas, mas espera-os para atividades semelhantes no futuro, onde as atividades são disparadas por invasores reais ou malware. Use as opções nesta categoria para classificar alertas para testes de segurança, atividade de equipe vermelha e comportamento incomum esperado de aplicativos confiáveis e usuários.
    • Falso positivo para tipos de alertas que foram criados mesmo quando não há atividade mal-intencionada ou para um alarme falso. Use as opções nessa categoria para classificar alertas que são erroneamente identificados como eventos ou atividades normais como mal-intencionados ou suspeitos. Ao contrário dos alertas para "atividade informativa e esperada", que também pode ser útil para capturar ameaças reais, você geralmente não quer ver esses alertas novamente. Classificar alertas como falsos positivos ajuda Microsoft 365 Defender melhorar sua qualidade de detecção.
  • Um comentário sobre o alerta.

Observação

Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior ('Apt' e 'SecurityPersonnel') serão preteridos e não estarão mais disponíveis por meio da API.

Observação

Uma maneira de gerenciar alertas por meio do uso de marcas. O recurso de marcação para Microsoft Defender para Office 365 está sendo implantado incrementalmente e está atualmente em versão prévia.

Atualmente, os nomes de marca modificados só são aplicados aos alertas criados após a atualização. Os alertas gerados antes da modificação não refletirão o nome da marca atualizado.

Para gerenciar um conjunto de alertas semelhante a um alerta específico, selecione Exibir alertas semelhantes na caixa INSIGHT na seção de detalhes de resumo da página de alerta.

Captura de tela da seleção de um alerta no portal Microsoft 365 Defender

No painel Gerenciar alertas , você pode classificar todos os alertas relacionados ao mesmo tempo. Veja um exemplo.

Captura de tela do gerenciamento de alertas relacionados no portal do Microsoft 365 Defender

Se alertas semelhantes já foram classificados no passado, você poderá economizar tempo usando Microsoft 365 Defender recomendações para saber como os outros alertas foram resolvidos. Na seção de detalhes do resumo, selecione Recomendações.

Captura de tela de um exemplo de seleção de recomendações para um alerta

A guia Recomendações fornece ações e conselhos de próxima etapa para investigação, correção e prevenção. Veja um exemplo.

Captura de tela de um exemplo de recomendações de alerta

Suprimir um alerta

Como analista do SOC (Centro de Operações de Segurança), um dos principais problemas é tririar o grande número de alertas que são disparados diariamente. Para alertas de menor prioridade, um analista ainda é necessário para triagem e resolução do alerta que tende a ser um processo manual. O tempo de um analista do SOC é valioso, querendo se concentrar apenas em alertas de alta gravidade e alta prioridade.

A supressão de alerta fornece a capacidade de ajustar e gerenciar alertas com antecedência. Isso simplifica a fila de alertas e economiza tempo de triagem escondendo ou resolvendo alertas automaticamente, sempre que um determinado comportamento organizacional esperado ocorre e as condições de regra são atendidas.

Você pode criar condições de regra com base em "tipos de evidência", como arquivos, processos, tarefas agendadas e muitos outros tipos de evidência que disparam o alerta. Depois de criar a regra, o usuário pode aplicar a regra no alerta selecionado ou em qualquer tipo de alerta que atenda às condições da regra para suprimir o alerta.

Observação

Não é recomendável suprimir alertas. No entanto, em determinadas situações, um aplicativo comercial interno conhecido ou testes de segurança disparam uma atividade esperada e você não deseja ver esses alertas. Portanto, você pode criar uma regra de supressão para o alerta.

Criar condições de regra para suprimir alertas

Para criar uma regra de supressão para alertas:

  1. Selecione o alerta investigado. Na página de alerta principal, selecione Criar regra de supressão na seção de detalhes de resumo da página de alerta.

    Captura de tela da ação Criar regra de separação.

  2. No painel Criar regra de supressão , selecione Somente esse tipo de alerta para aplicar a regra no alerta selecionado.

    No entanto, para aplicar a regra em qualquer tipo de alerta que atenda às condições de regra, selecione Qualquer tipo de alerta com base nas condições do COI.

    Os IOCs são indicadores como arquivos, processos, tarefas agendadas e outros tipos de evidência que disparam o alerta.

    Observação

    Você não pode mais suprimir um alerta disparado pela origem da "detecção personalizada". Você não pode criar uma regra de supressão para este alerta.

  3. Na seção IOCs , selecione Qualquer COI para suprimir o alerta, não importa qual "evidência" tenha causado o alerta.

    Para definir várias condições de regra, selecione Escolher IOCs. Use opções AND, OR e agrupamento para criar relação entre esses vários "tipos de evidência" que causam o alerta.

    1. Por exemplo, na seção Condições , selecione a função de entidade de evidência de gatilho: disparando, iguala e selecione o tipo de evidência na lista suspensa.

      Captura de tela da lista suspensa tipos de evidência.

    2. Todas as propriedades dessa "evidência" serão preenchidas automaticamente como um novo subgrupo nos respectivos campos abaixo.

      Captura de tela das propriedades de preenchimento automático de evidências.

      Observação

      Os valores de condição não são sensíveis a casos.

    3. Você pode editar e/ou excluir propriedades dessa 'evidência' de acordo com seus requisitos (usando curingas, quando houver suporte).

    4. Além de arquivos e processos, o script AMSI (Interface de Verificação AntiMalware), o evento WMI (Instrumentação de Gerenciamento do Windows) e as tarefas agendadas são alguns dos tipos de evidência recém-adicionados que você pode selecionar na lista suspensa tipos de evidência.

      Captura de tela de outros tipos de evidência.

    5. Para adicionar outro COI, clique em Adicionar filtro.

      Observação

      Adicionar pelo menos um COI à condição de regra é necessário para suprimir qualquer tipo de alerta.

  4. Como alternativa, você pode selecionar Preencher automaticamente todos os IOCs relacionados ao alerta 7 na seção COI para adicionar todos os tipos de evidência relacionados ao alerta e suas propriedades ao mesmo tempo na seção Condições .

    Captura de tela do preenchimento automático de todos os IOCs relacionados ao alerta.

  5. Na seção Escopo , defina o Escopo na sub-seção Condições selecionando dispositivo específico, vários dispositivos, grupos de dispositivos, toda a organização ou por usuário.

    Observação

    Você deve ter Administração permissão quando o Escopo é definido apenas para Usuário. Administração permissão não é necessária quando o Escopo é definido para Usuário junto com dispositivos, grupos de dispositivos.

    Captura de tela do painel criar regra de supressão: Condições, Escopo, Ação.

  6. Na seção Ação , tome a ação apropriada de Ocultar alerta ou Resolver alerta.

    Insira Nome, Comentário e clique em Salvar.

  7. Impedir que os IOCs sejam bloqueados no futuro:

    Depois de salvar a regra de supressão, na página de criação de regra de supressão bem-sucedida exibida, você pode adicionar os IOCs selecionados como indicadores à "lista de permissões" e impedi-los de serem bloqueados no futuro.

    Todos os IOCs relacionados ao alerta serão mostrados na lista.

    Os IOCs selecionados nas condições de supressão serão selecionados por padrão.

    1. Por exemplo, você pode adicionar arquivos a serem permitidos ao IOC (Select evidence) para permitir. Por padrão, o arquivo que acionou o alerta é selecionado.
    2. Insira o escopo para o escopo Selecionar a que se aplicar. Por padrão, o escopo do alerta relacionado é selecionado.
    3. Clique em Salvar. Agora o arquivo não está bloqueado como está na lista de permissões.

    Captura de tela da criação bem-sucedida da regra de supressão.

  8. A nova funcionalidade de alerta de supressão está disponível por padrão.

    No entanto, você pode alternar de volta para a experiência anterior no portal Microsoft 365 Defender navegando até Configurações Endpoints > Supressão de alerta e, em seguida, desativar >a criação de novas regras de supressão habilitada para alternância.

    Captura de tela do alternância para ativar/desativar o recurso de criação de regra de supressão.

    Observação

    Em breve, somente a nova experiência de supressão de alerta estará disponível. Você não poderá voltar à experiência anterior.

  9. Editar regras existentes:

    Você sempre pode adicionar ou alterar condições de regra e escopo de regras novas ou existentes em Microsoft Defender portal, selecionando a regra relevante e clicando em Editar regra.

    Para editar regras existentes, verifique se a nova criação de regras de supressão habilitada para alternância está habilitada.

    Captura de tela da regra de supressão de edição.

Resolver um alerta

Depois de analisar um alerta e ele pode ser resolvido, acesse o painel Gerenciar alerta para o alerta ou alertas semelhantes e marque o status como Resolvido e, em seguida, classifique-o como um True positivo com um tipo de ameaça, uma atividade informativa, esperada com um tipo de atividade ou false positivo.

Classificar alertas ajuda Microsoft 365 Defender melhorar sua qualidade de detecção.

Usar o Power Automate para triagem de alertas

As equipes de SecOps (operações de segurança modernas) precisam de automação para funcionar efetivamente. Para se concentrar na busca e investigação de ameaças reais, as equipes do SecOps usam o Power Automate para triagem por meio da lista de alertas e eliminar aqueles que não são ameaças.

Critérios para resolver alertas

  • O usuário tem a mensagem fora do escritório ativada
  • O usuário não é marcado como de alto risco

Se ambos forem verdadeiros, o SecOps marcará o alerta como uma viagem legítima e o resolverá. Uma notificação é postada no Microsoft Teams após a resolução do alerta.

Conectar o Power Automate ao Microsoft Defender para Aplicativos de Nuvem

Para criar a automação, você precisará de um token de API para poder conectar o Power Automate ao Microsoft Defender para Aplicativos de Nuvem.

  1. Clique em Configurações, selecione Extensões de segurança e clique em Adicionar token na guia Tokens de API .

  2. Forneça um nome para seu token e clique em Gerar. Salve o token, pois você precisará dele mais tarde.

Criar um fluxo automatizado

Assista a este pequeno vídeo para saber como a automação funciona com eficiência para criar um fluxo de trabalho suave e como conectar o Power Automate ao Defender para Aplicativos de Nuvem.

Próximas etapas

Conforme necessário para incidentes em processo, continue sua investigação.

Confira também