Detecção e resposta gerenciadas

  • Artigo

Aplica-se a:

Dica

Para instruções de detecção e resposta gerenciadas, marcar este vídeo curto:https://www.youtube.com/watch?v=fYzquW2hE5I

Por meio de uma combinação de automação e experiência humana, Microsoft Defender Experts for XDR triageia Microsoft Defender XDR incidentes, prioriza-os em seu nome, filtra o ruído, realiza investigações detalhadas e fornece resposta gerenciada acionável às equipes do SOC (Centro de Operações de Segurança).

Atualizações de incidentes

Depois que nossos especialistas começarem a investigar um incidente, os campos Atribuídos a e Status do incidente serão atualizados para Especialistas do Defender e em andamento, respectivamente.

Quando nossos especialistas concluem sua investigação sobre um incidente, o campo Classificação do incidente é atualizado para um dos seguintes, dependendo das conclusões dos especialistas:

  • True Positive
  • Falso Positivo
  • Atividade informativa e esperada

O campo Determinação correspondente a cada classificação também é atualizado para fornecer mais informações sobre os resultados que levaram nossos especialistas a determinar a classificação.

Captura de tela da página Incidentes mostrando os campos Marcas, Status, Atribuídos, Classificação e Determinação.

Se um incidente for classificado como False Positive ou Informational, Atividade Esperada, o campo Status do incidente será atualizado para Resolvido. Nossos especialistas então concluem seu trabalho sobre este incidente e o campo Atribuído ao é atualizado para Não Atribuído. Nossos especialistas podem compartilhar atualizações de sua investigação e sua conclusão ao resolver um incidente. Essas atualizações são postadas no painel de flyout Comentários e histórico do incidente.

Observação

Os comentários sobre incidentes são postagens unidirecionais. Os Especialistas do Defender não podem responder a comentários ou perguntas que você adiciona no painel Comentários e histórico . Para obter mais informações sobre como corresponder com nossos especialistas, confira Comunicação com especialistas no serviço Microsoft Defender Experts for XDR.

Caso contrário, se um incidente for classificado como True Positive, nossos especialistas identificarão as ações de resposta necessárias que precisam ser executadas. O método no qual as ações são executadas depende das permissões e níveis de acesso que você deu ao serviço Defender Experts for XDR. Saiba mais sobre como conceder permissões a nossos especialistas.

  • Se você concedeu aos Especialistas do Defender para XDR as permissões de acesso recomendadas do Operador de Segurança, nossos especialistas poderão executar as ações de resposta necessárias no incidente em seu nome. Essas ações, juntamente com um resumo de Investigação, aparecem no painel de sobrevoo de resposta gerenciada do incidente em seu portal de Microsoft Defender para que você ou sua equipe do SOC examinem. Todas as ações concluídas pelo Defender Experts para XDR aparecem na seção Ações concluídas . Todas as ações pendentes que exigem que você ou sua equipe do SOC sejam concluídas estão listadas na seção Ações pendentes . Para obter mais informações, confira a seção Ações . Depois que nossos especialistas tomarem todas as ações necessárias sobre o incidente, seu campo Status será atualizado para Resolvido e o campo Atribuído a é atualizado para Não Atribuído.

  • Se você concedeu aos Especialistas do Defender para XDR o acesso padrão do Leitor de Segurança, as ações de resposta necessárias, juntamente com um resumo de Investigação, aparecerão no painel de flyout de resposta gerenciada do incidente na seção Ações pendentes em seu portal Microsoft Defender para você ou sua equipe SOC executarem. Para obter mais informações, confira a seção Ações . Para identificar essa entrega, o campo Status do incidente é atualizado para Aguardar a ação do cliente e o campo Atribuído a é atualizado para o Cliente.

Você pode marcar o número de incidentes que exigem sua ação na faixa de Especialistas do Defender na parte superior da página inicial do Microsoft Defender.

Captura de tela do cartão do Defender Experts no portal Microsoft Defender mostrando o número de incidentes que aguardam a ação do cliente.

Para exibir os incidentes que nossos especialistas investigaram ou estão investigando no momento, filtre a fila de incidentes em seu portal de Microsoft Defender usando a marca Defender Experts.

Captura de tela da fila Incidentes no portal Microsoft Defender filtrada para mostrar somente aqueles com a marca Especialistas do Defender.

Como usar a resposta gerenciada no Microsoft Defender XDR

No portal Microsoft Defender, um incidente que requer sua atenção usando a resposta gerenciada tem o campo Status definido como Aguardando Ação do Cliente, o campo Atribuído a definido como Cliente e uma tarefa cartão em cima do painel Incidentes. Os contatos de incidente designados também recebem uma notificação de email correspondente com um link para o portal do Defender para exibir o incidente. Saiba mais sobre contatos de notificação. Você também receberá uma notificação do Teams informando sobre as atualizações. Saiba mais sobre como configurar o Teams

Selecione Exibir resposta gerenciada na tarefa cartão ou na parte superior da página do portal (guia Resposta gerenciada) para abrir um painel de sobrevoo em que você pode ler o resumo da investigação de nossos especialistas, concluir ações pendentes identificadas por nossos especialistas ou se envolver com eles por meio do chat.

Resumo da investigação

A seção Resumo da investigação fornece mais contexto sobre o incidente analisado por nossos especialistas para fornecer visibilidade sobre sua gravidade e impacto potencial se não for resolvido imediatamente. Ele pode incluir o dispositivo linha do tempo, indicadores de ataque e indicadores de comprometimento (IOCs) observados e outros detalhes.

Captura de tela do resumo da investigação de resposta gerenciada.

Ações

A guia Ações exibe cartões de tarefas que contêm ações de resposta recomendadas por nossos especialistas.

Atualmente, os Especialistas do Defender para XDR dão suporte às seguintes ações de resposta gerenciada com um clique:

Action Descrição
Isolar dispositivo Isola um dispositivo, o que ajuda a impedir que um invasor o controle e execute outras atividades, como exfiltração de dados e movimentação lateral. O dispositivo isolado ainda será conectado a Microsoft Defender para Ponto de Extremidade.
Arquivo de quarentena Interrompe a execução de processos, coloca em quarentena os arquivos e exclui dados persistentes, como chaves de registro.
Restringir execução de aplicativo Restringe a execução de programas potencialmente mal-intencionados e bloqueia o dispositivo para evitar novas tentativas.
Liberação do isolamento Desfaz o isolamento de um dispositivo.
Remover restrição de aplicativo Desfaz a liberação do isolamento.

Além dessas ações de um clique, você também pode receber respostas gerenciadas de nossos especialistas que você precisa executar manualmente.

Observação

Antes de executar qualquer uma das ações recomendadas de resposta gerenciada, verifique se elas ainda não estão sendo tratadas pelas configurações de investigação e resposta automatizadas. Saiba mais sobre recursos automatizados de investigação e resposta em Microsoft Defender XDR.

Para exibir e executar as ações de resposta gerenciada:

  1. Selecione os botões de seta em uma ação cartão para expandi-la e leia mais informações sobre a ação necessária.

Captura de tela da ação de resposta gerenciada para isolar o servidor prod do dispositivo.

  1. Para cartões com ações de resposta de um clique, selecione a ação necessária. A Ação status no cartão muda para Em andamento e, em seguida, para Falha ou Concluída, dependendo do resultado da ação.

Captura de tela da ação de resposta gerenciada mostrando em andamento para isolar o servidor de prod do dispositivo.

Dica

Você também pode monitorar o status de ações de resposta no portal no Centro de Ações. Se uma ação de resposta falhar, tente fazê-lo novamente na página Exibir detalhes do dispositivo ou iniciar um chat com especialistas do Defender.

  1. Para cartões com ações necessárias que você precisa executar manualmente, selecione Eu completei essa ação depois de executá-los e selecione Sim, eu fiz isso na caixa de diálogo de confirmação que aparece.

Captura de tela da ação de resposta gerenciada para confirmar a conclusão da ação.

  1. Se você não quiser concluir uma ação necessária imediatamente, selecione Ignorar e selecione Sim, ignore essa ação na caixa de diálogo de confirmação exibida.

Importante

Se você notar que qualquer um dos botões nos cartões de ação está esmaecido, isso pode indicar que você não tem as permissões necessárias para executar a ação. Verifique se você está conectado ao portal Microsoft Defender XDR com as permissões apropriadas. A maioria das ações de resposta gerenciadas exige que você tenha pelo menos o acesso do Operador de Segurança. Se você ainda encontrar esse problema mesmo com as permissões apropriadas, navegue até Exibir detalhes do dispositivo e conclua as etapas a partir daí.

Obter visibilidade das investigações do Defender Experts em seu aplicativo SIEM ou ITSM

À medida que os Especialistas do Defender para XDR investigam incidentes e criam ações de correção, você pode ter visibilidade do trabalho deles em incidentes em seus aplicativos SIEM (gerenciamento de eventos e informações de segurança) e gerenciamento de serviços de TI (ITSM), incluindo aplicativos disponíveis fora da caixa.

Microsoft Sentinel

Você pode obter visibilidade de incidentes no Microsoft Sentinel ativando seu conector de dados Microsoft Defender XDR fora da caixa. Saiba mais.

Depois de ativar o conector, as atualizações dos Especialistas do Defender para os campos Status, Atribuídos a, Classificação e Determinação em Microsoft Defender XDR aparecerão nos campos Status, Proprietário e Razão correspondentes para fechamento no Sentinel.

Observação

O status de incidentes investigados pelo Defender Experts em Microsoft Defender XDR normalmente faz a transição do Ativo para Em andamento para Aguardar a Ação do Cliente para Resolvido, enquanto no Sentinel, ele segue o caminho Novo para Ativo para Resolvido. O status Microsoft Defender XDR aguardando a ação do cliente não tem um campo equivalente no Sentinel; em vez disso, é exibido como uma marca em um incidente no Sentinel.

A seção a seguir descreve como um incidente tratado por nossos especialistas é atualizado no Sentinel à medida que progride durante a jornada de investigação:

  1. Um incidente que está sendo investigado por nossos especialistas tem o Status listado como Ativo e o Proprietário listado como Especialistas do Defender.
  2. Um incidente que nossos especialistas confirmaram como um True Positive tem uma resposta gerenciada postada em Microsoft Defender XDR, e uma marcaaguardando a ação do cliente e o Proprietário está listado como Cliente. Você precisa agir sobre o incidente com base no uso da resposta gerenciada fornecida.
  3. Depois que nossos especialistas concluirem sua investigação e encerrarem um incidente como False Positive ou Informational, Atividade Esperada, o Status do incidente é atualizado para Resolvido, o Proprietário é atualizado para Não Atribuído e um Motivo para fechamento é fornecido.

Captura de tela dos incidentes do Microsoft Sentinel.

Outros aplicativos

Você pode obter visibilidade sobre incidentes em seu aplicativo SIEM ou ITSM usando a API ouconectores Microsoft Defender XDR no Sentinel.

Depois de configurar um conector, as atualizações dos Especialistas do Defender para os campos Status, Atribuído a, Classificação e Determinação de incidentes em Microsoft Defender XDR podem ser sincronizadas com os aplicativos SIEM ou ITSM de terceiros, dependendo de como o mapeamento de campo foi implementado. Para ilustrar, você pode dar uma olhada no conector disponível do Sentinel para o ServiceNow.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.