Como a investigação e a resposta automatizadas funcionam Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub Microsoft 365 Defender portal de avaliações. Saiba mais sobre quem pode se inscrever e os termos de avaliação aqui.

Aplica-se a

À medida que os alertas de segurança são disparados, é com sua equipe de operações de segurança examinar esses alertas e tomar medidas para proteger sua organização. Às vezes, as equipes de operações de segurança podem se sentir sobrecarregadas pelo volume de alertas disparados. Recursos automatizados de investigação e resposta (AIR) Microsoft Defender para Office 365 podem ajudar.

O AIR permite que sua equipe de operações de segurança opere com mais eficiência e eficiência. As funcionalidades do AIR incluem processos de investigação automatizados em resposta a ameaças conhecidas que existem atualmente. As ações de correção apropriadas aguardam aprovação, permitindo que sua equipe de operações de segurança responda a ameaças detectadas.

Este artigo descreve como o AIR funciona por meio de vários exemplos. Quando estiver pronto para começar a usar o AIR, consulte Investigar e responder automaticamente a ameaças.

Exemplo: uma mensagem de phishing relatada pelo usuário inicia um guia estratégico de investigação

Suponha que um usuário em sua organização receba um email que ele acha que é uma tentativa de phishing. O usuário, treinado para relatar essas mensagens, usa o suplemento Mensagem de Relatório ou o suplemento Phishing de Relatório para enviá-lo à Microsoft para análise. O envio também é enviado para o sistema e fica visível no Explorer no modo de exibição Envios (anteriormente conhecido como exibição relatada pelo usuário). Além disso, a mensagem relatada pelo usuário agora dispara um alerta informativo baseado no sistema, que inicia automaticamente o guia estratégico de investigação.

Durante a fase de investigação raiz, vários aspectos do email são avaliados. Esses aspectos incluem:

  • Uma determinação sobre o tipo de ameaça que pode ser;
  • Quem o enviou;
  • De onde o email foi enviado (enviando infraestrutura);
  • Se outras instâncias do email foram entregues ou bloqueadas;
  • Uma avaliação de nossos analistas;
  • Se o email está associado a campanhas conhecidas;
  • e muito mais.

Depois que a investigação raiz for concluída, o guia estratégico fornecerá uma lista das ações recomendadas a serem executadas no email original e nas entidades associadas a ele.

Em seguida, várias etapas de investigação e busca de ameaças são executadas:

Durante a fase de busca, os riscos e ameaças são atribuídos a várias etapas de busca.

A correção é a fase final do guia estratégico. Durante essa fase, as etapas de correção são executadas, com base nas fases de investigação e busca.

Exemplo: um administrador de segurança dispara uma investigação do Explorador de Ameaças

Além das investigações automatizadas disparadas por um alerta, a equipe de operações de segurança da sua organização pode disparar uma investigação automatizada de uma exibição no Explorador de Ameaças. Essa investigação também cria um alerta, para que Microsoft 365 Defender incidentes e ferramentas SIEM externas possam ver que essa investigação foi disparada.

Por exemplo, suponha que você está usando o modo de exibição Malware no Explorer. Usando as guias abaixo do gráfico, você seleciona a Email guia. Se você selecionar um ou mais itens na lista, o botão + Ações será ativado.

O Explorer com mensagens selecionadas

Usando o menu Ações , você pode selecionar Disparar investigação.

O menu Ações para mensagens selecionadas

Semelhante aos guias estratégicos disparados por um alerta, as investigações automáticas disparadas de uma exibição no Explorer incluem uma investigação raiz, etapas para identificar e correlacionar ameaças e ações recomendadas para atenuar essas ameaças.

Exemplo: uma equipe de operações de segurança integra o AIR ao SIEM usando a API Office 365 de Atividade de Gerenciamento

As funcionalidades do AIR Microsoft Defender para Office 365 relatórios & detalhes que as equipes de operações de segurança podem usar para monitorar e resolver ameaças. Mas você também pode integrar funcionalidades air com outras soluções. Os exemplos incluem um sistema SIEM (gerenciamento de eventos e informações de segurança), um sistema de gerenciamento de casos ou uma solução de relatório personalizada. Esses tipos de integrações podem ser feitos usando a API Office 365 de Atividade de Gerenciamento.

Por exemplo, recentemente, uma organização configurou uma maneira para sua equipe de operações de segurança exibir alertas de phishing relatados pelo usuário que já foram processados pelo AIR. Sua solução integra alertas relevantes com o servidor SIEM da organização e seu sistema de gerenciamento de casos. A solução reduz consideravelmente o número de falsos positivos para que sua equipe de operações de segurança possa concentrar seu tempo e esforço em ameaças reais. Para saber mais sobre essa solução personalizada, consulte o blog tech community: Improve the Effectiveness of your SOC with Microsoft Defender para Office 365 and the O365 Management API.

Próximas etapas