Gerenciar incidentes e alertas de Microsoft Defender para Office 365 em Microsoft Defender XDR

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Um incidente no Microsoft Defender XDR é uma coleção de alertas correlacionados e dados associados que definem a história completa de um ataque. Defender para Office 365 alertas, investigação e resposta automatizadas (AIR)e o resultado das investigações são integrados e correlacionados na página Incidentes em Microsoft Defender XDR em https://security.microsoft.com/incidents-queue. Nós nos referimos a esta página como a fila Incidentes.

Os alertas são criados quando atividades mal-intencionadas ou suspeitas afetam uma entidade (por exemplo, email, usuários ou caixas de correio). Os alertas fornecem informações valiosas sobre ataques em andamento ou concluídos. No entanto, um ataque contínuo pode afetar várias entidades, o que resulta em vários alertas de fontes diferentes. Alguns alertas internos disparam automaticamente guias estratégicos AIR. Esses guias estratégicos fazem uma série de etapas de investigação para procurar outras entidades afetadas ou atividades suspeitas.

Assista a este pequeno vídeo sobre como gerenciar alertas de Microsoft Defender para Office 365 no Microsoft Defender XDR.

Defender para Office 365 alertas, investigações e seus dados são correlacionados automaticamente. Quando uma relação é determinada, o sistema cria um incidente para dar visibilidade às equipes de segurança para todo o ataque.

Recomendamos fortemente que as equipes do SecOps gerenciem incidentes e alertas de Defender para Office 365 na fila Incidentes em https://security.microsoft.com/incidents-queue. Essa abordagem tem os seguintes benefícios:

• Várias opções para gerenciamento:

  • Priorização
  • Filtragem
  • Classificação
  • Gerenciamento de marcas

  Você pode tirar incidentes diretamente da fila ou atribuí-los a alguém. Comentários e histórico de comentários podem ajudar a acompanhar o progresso.

• Se o ataque afetar outras cargas de trabalho protegidas por Microsoft Defender^*, os alertas, investigações e seus dados relacionados também estarão correlacionados com o mesmo incidente.

  ^*Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem.

• A lógica de correlação complexa não é necessária, pois a lógica é fornecida pelo sistema.

• Se a lógica de correlação não atender totalmente às suas necessidades, você poderá adicionar alertas a incidentes existentes ou criar novos incidentes.

• Alertas Defender para Office 365 relacionados, investigações air e ações pendentes de investigações são adicionados automaticamente a incidentes.

• Se a investigação air não encontrar nenhuma ameaça, o sistema resolverá automaticamente os alertas relacionados Se todos os alertas dentro de um incidente forem resolvidos, o incidente status também será alterado para Resolvido.

• As ações de evidência e resposta relacionadas são agregadas automaticamente na guia Evidências e resposta do incidente.

• Os membros da equipe de segurança podem executar ações de resposta diretamente dos incidentes. Por exemplo, eles podem excluir o email em caixas de correio ou remover regras suspeitas da caixa de correio.

• As ações de email recomendadas são criadas somente quando o local de entrega mais recente de um email mal-intencionado é uma caixa de correio na nuvem.

• As ações de email pendentes são atualizadas com base no local de entrega mais recente. Se o email já foi corrigido por uma ação manual, o status refletirá isso.

• As ações recomendadas são criadas apenas para clusters de email e email que são determinados como as ameaças mais críticas:

  • Malware
  • Phishing de alta confiança
  • URLs mal-intencionadas
  • Arquivos mal-intencionados

Observação

Incidentes não representam apenas eventos estáticos. Eles também representam histórias de ataque que acontecem ao longo do tempo. À medida que o ataque progride, novos alertas Defender para Office 365, investigações air e seus dados são continuamente adicionados ao incidente existente.

Gerenciar incidentes na página Incidentes no portal do Microsoft Defender em https://security.microsoft.com/incidents-queue:

Gerenciar incidentes na página Incidentes no Microsoft Sentinel em https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel:

Ações de resposta a serem executadas

As equipes de segurança podem executar uma grande variedade de ações de resposta no email usando Defender para Office 365 ferramentas:

• Você pode excluir mensagens, mas também pode executar as seguintes ações no email:

  • Mover para a Caixa de Entrada
  • Mover para Lixo Eletrônico
  • Mover para Itens Excluídos
  • Exclusão reversível
  • Exclusão difícil.

  Você pode executar essas ações nos seguintes locais:

  • A guia Evidência e resposta dos detalhes do incidente na página Incidentes ** em https://security.microsoft.com/incidents-queue (recomendado).
  • Ameaça Explorer em https://security.microsoft.com/threatexplorer.
  • O centro de ação unificado em https://security.microsoft.com/action-center/pending.

• Você pode iniciar um guia estratégico air manualmente em qualquer mensagem de email usando a ação Disparar investigação no Explorer de Ameaças.

• Você pode relatar detecções falsas positivas ou falsas negativas diretamente para a Microsoft usando envios de Explorer de ameaças ou administradores.

• Você pode bloquear arquivos mal-intencionados, URLs ou remetentes não detectados usando a Lista de Permissões/Blocos do Locatário.

As ações em Defender para Office 365 são integradas perfeitamente às experiências de caça e o histórico de ações está visível na guia Histórico no Centro de Ação unificado em https://security.microsoft.com/action-center/history.

A maneira mais eficaz de agir é usar a integração interna com Incidentes no Microsoft Defender XDR. Você pode aprovar as ações recomendadas pela AIR em Defender para Office 365 na guia Evidências e resposta de um incidente no Microsoft Defender XDR. Esse método de ação de aderência é recomendado pelos seguintes motivos:

• Você investiga a história completa do ataque.
• Você se beneficia da correlação interna com outras cargas de trabalho: Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade e Microsoft Defender para Aplicativos de Nuvem.
• Você toma ações por email de um único lugar.

Você toma medidas por email com base no resultado de uma investigação manual ou atividade de caça. O Explorer de ameaças permite que os membros da equipe de segurança tomem medidas em quaisquer mensagens de email que ainda possam existir em caixas de correio de nuvem. Eles podem agir em mensagens intra-org enviadas entre usuários em sua organização. Os dados de Explorer de ameaças estão disponíveis nos últimos 30 dias.

Assista a este pequeno vídeo para saber como Microsoft Defender XDR combina alertas de várias fontes de detecção, como Defender para Office 365, em incidentes.