Investigação e resposta a ameaças
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
As funcionalidades de investigação e resposta de ameaças no Microsoft Defender para Office 365 ajudar analistas de segurança e administradores a proteger o Microsoft 365 de sua organização para usuários de negócios por:
- Facilitando a identificação, o monitoramento e a compreensão de ataques cibernéticos.
- Ajudando a lidar rapidamente com ameaças em Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams.
- Fornecendo insights e conhecimentos para ajudar as operações de segurança a evitar ataques cibernéticos contra sua organização.
- Empregar investigação e resposta automatizadas em Office 365 para ameaças críticas baseadas em email.
As funcionalidades de investigação e resposta de ameaças fornecem insights sobre ameaças e ações de resposta relacionadas que estão disponíveis no portal Microsoft Defender. Esses insights podem ajudar a equipe de segurança da sua organização a proteger os usuários contra ataques baseados em email ou arquivo. Os recursos ajudam a monitorar sinais e coletar dados de várias fontes, como atividade do usuário, autenticação, email, computadores comprometidos e incidentes de segurança. Os tomadores de decisão empresariais e sua equipe de operações de segurança podem usar essas informações para entender e responder a ameaças contra sua organização e proteger sua propriedade intelectual.
Conheça as ferramentas de investigação e resposta de ameaças
As funcionalidades de investigação e resposta de ameaças no https://security.microsoft.com portal Microsoft Defender são um conjunto de ferramentas e fluxos de trabalho de resposta que incluem:
Explorador
Use Explorer (e detecções em tempo real) para analisar ameaças, ver o volume de ataques ao longo do tempo e analisar dados por famílias de ameaças, infraestrutura de invasores e muito mais. Explorer (também conhecido como Explorer de Ameaças) é o local de partida para o fluxo de trabalho de investigação de qualquer analista de segurança.
Para exibir e usar esse relatório no portal Microsoft Defender em https://security.microsoft.com, acesse Email & colaboração>Explorer. Ou, para ir diretamente para a página Explorer, use https://security.microsoft.com/threatexplorer.
Office 365 conexão com a Inteligência contra Ameaças
Esse recurso só estará disponível se você tiver um Office 365 E5 ativo ou G5 ou Microsoft 365 E5 ou assinatura G5 ou o complemento inteligência contra ameaças. Para obter mais informações, consulte a página do produto Office 365 Enterprise E5.
Os dados de Microsoft Defender para Office 365 são incorporados ao Microsoft Defender XDR para conduzir uma investigação de segurança abrangente entre caixas de correio Office 365 e dispositivos Windows.
Incidentes
Use a lista Incidentes (isso também é chamado de Investigações) para ver uma lista de incidentes de segurança de voo. Os incidentes são usados para rastrear ameaças, como mensagens de email suspeitas, e para conduzir uma investigação e correção adicionais.
Para exibir a lista de incidentes atuais para sua organização no portal Microsoft Defender no https://security.microsoft.com, acesse Incidentes & alertas>Incidentes. Ou, para ir diretamente para a página Incidentes , use https://security.microsoft.com/incidents.
Treinamento de simulação de ataque
Use Treinamento de simulação de ataque para configurar e executar ataques cibernéticos realistas em sua organização e identificar pessoas vulneráveis antes que um ataque cibernético real afete seus negócios. Para saber mais, confira Simular um ataque de phishing.
Para exibir e usar esse recurso no portal Microsoft Defender em https://security.microsoft.com, acesse Email & colaboração>Treinamento de simulação de ataque. Ou, para ir diretamente para a página Treinamento de simulação de ataque, use https://security.microsoft.com/attacksimulator?viewid=overview.
Investigação e resposta automatizadas
Use recursos automatizados de investigação e resposta (AIR) para economizar tempo e esforço correlacionando conteúdo, dispositivos e pessoas em risco de ameaças em sua organização. Os processos AIR podem começar sempre que determinados alertas são disparados ou quando iniciados pela equipe de operações de segurança. Para saber mais, confira investigação e resposta automatizadas em Office 365.
Widgets de inteligência contra ameaças
Como parte da oferta do Plano 2 Microsoft Defender para Office 365, os analistas de segurança podem examinar detalhes sobre uma ameaça conhecida. Isso é útil para determinar se há medidas/etapas preventivas adicionais que podem ser tomadas para manter os usuários seguros.
Como obter essas funcionalidades?
Os recursos de investigação e resposta de ameaças do Microsoft 365 estão incluídos no Plano 2 Microsoft Defender para Office 365, que está incluído no Enterprise E5 ou como um complemento para determinadas assinaturas. Para saber mais, confira Defender para Office 365 Plano 1 vs. Planilha de fraude do Plano 2.
Funções e permissões necessárias
Microsoft Defender para Office 365 usa o controle de acesso baseado em função. As permissões são atribuídas por meio de determinadas funções no Microsoft Entra ID, no Centro de administração do Microsoft 365 ou no portal Microsoft Defender.
Dica
Embora algumas funções, como Administrador de Segurança, possam ser atribuídas no portal Microsoft Defender, considere usar o Centro de administração do Microsoft 365 ou Microsoft Entra ID. Para obter informações sobre funções, grupos de funções e permissões, consulte os seguintes recursos:
| Atividade | Funções e permissões |
|---|---|
| Use o Gerenciamento de Vulnerabilidades do Microsoft Defender dashboard Exibir informações sobre ameaças recentes ou atuais |
Uma das seguintes opções:
Essas funções podem ser atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Usar Explorer (e detecções em tempo real) para analisar ameaças | Uma das seguintes opções:
Essas funções podem ser atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Exibir incidentes (também conhecidos como Investigações) Adicionar mensagens de email a um incidente |
Uma das seguintes opções:
Essas funções podem ser atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com). |
| Disparar ações de email em um incidente Localizar e excluir mensagens de email suspeitas |
Uma das seguintes opções:
As funções administrador global e administrador de segurança podem ser atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com). A função Pesquisa e Purge deve ser atribuída nas funções de colaboração Email & no portal do Microsoft 36 Defender (https://security.microsoft.com). |
| Integrar Microsoft Defender para Office 365 Plano 2 ao Microsoft Defender para Ponto de Extremidade Integrar Microsoft Defender para Office 365 Plano 2 a um servidor SIEM |
O Administrador Global ou a função administrador de segurança atribuída em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com). --- Mais --- Uma função apropriada atribuída em aplicativos adicionais (como Central de Segurança do Microsoft Defender ou seu servidor SIEM). |
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de