Partilhar via


Alertas de segurança – um guia de referência

Este artigo fornece links para páginas que listam os alertas de segurança que você pode receber do Microsoft Defender for Cloud e de quaisquer planos habilitados do Microsoft Defender. Os alertas exibidos em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Nota

Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.

Esta página também inclui uma tabela que descreve a cadeia de kill do Microsoft Defender for Cloud alinhada com a versão 9 da matriz MITRE ATT&CK.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Nota

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Páginas de alerta de segurança por categoria

Táticas MITRE ATT&CK

Compreender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento mais facilmente. Para ajudar com esses esforços, os alertas do Microsoft Defender for Cloud incluem as táticas MITRE com muitos alertas.

A série de passos que descrevem a progressão de um ciberataque do reconhecimento à exfiltração de dados é muitas vezes referida como uma "cadeia de morte".

As intenções de kill chain suportadas pelo Defender for Cloud são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.

Tática Versão ATT&CK Description
Pré-ataque PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Esta etapa geralmente é detetada como uma tentativa, originada de fora da rede, de verificar o sistema de destino e identificar um ponto de entrada.
Acesso inicial V7, V9 O Acesso Inicial é o estágio em que um invasor consegue se firmar no recurso atacado. Esta etapa é relevante para hosts de computação e recursos, como contas de usuário, certificados, etc. Muitas vezes, os agentes de ameaças poderão controlar o recurso após esta fase.
Persistência V7, V9 Persistência é qualquer acesso, ação ou alteração de configuração em um sistema que dá a um agente de ameaça uma presença persistente nesse sistema. Os agentes de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fornecer um backdoor alternativo para que eles recuperem o acesso.
Escalamento de Privilégios V7, V9 O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Certas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas uma escalada de privilégios.
Evasão de Defesa V7, V9 A evasão de defesa consiste em técnicas que um adversário pode usar para escapar da deteção ou evitar outras defesas. Às vezes, essas ações são as mesmas (ou variações de) técnicas em outras categorias que têm o benefício adicional de subverter uma defesa ou mitigação específica.
Acesso a credenciais V7, V9 O acesso a credenciais representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente corporativo. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários do domínio com acesso de administrador) para usar na rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para uso posterior dentro do ambiente.
Descoberta V7, V9 A descoberta consiste em técnicas que permitem ao adversário obter conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem orientar-se para o que eles agora têm controle e quais os benefícios operacionais desse sistema dão ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento.
Movimento Lateral V7, V9 O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e poderia, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar o movimento lateral para muitos fins, incluindo a execução remota de ferramentas, pivotar para mais sistemas, acesso a informações ou arquivos específicos, acesso a mais credenciais ou para causar um efeito.
Execução V7, V9 A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário num sistema local ou remoto. Esta tática é frequentemente usada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos em uma rede.
Coleção V7, V9 A coleta consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Comando e Controlo V7, V9 A tática de comando e controle representa como os adversários se comunicam com os sistemas sob seu controle dentro de uma rede alvo.
Exfiltração V7, V9 Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo arquivos e informações de uma rede de destino. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Impacto V7, V9 Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo comercial ou operacional. Isso geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outras.

Nota

Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.

Próximos passos