Partilhar via


Controlar e responder a ameaças emergentes através da análise de ameaças

Aplica-se a:

Importante

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A análise de ameaças é a nossa solução de informações sobre ameaças no produto por parte de investigadores especialistas em segurança da Microsoft. Foi concebido para ajudar as equipas de segurança a serem o mais eficientes possível enquanto enfrentam ameaças emergentes, tais como:

  • Atores de ameaças ativos e as suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Software maligno predominante

Pode aceder à análise de ameaças no canto superior esquerdo da barra de navegação do portal do Microsoft Defender ou a partir de um cartão de dashboard dedicado que mostra as principais ameaças à sua organização, tanto em termos de impacto conhecido, como em termos de exposição.

Captura de ecrã da página de destino do Threat Analytics

Obter visibilidade sobre campanhas ativas ou em curso e saber o que fazer através da análise de ameaças pode ajudar a equipa de operações de segurança a tomar decisões informadas.

Com adversários mais sofisticados e novas ameaças emergindo frequentemente e predominantemente, é fundamental ser capaz de rapidamente:

  • Identificar e reagir a ameaças emergentes
  • Saiba se está atualmente a ser atacado
  • Avaliar o impacto da ameaça aos seus ativos
  • Reveja a sua resiliência ou exposição às ameaças
  • Identifique as ações de mitigação, recuperação ou prevenção que pode tomar para parar ou conter as ameaças

Cada relatório fornece uma análise de uma ameaça controlada e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.

Funções e permissões necessárias

A tabela seguinte descreve as funções e as permissões necessárias para aceder à análise de ameaças. As funções definidas na tabela referem-se a funções personalizadas em portais individuais e não estão ligadas a funções globais no Microsoft Entra ID, mesmo que com um nome semelhante.

É necessária uma das seguintes funções para o Microsoft Defender XDR É necessária uma das seguintes funções para o Microsoft Defender para Endpoint É necessária uma das seguintes funções para o Microsoft Defender para Office 365 É necessária uma das seguintes funções para o Microsoft Defender para Cloud Apps e o Microsoft Defender para Identidade É necessária uma das seguintes funções para o Microsoft Defender for Cloud
Análise de ameaças Dados de alertas e incidentes:
  • Ver dados - operações de segurança
Mitigações da Gestão de Vulnerabilidades do Defender:
  • Ver dados – Gestão de ameaças e vulnerabilidades
Dados de alertas e incidentes:
  • Gerir alertas apenas de visualização
  • Gerir alertas
  • Configuração da organização
  • Registos de auditoria
  • Ver registos de auditoria apenas
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
Tentativas de e-mail impedidas:
  • Leitor de segurança
  • Administrador de segurança
  • Destinatários apenas de visualização
  • Administrador global
  • Administrador de segurança
  • Administrador de conformidade
  • Operador de segurança
  • Leitor de segurança
  • Administrador global
  • Administrador de segurança

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Terá visibilidade para todos os relatórios de análise de ameaças, mesmo que tenha apenas um dos produtos e as respetivas funções correspondentes descritas na tabela anterior. No entanto, tem de ter cada produto e funções para ver os incidentes, recursos, exposição e ações recomendadas do produto associados à ameaça.

Saiba mais:

Ver o dashboard de análise de ameaças

O dashboard de análise de ameaças (security.microsoft.com/threatanalytics3) realça os relatórios mais relevantes para a sua organização. Resume as ameaças nas secções seguintes:

  • Ameaças mais recentes — lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de impacto elevado — lista as ameaças que têm o maior impacto na sua organização. Esta secção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Ameaças de exposição mais elevadas — lista as ameaças às quais a sua organização tem a maior exposição. O nível de exposição a uma ameaça é calculado com duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos na sua organização podem ser explorados por essas vulnerabilidades.

O dashboard de análise de ameaças

Selecione uma ameaça no dashboard para ver o relatório dessa ameaça. Também pode selecionar o campo Procurar para chave numa palavra-chave relacionada com o relatório de análise de ameaças que gostaria de ler.

Ver relatórios por categoria

Pode filtrar a lista de relatórios de ameaças e ver os relatórios mais relevantes de acordo com um tipo de ameaça específico ou por tipo de relatório.

  • Etiquetas de ameaças — ajudam-no a ver os relatórios mais relevantes de acordo com uma categoria de ameaças específica. Por exemplo, a etiqueta Ransomware inclui todos os relatórios relacionados com ransomware.
  • Tipos de relatório — ajudam-no a ver os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, a etiqueta Ferramentas & técnicas inclui todos os relatórios que abrangem ferramentas e técnicas.

As diferentes etiquetas têm filtros equivalentes que o ajudam a rever eficazmente a lista de relatórios de ameaças e a filtrar a vista com base numa etiqueta de ameaça específica ou num tipo de relatório. Por exemplo, para ver todos os relatórios de ameaças relacionados com a categoria de ransomware ou relatórios de ameaças que envolvam vulnerabilidades.

A equipa do Microsoft Threat Intelligence adiciona etiquetas de ameaça a cada relatório de ameaças. As seguintes etiquetas de ameaça estão atualmente disponíveis:

  • Ransomware
  • Extorsão
  • Phishing
  • Mãos no teclado
  • Grupo de atividades
  • Vulnerabilidade
  • Campanha de ataque
  • Ferramenta ou técnica

As etiquetas de ameaças são apresentadas na parte superior da página de análise de ameaças. Existem contadores para o número de relatórios disponíveis em cada etiqueta.

Captura de ecrã a mostrar as etiquetas do relatório de análise de ameaças.

Para definir os tipos de relatórios que pretende na lista, selecione Filtros, escolha a partir da lista e selecione Aplicar.

Captura de ecrã da lista Filtros.

Se definir mais do que um filtro, a lista de relatórios de análise de ameaças também pode ser ordenada por etiqueta de ameaça ao selecionar a coluna de etiquetas de ameaças:

Captura de ecrã a mostrar a coluna de etiquetas de ameaça.

Ver um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em várias secções:

Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas

A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.

A secção Descrição geral de um relatório de análise de ameaças , secção Descrição geral de um relatório de análise de ameaças

Avaliar o impacto na sua organização

Cada relatório inclui gráficos concebidos para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Incidentes relacionados — fornece uma descrição geral do impacto da ameaça registada na sua organização com os seguintes dados:
    • Número de alertas ativos e o número de incidentes ativos a que estão associados
    • Gravidade de incidentes ativos
  • Alertas ao longo do tempo — mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. Idealmente, o gráfico deve mostrar alertas resolvidos dentro de alguns dias.
  • Recursos afetados — mostra o número de recursos distintos que têm atualmente, pelo menos, um alerta ativo associado à ameaça controlada. Os alertas são acionados para caixas de correio que receberam e-mails de ameaças. Reveja as políticas ao nível da organização e do utilizador para obter substituições que causem a entrega de e-mails de ameaças.

Rever a resiliência e postura de segurança

Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:

  • Ações recomendadas — mostra a percentagem de estado da ação ou o número de pontos que conseguiu para melhorar a postura de segurança. Execute as ações recomendadas para ajudar a resolver a ameaça. Pode ver a discriminação dos pontos por Categoria ou Estado.
  • Exposição de pontos finais — mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft

Na secção Relatório de analistas , leia a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .

Saiba mais sobre o relatório do analista

O separador Incidentes relacionados fornece a lista de todos os incidentes relacionados com a ameaça registada. Pode atribuir incidentes ou gerir alertas ligados a cada incidente.

Captura de ecrã da secção incidentes relacionados de um relatório de análise de ameaças.

Nota

Os incidentes e alertas associados à ameaça são obtidos a partir do Defender para Endpoint, Defender para Identidade, Defender para Office 365, Defender para Cloud Apps e Defender para Cloud.

Recursos afetados: obter lista de dispositivos, utilizadores, caixas de correio, aplicações e recursos na cloud afetados

O separador Ativos afetados mostra os recursos afetados pela ameaça ao longo do tempo. É apresentado:

  • Recursos afetados por alertas ativos
  • Recursos afetados por alertas resolvidos
  • Todos os recursos ou o número total de recursos afetados por alertas ativos e resolvidos

Os recursos estão divididos nas seguintes categorias:

  • Dispositivos
  • Utilizadores
  • Caixas de correio
  • Aplicações
  • Recursos da cloud

Captura de ecrã da secção ativos afetados de um relatório de análise de ameaças.

Exposição de pontos finais: Conhecer o estado de implementação das atualizações de segurança

A secção Exposição de Pontos finais fornece o nível de Exposição da sua organização à ameaça, que é calculado com base na gravidade das vulnerabilidades e configurações incorretas exploradas pela mesma e no número de dispositivos com estas fraquezas.

Esta secção também fornece o estado de implementação das atualizações de segurança de software suportadas para vulnerabilidades encontradas em dispositivos integrados. Incorpora dados da Gestão de Vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de desagregação de várias ligações no relatório.

A exposição dos Pontos finais de um relatório de análise de ameaças

No separador Ações recomendadas , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui configurações de segurança suportadas, tais como:

  • Proteção fornecida pela cloud
  • Proteção contra aplicações potencialmente indesejadas (PUA)
  • Proteção em tempo real

A secção Ações recomendadas de um relatório de análise de ameaças que mostra os detalhes da vulnerabilidade

Configurar notificações por e-mail para atualizações de relatórios

Pode configurar notificações por e-mail que lhe irão enviar atualizações em relatórios de análise de ameaças. Para criar notificações por e-mail, siga os passos em Obter notificações por e-mail para atualizações da Análise de ameaças no Microsoft Defender XDR.

Outros detalhes e limitações do relatório

Ao analisar os dados da análise de ameaças, lembre-se dos seguintes fatores:

  • A lista de verificação no separador Ações recomendadas só apresenta recomendações registadas na Classificação de Segurança da Microsoft. Verifique o separador Relatório do analista para obter mais ações recomendadas que não são controladas na Classificação de Segurança.
  • As ações recomendadas não garantem uma resiliência total e refletem apenas as melhores ações possíveis necessárias para melhorá-la.
  • As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus do Microsoft Defender.

Consulte também

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.