Investigar ativos

  • Artigo

O Microsoft Defender for Identity fornece aos usuários do Microsoft Defender XDR evidências de quando usuários, computadores e dispositivos realizaram atividades suspeitas ou mostram sinais de serem comprometidos.

Este artigo fornece recomendações sobre como determinar os riscos para sua organização, decidir como remediar e determinar a melhor maneira de evitar ataques semelhantes no futuro.

Etapas de investigação para usuários suspeitos

Nota

Para obter informações sobre como exibir perfis de usuário no Microsoft Defender XDR, consulte a documentação do Microsoft Defender XDR.

Se um alerta ou incidente indicar que um usuário pode estar suspeito ou comprometido, verifique e investigue o perfil do usuário para obter os seguintes detalhes e atividades:

  • Identidade do utilizador

    • O usuário é um usuário sensível (como admin, ou em uma lista de observação, etc.)?
    • Qual é o seu papel dentro da organização?
    • São significativos na árvore organizacional?

  • Investigue atividades suspeitas, tais como:

    • O usuário tem outros alertas abertos no Defender for Identity ou em outras ferramentas de segurança, como Microsoft Defender for Endpoint, Microsoft Defender for Cloud e/ou Microsoft Defender for Cloud Apps?
    • O utilizador falhou ao iniciar sessão?
    • Quais recursos o usuário acessou?
    • O usuário acessou recursos de alto valor?
    • Era suposto o utilizador aceder aos recursos a que acedeu?
    • Em quais dispositivos o usuário fez login?
    • Era suposto o utilizador iniciar sessão nesses dispositivos?
    • Existe um caminho de movimento lateral (LMP) entre o usuário e um usuário sensível?

Use as respostas a essas perguntas para determinar se a conta parece comprometida ou se as atividades suspeitas implicam ações maliciosas.

Encontre informações de identidade nas seguintes áreas do Microsoft Defender XDR:

  • Páginas de detalhes de identidade individual
  • Página de detalhes individuais de alertas ou incidentes
  • Páginas de detalhes do dispositivo
  • Consultas de caça avançadas
  • A página Centro de ação

Por exemplo, a imagem a seguir mostra os detalhes em uma página de detalhes de identidade:

Captura de ecrã de uma página de detalhes de identidade.

Detalhes de identidade

Ao investigar uma identidade específica, você verá os seguintes detalhes em uma página de detalhes de identidade:

Área da página de detalhes de identidade Description
Guia Visão geral Dados de identidade gerais, como o nível de risco de identidade do Microsoft Entra, o número de dispositivos em que o usuário está conectado, quando o usuário foi visto pela primeira e pela última vez, as contas do usuário e informações mais importantes.

Use a guia Visão geral para também exibir gráficos de incidentes e alertas, a pontuação de prioridade de investigação, uma árvore organizacional, tags de entidade e uma linha do tempo de atividade pontuada.
Incidentes e alertas Lista incidentes ativos e alertas envolvendo o usuário dos últimos 180 dias, incluindo detalhes como a gravidade do alerta e a hora em que o alerta foi gerado.
Observado na organização Inclui as seguintes subáreas:
- Dispositivos: os dispositivos nos quais a identidade entrou, incluindo a maioria e a menos usada nos últimos 180 dias.
- Locais: Os locais observados pela identidade nos últimos 30 dias.
- Grupos: Todos os grupos locais observados para a identidade.
- Caminhos de movimento lateral - todos os caminhos de movimento lateral perfilados do ambiente local.
Linha do tempo de identidade A linha do tempo representa atividades e alertas observados a partir da identidade de um usuário, unificando entradas de identidade no Microsoft Defender for Identity, Microsoft Defender for Cloud Apps e Microsoft Defender for Endpoint.

Use a linha do tempo para se concentrar nas atividades que um usuário executou ou foi executada nelas em períodos específicos. Selecione os 30 dias padrão para alterar o intervalo de tempo para outro valor interno ou para um intervalo personalizado.
Ações de reparação Responda aos usuários comprometidos desativando suas contas ou redefinindo sua senha. Depois de executar ações nos usuários, você pode verificar os detalhes da atividade no Microsoft Defender XDR **Central de ações.

Para obter mais informações, consulte Investigar usuários na documentação do Microsoft Defender XDR.

Etapas de investigação para grupos suspeitos

Se um alerta ou investigação de incidente estiver relacionado a um grupo do Ative Directory, verifique a entidade do grupo para obter os seguintes detalhes e atividades:

  • Entidade do grupo

    • O grupo é um grupo confidencial, como Administradores de Domínio?
    • O grupo inclui utilizadores sensíveis?

  • Investigue atividades suspeitas, tais como:

    • O grupo tem outros alertas abertos e relacionados no Defender for Identity ou em outras ferramentas de segurança, como Microsoft Defender for Endpoint, Microsoft Defender for Cloud e/ou Microsoft Defender for Cloud Apps?
    • Quais usuários foram adicionados ou removidos recentemente do grupo?
    • O grupo foi recentemente consultado e por quem?

Use as respostas a essas perguntas para ajudar na sua investigação.

Em um painel de detalhes da entidade do grupo, selecione Ir caçar ou Abrir linha do tempo para investigar. Você também pode encontrar informações de grupo nas seguintes áreas do Microsoft Defender XDR:

  • Página de detalhes individuais de alertas ou incidentes
  • Páginas de detalhes do dispositivo ou do utilizador
  • Consultas de caça avançadas

Por exemplo, a imagem a seguir mostra a linha do tempo de atividade dos Operadores de Servidor , incluindo alertas e atividades relacionados dos últimos 180 dias:

Captura de ecrã do separador Linha cronológica do grupo.

Etapas de investigação para dispositivos suspeitos

O alerta do Microsoft Defender XDR lista todos os dispositivos e usuários conectados a cada atividade suspeita. Selecione um dispositivo para visualizar a página de detalhes do dispositivo e, em seguida, investigue os seguintes detalhes e atividades:

  • O que aconteceu na época da atividade suspeita?

    • Qual usuário entrou no dispositivo?
    • Esse usuário normalmente entra ou acessa o dispositivo de origem ou destino?
    • Quais recursos foram acessados? Por que utilizadores? Se os recursos fossem acessados, seriam recursos de alto valor?
    • Era suposto o utilizador aceder a esses recursos?
    • O usuário que acessou o dispositivo realizou outras atividades suspeitas?

  • Mais atividades suspeitas para investigar:

    • Outros alertas foram abertos ao mesmo tempo que esse alerta no Defender for Identity ou em outras ferramentas de segurança, como o Microsoft Defender for Endpoint, o Microsoft Defender for Cloud e/ou o Microsoft Defender for Cloud Apps?
    • Houve falhas nos logins?
    • Foram implantados ou instalados novos programas?

Use as respostas a essas perguntas para determinar se o dispositivo parece comprometido ou se as atividades suspeitas implicam ações maliciosas.

Por exemplo, a imagem a seguir mostra uma página de detalhes do dispositivo:

Captura de ecrã da página de detalhes de um dispositivo.

Para obter mais informações, consulte Investigar dispositivos na documentação do Microsoft Defender XDR.

Próximos passos

Gorjeta

Experimente o nosso guia interativo: Investigue e responda a ataques com o Microsoft Defender for Identity