Compreender os alertas de segurança
Os alertas de segurança do Microsoft Defender for Identity explicam, em linguagem clara e gráficos, quais atividades suspeitas foram identificadas em sua rede e os atores e computadores envolvidos nas ameaças. Os alertas são classificados quanto à gravidade, codificados por cores para facilitar a filtragem visual e organizados por fase de ameaça. Cada alerta foi concebido para o ajudar a compreender rapidamente o que está a acontecer na sua rede. As listas de evidências de alerta contêm links diretos para os usuários e computadores envolvidos, para ajudar a tornar suas investigações fáceis e diretas.
Neste artigo, você aprenderá a estrutura dos alertas de segurança do Defender for Identity e como usá-los.
- Estrutura de alerta de segurança
- Classificações de alertas de segurança
- Categorias de alertas de segurança
- Investigação avançada de alertas de segurança
- Entidades relacionadas
- Defender for Identity e NNR (Network Name Resolution)
Estrutura de alerta de segurança
Cada alerta de segurança do Defender for Identity inclui uma história de Alerta. Esta é a cadeia de eventos relacionados com este alerta por ordem cronológica e outras informações importantes relacionadas com o alerta.
Na página de alerta, você pode:
Gerenciar alerta - altere o status, a atribuição e a classificação do alerta. Você também pode adicionar um comentário aqui.
Exportar - faça o download de um relatório detalhado do Excel para análise
Vincular alerta a outro incidente - vincular um alerta a um novo incidente existente
Para obter mais informações sobre alertas, consulte Investigar alertas no Microsoft Defender XDR.
Classificações de alertas de segurança
Após uma investigação adequada, todos os alertas de segurança do Defender for Identity podem ser classificados como um dos seguintes tipos de atividade:
True positive (TP): Uma ação maliciosa detetada pelo Defender for Identity.
Positivo verdadeiro benigno (B-TP): uma ação detetada pelo Defender for Identity que é real, mas não maliciosa, como um teste de penetração ou atividade conhecida gerada por um aplicativo aprovado.
Falso positivo (FP): Um alarme falso, ou seja, a atividade não aconteceu.
O alerta de segurança é um TP, B-TP ou FP
Para cada alerta, faça as seguintes perguntas para determinar a classificação do alerta e ajudar a decidir o que fazer a seguir:
- Quão comum é esse alerta de segurança específico em seu ambiente?
- O alerta foi acionado pelos mesmos tipos de computadores ou usuários? Por exemplo, servidores com a mesma função ou usuários do mesmo grupo/departamento? Se os computadores ou usuários forem semelhantes, você pode decidir excluí-lo para evitar alertas FP futuros adicionais.
Nota
Um aumento de alertas exatamente do mesmo tipo normalmente reduz o nível de suspeita/importância do alerta. Para alertas repetidos, verifique as configurações e use detalhes e definições de alertas de segurança para entender exatamente o que está acontecendo que aciona as repetições.
Categorias de alertas de segurança
Os alertas de segurança do Defender for Identity são divididos nas seguintes categorias ou fases, como as fases vistas em uma cadeia de morte típica de ataque cibernético. Saiba mais sobre cada fase e os alertas projetados para detetar cada ataque, usando os seguintes links:
- Alertas de reconhecimento
- Alertas de credenciais comprometidas
- Alertas de movimento lateral
- Alertas de domínio
- Alertas de exfiltração
Investigação avançada de alertas de segurança
Para obter mais detalhes sobre um alerta de segurança, selecione Exportar em uma página de detalhes de alerta para baixar o relatório de alerta detalhado do Excel.
O ficheiro transferido inclui detalhes resumidos sobre o alerta no primeiro separador, incluindo:
- Title
- Description
- Hora de início (UTC)
- Hora de fim (UTC)
- Gravidade – Baixa/Média/Alta
- Estado – Aberto/Fechado
- Hora de atualização de status (UTC)
- Ver no browser
Todas as entidades envolvidas, incluindo contas, computadores e recursos são listadas, separadas por sua função. Os detalhes são fornecidos para a origem, destino ou entidade atacada, dependendo do alerta.
A maioria das guias inclui os seguintes dados por entidade:
Name
Details
Type
SamName •
Computador de origem
Usuário de origem (se disponível)
Controladores de domínio
Recurso Acessado: Hora, Computador, Nome, Detalhes, Tipo, Serviço.
Entidades relacionadas: ID, Tipo, Nome, Entidade Única Json, Perfil Único de Entidade Json
Todas as atividades brutas capturadas pelo Defender for Identity Sensors relacionadas ao alerta (atividades de rede ou evento), incluindo:
- Atividades da Rede
- Atividades do Evento
Alguns alertas têm separadores adicionais, tais como detalhes sobre:
- Contas atacadas quando o suposto ataque usou Força Bruta.
- Servidores DNS (Sistema de Nomes de Domínio) quando o ataque suspeito envolvia reconhecimento de mapeamento de rede (DNS).
Por exemplo:
Entidades relacionadas
Em cada alerta, a última guia fornece as Entidades Relacionadas. As entidades relacionadas são todas as entidades envolvidas numa atividade suspeita, sem a separação do "papel" que desempenharam no alerta. Cada entidade tem dois arquivos Json, o Json de Entidade Única e o Json de Perfil de Entidade Único. Use esses dois arquivos Json para saber mais sobre a entidade e ajudá-lo a investigar o alerta.
Arquivo Json de entidade exclusiva
Inclui os dados que o Defender for Identity aprendeu com o Ative Directory sobre a conta. Isso inclui todos os atributos, como Distinguished Name, SID, LockoutTime e PasswordExpiryTime. Para contas de usuário, inclui dados como Departamento, Email e Número de Telefone. Para contas de computador, inclui dados como OperatingSystem, IsDomainController e DnsName.
Arquivo Json de Perfil de Entidade Exclusivo
Inclui todos os dados do Defender for Identity perfilados na entidade. O Defender for Identity usa as atividades de rede e eventos capturadas para aprender sobre os usuários e computadores do ambiente. Defender for Identity perfis informações relevantes por entidade. Essas informações contribuem para os recursos de identificação de ameaças do Defender for Identity.
Como posso usar as informações do Defender for Identity em uma investigação?
As investigações podem ser tão detalhadas quanto necessário. Aqui estão algumas ideias de maneiras de investigar usando os dados fornecidos pelo Defender for Identity.
- Verifique se todos os usuários relacionados pertencem ao mesmo grupo ou departamento.
- Os utilizadores relacionados partilham recursos, aplicações ou computadores?
- Uma conta está ativa mesmo que seu PasswordExpiryTime já tenha passado?
Defender for Identity e NNR (Network Name Resolution)
Os recursos de deteção do Defender for Identity dependem da NNR (Resolução de Nomes de Rede) ativa para resolver IPs para computadores em sua organização. Usando NNR, o Defender for Identity é capaz de correlacionar entre atividades brutas (contendo endereços IP) e os computadores relevantes envolvidos em cada atividade. Com base nas atividades brutas, o Defender for Identity cria perfis de entidades, incluindo computadores, e gera alertas.
Os dados NNR são cruciais para detetar os seguintes alertas:
- Suspeita de roubo de identidade (pass-the-ticket)
- Suspeita de ataque DCSync (replicação de serviços de diretório)
- Reconhecimento de mapeamento de rede (DNS)
Use as informações de NNR fornecidas na guia Atividades de Rede do relatório de download de alertas para determinar se um alerta é um FP. Em casos de alerta de PF , é comum que o resultado de certeza NNR seja dado com baixa confiança.
Os dados do relatório de download aparecem em duas colunas:
Computador de origem/destino
- Certeza – a certeza de baixa resolução pode indicar uma resolução incorreta de nomes.
Computador de origem/destino
- Método de resolução – fornece os métodos NNR usados para resolver o IP para o computador na organização.
Para obter mais informações sobre como trabalhar com alertas de segurança do Defender for Identity, consulte Trabalhando com alertas de segurança.