Partilhar via


Guia de Operações de Segurança do Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Este artigo fornece uma descrição geral dos requisitos e tarefas para operações com êxito Microsoft Defender para Office 365 na sua organização. Estas tarefas ajudam a garantir que o seu centro de operações de segurança (SOC) fornece uma abordagem fiável e de alta qualidade para proteger, detetar e responder a ameaças de segurança relacionadas com o e-mail e a colaboração.

O resto deste guia descreve as atividades necessárias para o pessoal do SecOps. As atividades são agrupadas em tarefas prescritivas diárias, semanais, mensais e ad hoc.

Um artigo complementar deste guia fornece uma descrição geral para gerir incidentes e alertas de Defender para Office 365 na página Incidentes no portal do Microsoft Defender.

O Guia de Operações de Segurança Microsoft Defender XDR contém informações adicionais que pode utilizar para planeamento e desenvolvimento.

Para obter um vídeo sobre estas informações, consulte https://youtu.be/eQanpq9N1Ps.

Atividades diárias

Monitorizar a fila Microsoft Defender XDR Incidentes

A página Incidentes no portal do Microsoft Defender em https://security.microsoft.com/incidents-queue (também conhecida como fila Incidentes) permite-lhe gerir e monitorizar eventos a partir das seguintes origens no Defender para Office 365:

Para obter mais informações sobre a fila Incidentes, veja Priorizar incidentes no Microsoft Defender XDR.

O plano de triagem para monitorizar a fila Incidentes deve utilizar a seguinte ordem de precedência para incidentes:

  1. Foi detetado um clique de URL potencialmente malicioso.
  2. Utilizador impedido de enviar e-mails.
  3. Foram detetados padrões de envio de e-mail suspeitos.
  4. Email comunicados pelo utilizador como software maligno ou phish e Vários utilizadores reportaram e-mails como software maligno ou phish.
  5. Email mensagens que contêm ficheiro malicioso removido após a entrega, Email mensagens que contêm URL malicioso removido após a entrega e Email mensagens de uma campanha removidas após a entrega.
  6. Phish entregue devido a uma substituição de ETR, Phish entregue porque a pasta E-mail de Lixo de um utilizador está desativada e Phish entregue devido a uma política de permissão de IP
  7. Software maligno não zapped porque ZAP está desativado e Phish não zapped porque ZAP está desativado.

A gestão da fila de incidentes e as pessoas responsáveis são descritas na tabela seguinte:

Atividade Cadência Descrição Persona
Triagem de incidentes na fila Incidentes em https://security.microsoft.com/incidents-queue. Diariamente Verifique se todos os incidentes de gravidade Média e Alta de Defender para Office 365 são triagem. Equipa de Operações de Segurança
Investigue e tome medidas de Resposta em incidentes. Diariamente Investigue todos os incidentes e realize ativamente as ações de resposta recomendadas ou manuais. Equipa de Operações de Segurança
Resolver incidentes. Diariamente Se o incidente tiver sido remediado, resolva o incidente. Resolver o incidente resolve todos os alertas ativos ligados e relacionados. Equipa de Operações de Segurança
Classificar incidentes. Diariamente Classificar incidentes como verdadeiros ou falsos. Para alertas verdadeiros, especifique o tipo de ameaça. Esta classificação ajuda a sua equipa de segurança a ver padrões de ameaças e a defender a sua organização dos mesmos. Equipa de Operações de Segurança

Gerir deteções de falsos positivos e falsos negativos

No Defender para Office 365, gere falsos positivos (correio válido marcado como incorreto) e falsos negativos (correio incorreto permitido) nas seguintes localizações:

Para obter mais informações, veja a secção Gerir deteções de falsos positivos e falsos negativos mais à frente neste artigo.

A gestão de falsos positivos e falsos negativos e as pessoas responsáveis são descritas na seguinte tabela:

Atividade Cadência Descrição Persona
Submeta falsos positivos e falsos negativos à Microsoft em https://security.microsoft.com/reportsubmission. Diariamente Forneça sinais à Microsoft ao comunicar e-mails, URLs e deteções de ficheiros incorretos. Equipa de Operações de Segurança
Analise os detalhes da submissão do administrador. Diariamente Compreenda os seguintes fatores para as submissões que efetuar à Microsoft:
  • O que causou o falso positivo ou falso negativo.
  • O estado do seu Defender para Office 365 configuração no momento da submissão.
  • Se precisa de fazer alterações à configuração do Defender para Office 365.
Equipa de Operações de Segurança

Administração de Segurança
Adicione entradas de bloco na Lista de Permissões/Bloqueios do Inquilino em https://security.microsoft.com/tenantAllowBlockList. Diariamente Utilize a Lista de Permissões/Bloqueios do Inquilino para adicionar entradas de blocos para deteções de URL, ficheiro ou remetente falsos negativos, conforme necessário. Equipa de Operações de Segurança
Liberte falso positivo da quarentena. Diariamente Depois de o destinatário confirmar que a mensagem foi colocada em quarentena incorretamente, pode lançar ou aprovar pedidos de versão para os utilizadores.

Para controlar o que os utilizadores podem fazer às suas próprias mensagens em quarentena (incluindo libertação ou lançamento de pedidos), veja Políticas de quarentena.
Equipa de Operações de Segurança

Equipa de Mensagens

Rever campanhas de phishing e software maligno que resultaram em e-mails entregues

Atividade Cadência Descrição Persona
Reveja as campanhas de e-mail. Diariamente Reveja as campanhas de e-mail direcionadas para a sua organização em https://security.microsoft.com/campaigns. Concentre-se nas campanhas que resultaram na entrega de mensagens aos destinatários.

Remover mensagens de campanhas existentes em caixas de correio de utilizador. Esta ação só é necessária quando uma campanha contém e-mails que ainda não foram remediados por ações de incidentes, remoção automática de zero horas (ZAP) ou remediação manual.
Equipa de Operações de Segurança

Atividades semanais

No Defender para Office 365, pode utilizar os seguintes relatórios para rever as tendências de deteção de e-mail na sua organização:

Atividade Cadência Descrição Persona
Reveja os relatórios de deteção de e-mail em: Semanalmente Reveja as tendências de deteção de e-mail para software maligno, phishing e spam em comparação com um bom e-mail. A observação ao longo do tempo permite-lhe ver padrões de ameaças e determinar se precisa de ajustar as suas políticas de Defender para Office 365. Administração de Segurança

Equipa de Operações de Segurança

Controlar e responder a ameaças emergentes com a Análise de ameaças

Utilize a Análise de ameaças para rever ameaças ativas e populares.

Atividade Cadência Descrição Persona
Reveja as ameaças na Análise de ameaças em https://security.microsoft.com/threatanalytics3. Semanalmente A Análise de ameaças fornece uma análise detalhada, incluindo os seguintes itens:
  • IOCs.
  • Investigação de consultas sobre atores de ameaças ativos e as suas campanhas.
  • Técnicas de ataque populares e novas.
  • Vulnerabilidades críticas.
  • Superfícies de ataque comuns.
  • Software maligno predominante.
Equipa de Operações de Segurança

Equipa de investigação de ameaças

Reveja os utilizadores principais visados para software maligno e phishing

Utilize o separador Utilizadores principais visados (vista) na área de detalhes das vistas Todos os e-mails, Software Maligno e Phish no Explorador de Ameaças para detetar ou confirmar os utilizadores que são os principais alvos de software maligno e e-mail de phishing.

Atividade Cadência Descrição Persona
Veja o separador Utilizadores principais visados no Explorador de Ameaças em https://security.microsoft.com/threatexplorer. Semanalmente Utilize as informações para decidir se precisa de ajustar políticas ou proteções para estes utilizadores. Adicione os utilizadores afetados às contas Priority para obter os seguintes benefícios: Administração de Segurança

Equipa de Operações de Segurança

Reveja as principais campanhas de software maligno e phishing que visam a sua organização

As Vistas de Campanha revelam ataques de software maligno e phishing contra a sua organização. Para obter mais informações, consulte Vistas de Campanha no Microsoft Defender para Office 365.

Atividade Cadência Descrição Persona
Utilize As Vistas de Campanha em https://security.microsoft.com/campaigns para rever ataques de software maligno e phishing que o afetam. Semanalmente Saiba mais sobre os ataques e técnicas e o que Defender para Office 365 conseguiu identificar e bloquear.

Utilize Transferir relatório de ameaças nas Vistas de Campanha para obter informações detalhadas sobre uma campanha.
Equipa de Operações de Segurança

Atividades ad hoc

Investigação manual e remoção de e-mails

Atividade Cadência Descrição Persona
Investigue e remova e-mails incorretos no https://security.microsoft.com/threatexplorer Explorador de Ameaças com base em pedidos de utilizador. Ad hoc Utilize a ação Acionar investigação no Explorador de Ameaças para iniciar um manual de procedimentos de investigação e resposta automatizado em qualquer e-mail dos últimos 30 dias. Acionar manualmente uma investigação poupa tempo e esforço ao incluir centralmente:
  • Uma investigação de raiz.
  • Passos para identificar e correlacionar ameaças.
  • Ações recomendadas para mitigar essas ameaças.

Para obter mais informações, veja Exemplo: Uma mensagem de phish reportada pelo utilizador inicia um manual de procedimentos de investigação

Em alternativa, pode utilizar o Explorador de Ameaças para investigar manualmente e-mails com poderosas capacidades de pesquisa e filtragem e tomar medidas de resposta manuais diretamente a partir do mesmo local. Ações manuais disponíveis:
  • Mover para a Caixa de Entrada
  • Mover para Lixo
  • Mover para Itens eliminados
  • Eliminação recuperável
  • Eliminação rígida.
Equipa de Operações de Segurança

Proativamente investigar ameaças

Atividade Cadência Descrição Persona
Investigação regular e proativa para ameaças em:. Ad hoc Procure ameaças com o Explorador de Ameaças e a Investigação avançada. Equipa de Operações de Segurança

Equipa de investigação de ameaças
Partilhar consultas de investigação. Ad hoc Partilhe consultas úteis frequentemente utilizadas na equipa de segurança para uma investigação e remediação manuais mais rápidas.

Utilize controladores de ameaças e consultas partilhadas na Investigação avançada.
Equipa de Operações de Segurança

Equipa de investigação de ameaças
Crie regras de deteção personalizadas em https://security.microsoft.com/custom_detection. Ad hoc Crie regras de deteção personalizadas para monitorizar proativamente eventos, padrões e ameaças com base em dados Defender para Office 365 na Investigação Avançada. As regras de deteção contêm consultas de investigação avançadas que geram alertas com base nos critérios correspondentes. Equipa de Operações de Segurança

Equipa de investigação de ameaças

Rever as configurações da política de Defender para Office 365

Atividade Cadência Descrição Persona
Reveja a configuração das políticas de Defender para Office 365 em https://security.microsoft.com/configurationAnalyzer. Ad hoc

Mensalmente
Utilize o Analisador de configuração para comparar as definições de política existentes com os valores Standard ou Strict recomendados para Defender para Office 365. O Analisador de configuração identifica alterações acidentais ou maliciosas que podem reduzir a postura de segurança da sua organização.

Em alternativa, pode utilizar a ferramenta ORCA baseada no PowerShell.
Administração de Segurança

Equipa de Mensagens
Reveja as substituições de deteção no Defender para Office 365 emhttps://security.microsoft.com/reports/TPSMessageOverrideReportATP Ad hoc

Mensalmente
Utilize a vista Ver dados por Substituição > do sistema Gráfico pela vista Razão no relatório de estado proteção contra ameaças para rever o e-mail que foi detetado como phishing, mas entregue devido às definições de substituição de políticas ou utilizadores.

Investigue, remova ou ajuste ativamente as substituições para evitar a entrega de e-mails que foram determinados como maliciosos.
Administração de Segurança

Equipa de Mensagens

Rever deteções de spoof e de representação

Atividade Cadência Descrição Persona
Reveja as informações de inteligência do Spoof e as informações de deteção de representação em. Ad hoc

Mensalmente
Utilize as informações de inteligência de spoof e as informações de representação para ajustar a filtragem de deteções de spoof e de representação. Administração de Segurança

Equipa de Mensagens

Rever a associação à conta de prioridade

Atividade Cadência Descrição Persona
Reveja quem é definido como uma conta de prioridade em https://security.microsoft.com/securitysettings/userTags. Ad hoc Mantenha a associação de contas prioritárias atualizada com alterações organizacionais para obter os seguintes benefícios para esses utilizadores:
  • Melhor visibilidade nos relatórios.
  • Filtragem em incidentes e alertas.
  • Heurística personalizada para padrões de fluxo de correio executivo (proteção de conta prioritária).

Utilize etiquetas de utilizador personalizadas para outros utilizadores obterem:
  • Melhor visibilidade nos relatórios.
  • Filtragem em incidentes e alertas.
Equipa de Operações de Segurança

Apêndice

Saiba mais sobre Microsoft Defender para Office 365 ferramentas e processos

Os membros das equipas de resposta e operações de segurança precisam de integrar ferramentas e funcionalidades Defender para Office 365 em processos de resposta e investigações existentes. Aprender sobre novas ferramentas e capacidades pode demorar algum tempo, mas é uma parte fundamental do processo de integração. A forma mais simples de os membros da secOps e da equipa de segurança de e-mail saberem mais sobre Defender para Office 365 é utilizar os conteúdos de formação disponíveis como parte do conteúdo de formação ninja em https://aka.ms/mdoninja.

O conteúdo é estruturado para diferentes níveis de conhecimento (Fundamentals, Intermediate e Advanced) com vários módulos por nível.

Também estão disponíveis breves vídeos para tarefas específicas no canal do YouTube Microsoft Defender para Office 365.

Permissões para Defender para Office 365 atividades e tarefas

As permissões para gerir Defender para Office 365 no portal do Microsoft Defender e no PowerShell baseiam-se no modelo de permissões de controlo de acesso baseado em funções (RBAC). O RBAC é o mesmo modelo de permissões utilizado pela maioria dos serviços do Microsoft 365. Para obter mais informações, veja Permissões no portal do Microsoft Defender.

Nota

Privileged Identity Management (PIM) no Microsoft Entra ID também é uma forma de atribuir as permissões necessárias ao pessoal do SecOps. Para obter mais informações, veja Privileged Identity Management (PIM) e porquê utilizá-lo com Microsoft Defender para Office 365.

As seguintes permissões (funções e grupos de funções) estão disponíveis no Defender para Office 365 e podem ser utilizadas para conceder acesso aos membros da equipa de segurança:

  • Microsoft Entra ID: funções centralizadas que atribuem permissões a todos os serviços do Microsoft 365, incluindo Defender para Office 365. Pode ver as funções de Microsoft Entra e os utilizadores atribuídos no portal do Microsoft Defender, mas não pode geri-las diretamente aí. Em vez disso, gere Microsoft Entra funções e membros em https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. As funções mais frequentes utilizadas pelas equipas de segurança são:

  • colaboração Exchange Online e Email &: funções e grupos de funções que concedem permissões específicas para Microsoft Defender para Office 365. As seguintes funções não estão disponíveis no Microsoft Entra ID, mas podem ser importantes para as equipas de segurança:

    • Função de pré-visualização (Email & colaboração): atribua esta função aos membros da equipa que precisam de pré-visualizar ou transferir mensagens de e-mail como parte de atividades de investigação. Permite que os utilizadores pré-visualizem e transfiram mensagens de e-mail de caixas de correio na nuvem com o Explorador de Ameaças (Explorador) ou deteções em tempo real e a página de entidade Email.

      Por predefinição, a função Pré-visualização é atribuída apenas aos seguintes grupos de funções:

      • Investigador de Dados
      • Gestor de Deteção de Dados Eletrónicos

      Pode adicionar utilizadores a esses grupos de funções ou pode criar um novo grupo de funções com a função pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizado.

    • Função de Pesquisa e Remoção (Email & colaboração): aprove a eliminação de mensagens maliciosas conforme recomendado pelo AIR ou tome medidas manuais em mensagens em experiências de investigação como o Explorador de Ameaças.

      Por predefinição, a função Procurar e Remover é atribuída apenas aos seguintes grupos de funções:

      • Investigador de Dados
      • Organization Management

      Pode adicionar utilizadores a esses grupos de funções ou pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.

    • Gestor AllowBlockList do Inquilino (Exchange Online): gerir entradas de permissão e bloqueio na Lista de Permissões/Bloqueios do Inquilino. Bloquear URLs, ficheiros (com hash de ficheiro) ou remetentes é uma ação de resposta útil a tomar ao investigar e-mails maliciosos que foram entregues.

      Por predefinição, esta função é atribuída apenas ao grupo de funções Operador de Segurança no Exchange Online, não no Microsoft Entra ID. A associação à função Operador de Segurança no Microsoft Entra IDnão lhe permite gerir entradas da Lista de Permissões/Bloqueios de Inquilinos.

      Os membros das funções de Administrador de Segurança ou gestão da Organização no Microsoft Entra ID ou os grupos de funções correspondentes no Exchange Online conseguem gerir entradas na Lista de Permissões/Bloqueios de Inquilinos.

Integração SIEM/SOAR

Defender para Office 365 expõe a maioria dos seus dados através de um conjunto de APIs programáticas. Estas APIs ajudam-no a automatizar fluxos de trabalho e a utilizar plenamente as capacidades de Defender para Office 365. Os dados estão disponíveis através das APIs Microsoft Defender XDR e podem ser utilizados para integrar Defender para Office 365 em soluções SIEM/SOAR existentes.

  • API de Incidentes: Defender para Office 365 alertas e investigações automatizadas são partes ativas de incidentes no Microsoft Defender XDR. As equipas de segurança podem concentrar-se no que é crítico ao agrupar o âmbito de ataque completo e todos os recursos afetados em conjunto.

  • API de transmissão em fluxo de eventos: permite o envio de eventos e alertas em tempo real para um único fluxo de dados à medida que acontecem. Os tipos de eventos suportados no Defender para Office 365 incluem:

    Os eventos contêm dados do processamento de todos os e-mails (incluindo mensagens intra-organização) nos últimos 30 dias.

  • API de Investigação Avançada: permite a investigação de ameaças entre produtos.

  • API de Avaliação de Ameaças: pode ser utilizada para comunicar spam, URLs de phishing ou anexos de software maligno diretamente à Microsoft.

Para ligar Defender para Office 365 incidentes e dados não processados com Microsoft Sentinel, pode utilizar o conector Microsoft Defender XDR (M365D)

Pode utilizar o seguinte exemplo de "Hello World" para testar o acesso da API às APIs Microsoft Defender: Hello World para Microsoft Defender XDR API REST.

Para obter mais informações sobre a integração de ferramentas SIEM, veja Integrar as ferramentas SIEM com Microsoft Defender XDR.

Resolver falsos positivos e falsos negativos no Defender para Office 365

As mensagens comunicadas pelo utilizador e as submissões de mensagens de e-mail são sinais de reforço positivo críticos para os nossos sistemas de deteção de machine learning. As submissões ajudam-nos a rever, fazer a triagem, aprender rapidamente e mitigar ataques. Comunicar ativamente falsos positivos e falsos negativos é uma atividade importante que fornece feedback aos Defender para Office 365 quando são cometidos erros durante a deteção.

As organizações têm várias opções para configurar mensagens comunicadas pelo utilizador. Consoante a configuração, as equipas de segurança podem ter um envolvimento mais ativo quando os utilizadores submetem falsos positivos ou falsos negativos à Microsoft:

  • As mensagens comunicadas pelo utilizador são enviadas para a Microsoft para análise quando as definições comunicadas pelo utilizador estão configuradas com uma das seguintes definições:

    • Enviar as mensagens comunicadas para: apenas para a Microsoft.
    • Enviar as mensagens comunicadas para: Microsoft e a minha caixa de correio de relatórios.

    Os membros das equipas de segurança devem fazer submissões de administradores add hoc quando a equipa de operações detetar falsos positivos ou falsos negativos que não foram comunicados pelos utilizadores.

  • Quando as mensagens comunicadas pelo utilizador são configuradas para enviar mensagens apenas para a caixa de correio da organização, as equipas de segurança devem enviar ativamente falsos positivos comunicados pelo utilizador e falsos negativos para a Microsoft através de submissões de administrador.

Quando um utilizador comunica uma mensagem como phishing, Defender para Office 365 gera um alerta e o alerta aciona um manual de procedimentos AIR. A lógica do incidente correlaciona estas informações com outros alertas e eventos sempre que possível. Esta consolidação de informações ajuda as equipas de segurança a fazer a triagem, investigar e responder a mensagens comunicadas pelo utilizador.

O pipeline de submissão no serviço segue um processo totalmente integrado quando as mensagens de relatório do utilizador e os administradores submetem mensagens. Este processo inclui:

  • Redução de ruído.
  • Triagem automatizada.
  • Classificação por analistas de segurança e soluções baseadas em machine learning em parceiros humanos.

Para obter mais informações, consulte Comunicar um e-mail no Defender para Office 365 - Microsoft Tech Community.

Os membros da equipa de segurança podem fazer submissões a partir de várias localizações no portal do Microsoft Defender em https://security.microsoft.com:

  • Administração submissão: utilize a página Submissões para submeter spam, phishing, URLs e ficheiros suspeitos à Microsoft.

  • Diretamente a partir do Explorador de Ameaças através de uma das seguintes ações de mensagem:

    • Relatório limpo
    • Reportar phishing
    • Reportar software maligno
    • Spam de relatório

    Pode selecionar até 10 mensagens para efetuar uma submissão em massa. Administração submissões criadas com estes métodos são visíveis nos respetivos separadores na página Submissões.

Para a mitigação a curto prazo de falsos negativos, as equipas de segurança podem gerir diretamente entradas de blocos para ficheiros, URLs e domínios ou endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos.

Para a mitigação a curto prazo de falsos positivos, as equipas de segurança não podem gerir diretamente entradas de permissões para domínios e endereços de e-mail na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, têm de utilizar submissões de administrador para comunicar a mensagem de e-mail como um falso positivo. Para obter instruções, consulte Comunicar um bom e-mail à Microsoft.

A quarentena no Defender para Office 365 contém ficheiros e mensagens potencialmente perigosos ou indesejados. As equipas de segurança podem ver, libertar e eliminar todos os tipos de mensagens em quarentena para todos os utilizadores. Esta capacidade permite que as equipas de segurança respondam eficazmente quando uma mensagem ou ficheiro falso positivo é colocado em quarentena.

Integrar ferramentas de relatórios de terceiros com Defender para Office 365 mensagens comunicadas pelo utilizador

Se a sua organização utilizar uma ferramenta de relatórios de terceiros que permita que os utilizadores comuniquem internamente e-mails suspeitos, pode integrar a ferramenta com as capacidades de mensagens comunicadas pelo utilizador de Defender para Office 365. Esta integração proporciona os seguintes benefícios às equipas de segurança:

  • Integração com as capacidades AIR do Defender para Office 365.
  • Triagem simplificada.
  • Tempo de resposta e investigação reduzidos.

Designe a caixa de correio de relatórios para onde as mensagens comunicadas pelo utilizador são enviadas na página Definições comunicadas pelo utilizador no portal Microsoft Defender em https://security.microsoft.com/securitysettings/userSubmission. Para obter mais informações, veja Definições comunicadas pelo utilizador.

Nota

  • A caixa de correio de relatórios tem de ser uma caixa de correio Exchange Online.
  • A ferramenta de relatórios de terceiros tem de incluir a mensagem reportada original como uma mensagem não comprimida. EML ou . Anexo MSG na mensagem que é enviada para a caixa de correio de relatórios (não reencaminhe apenas a mensagem original para a caixa de correio de relatórios). Para obter mais informações, veja Formato de submissão de mensagens para ferramentas de relatórios de terceiros.
  • A caixa de correio de relatórios requer pré-requisitos específicos para permitir que as mensagens potencialmente más sejam entregues sem serem filtradas ou alteradas. Para obter mais informações, veja Requisitos de configuração para a caixa de correio de relatórios.

Quando uma mensagem comunicada por um utilizador chega à caixa de correio de relatórios, Defender para Office 365 gera automaticamente o alerta com o nome Email comunicado pelo utilizador como software maligno ou phish. Este alerta inicia um manual de procedimentos AIR. O manual de procedimentos executa uma série de passos de investigações automatizadas:

  • Recolher dados sobre o e-mail especificado.
  • Recolha dados sobre as ameaças e entidades relacionadas com esse e-mail (por exemplo, ficheiros, URLs e destinatários).
  • Indique as ações recomendadas para a equipa secOps tomar com base nas conclusões da investigação.

Email comunicados pelo utilizador como alertas de software maligno ou phish, as investigações automatizadas e as respetivas ações recomendadas estão automaticamente correlacionadas com incidentes no Microsoft Defender XDR. Esta correlação simplifica ainda mais o processo de triagem e resposta para as equipas de segurança. Se vários utilizadores reportarem as mesmas mensagens ou mensagens semelhantes, todos os utilizadores e mensagens estão correlacionados com o mesmo incidente.

Os dados de alertas e investigações no Defender para Office 365 são automaticamente comparados com alertas e investigações nos outros produtos Microsoft Defender XDR:

  • Microsoft Defender para Endpoint
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade

Se for detetada uma relação, o sistema cria um incidente que dá visibilidade para todo o ataque.