Manual de procedimentos de classificação de alerta
Aplica-se a:
- Microsoft Defender XDR
Os manuais de procedimentos de classificação de alertas permitem-lhe rever e classificar rapidamente os alertas para ataques conhecidos e tomar medidas recomendadas para remediar o ataque e proteger a sua rede. A classificação de alertas também ajudará a classificar corretamente o incidente geral.
Enquanto investigador de segurança ou analista do Centro de Operações de Segurança (SOC), tem de ter acesso ao portal do Microsoft Defender para poder:
- Avalie e reveja os alertas gerados e os incidentes associados. Veja Investigar alertas.
- Pesquisa os dados de sinal de segurança do inquilino e verifique se existem potenciais ameaças e atividades suspeitas. Veja investigação avançada.
Nota
Pode fornecer feedback à Microsoft sobre verdadeiros alertas positivos e falsos positivos, não só no final da investigação, mas também durante o processo de investigação. Isto pode ajudar a Microsoft com futuras análises e classificações de eventos de segurança.
Microsoft Defender para Office 365
Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Defender para Office 365 inclui:
Políticas de proteção contra ameaças
Defina políticas de proteção contra ameaças para definir o nível de proteção adequado para a sua organização.
Relatórios
Veja relatórios em tempo real para monitorizar Defender para Office 365 desempenho na sua organização.
Capacidades de investigação e resposta a ameaças
Utilize ferramentas de ponta para investigar, compreender, simular e evitar ameaças.
Capacidades de investigação e resposta automatizadas
Poupe tempo e esforço na investigação e mitigação de ameaças.
Defender para Office 365 alertas podem ser classificados como:
- Verdadeiro positivo (TP) para atividade maliciosa confirmada.
- Falso positivo (FP) para atividade não maliciosa confirmada.
Nota
Microsoft Defender portal https://security.microsoft.com reúne a funcionalidade dos portais de segurança existentes da Microsoft. O portal Microsoft Defender realça o acesso rápido a informações, esquemas mais simples e reunir informações relacionadas para uma utilização mais fácil.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps é um Mediador de Segurança de Acesso à Cloud (CASB) que suporta vários modos de implementação, incluindo a recolha de registos, conectores de API e proxy inverso. Fornece visibilidade avançada, controlo sobre viagens de dados e análises sofisticadas para identificar e combater ciberameaças em todos os seus serviços cloud da Microsoft e de terceiros.
O Defender para Cloud Apps integra-se nativamente com as principais soluções da Microsoft e foi concebido com profissionais de segurança em mente. Fornece implementação simples, gestão centralizada e capacidades de automatização inovadoras.
A arquitetura do Defender para Cloud Apps inclui a capacidade de proteger a sua rede contra ciberameaças e anomalias, deteta comportamentos invulgares nas aplicações na cloud para identificar ransomware, utilizadores comprometidos ou aplicações não autorizados. Permite a análise da utilização de alto risco e pode remediar automaticamente para limitar o risco para a sua organização.
Os alertas do Defender para Cloud Apps podem ser classificados como:
- TP para atividade maliciosa confirmada.
- Positivo verdadeiro benigno (B-TP) para atividade suspeita, mas não maliciosa, como um teste de penetração ou outra ação suspeita autorizada.
- FP para atividade não maliciosa confirmada.
Manual de procedimentos de classificação de alerta
Veja estes manuais de procedimentos para obter passos para classificar mais rapidamente alertas para as seguintes ameaças:
- Atividade suspeita de reencaminhamento de e-mail
- Regras de manipulação de caixa de entrada suspeitas
- Regras de reencaminhamento de caixa de entrada suspeitas
- Endereços IP suspeitos relacionados com a atividade de utilização de palavra-passe
- Ataques por utilização de palavra-passe única
Veja Investigar alertas para obter informações sobre como examinar alertas com o portal do Microsoft Defender.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.