Investigação e resposta automatizadas no Microsoft Defender XDR
Artigo
Aplica-se a:
Microsoft Defender XDR
Se a sua organização estiver a utilizar Microsoft Defender XDR, a sua equipa de operações de segurança recebe um alerta no portal do Microsoft Defender sempre que for detetada uma atividade ou artefacto malicioso ou suspeito. Dado o fluxo aparentemente interminável de ameaças que podem surgir, as equipas de segurança enfrentam frequentemente o desafio de abordar o elevado volume de alertas. Felizmente, Microsoft Defender XDR inclui capacidades de investigação e resposta automatizadas (AIR) que podem ajudar a sua equipa de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.
Este artigo fornece uma descrição geral do AIR e inclui ligações para os próximos passos e recursos adicionais.
Como funciona a investigação automatizada e a autorrecuperação
À medida que os alertas de segurança são acionados, cabe à sua equipa de operações de segurança analisar esses alertas e tomar medidas para proteger a sua organização. Atribuir prioridades e investigar alertas pode ser muito demorado, especialmente quando novos alertas continuam a chegar enquanto uma investigação está em curso. As equipas de operações de segurança podem sentir-se sobrecarregadas pelo grande volume de ameaças que têm de monitorizar e proteger. As capacidades automatizadas de investigação e resposta, com recuperação automática, no Microsoft Defender XDR podem ajudar.
Veja o seguinte vídeo para ver como funciona a autorrecuperação:
No Microsoft Defender XDR, a investigação automatizada e a resposta com capacidades de autorrecuperação funcionam em todos os seus dispositivos, e-mail & conteúdos e identidades.
Imagine ter um analista virtual na sua equipa de operações de segurança de Camada 1 ou Camada 2. O analista virtual imita os passos ideais que as operações de segurança tomariam para investigar e remediar ameaças. O analista virtual pode trabalhar 24 horas por dia, 7 dias por semana, com capacidade ilimitada, e assumir uma carga significativa de investigações e remediação de ameaças. Um analista virtual deste tipo pode reduzir significativamente o tempo de resposta, libertando a sua equipa de operações de segurança para outras ameaças importantes ou projetos estratégicos. Se este cenário soa a ficção científica, não é! Um analista virtual deste tipo faz parte do seu conjunto de Microsoft Defender XDR e o respetivo nome é investigação e resposta automatizadas.
As capacidades automatizadas de investigação e resposta permitem à sua equipa de operações de segurança aumentar drasticamente a capacidade da sua organização para lidar com alertas e incidentes de segurança. Com a investigação e resposta automatizadas, pode reduzir o custo de lidar com atividades de investigação e resposta e tirar o máximo partido do seu conjunto de proteção contra ameaças. As capacidades automatizadas de investigação e resposta ajudam a sua equipa de operações de segurança ao:
Determinar se uma ameaça requer ação.
Efetuar (ou recomendar) todas as ações de remediação necessárias.
Determinar se e que outras investigações devem ocorrer.
Repita o processo conforme necessário para outros alertas.
O processo de investigação automatizado
Um alerta cria um incidente, que pode iniciar uma investigação automatizada. A investigação automatizada resulta num veredicto para cada prova. Os veredictos podem ser:
Malicioso
Suspeito
Não foram encontradas ameaças
São identificadas ações de remediação para entidades maliciosas ou suspeitas. Exemplos de ações de remediação incluem:
Enquanto uma investigação está em execução, quaisquer outros alertas relacionados que surjam são adicionados à investigação até que seja concluída. Se uma entidade afetada for vista noutro local, a investigação automatizada expande o âmbito para incluir essa entidade e o processo de investigação repete-se.
No Microsoft Defender XDR, cada investigação automatizada correlaciona sinais entre Microsoft Defender para Identidade, Microsoft Defender para Endpoint e Microsoft Defender para Office 365, conforme resumido na tabela seguinte:
Entidades
Serviços de proteção contra ameaças
Dispositivos (também conhecidos como pontos finais ou computadores)
Nem todos os alertas acionam uma investigação automatizada e nem todas as investigações resultam em ações de remediação automatizadas. Depende da forma como a investigação e a resposta automatizadas são configuradas para a sua organização. Veja Configurar capacidades automatizadas de investigação e resposta.
Cartão de resposta de & de investigação automatizada
O novo cartão de resposta de & de investigação automatizada está disponível no portal do Microsoft Defender (https://security.microsoft.com). Esta nova visibilidade do cartão para o número total de ações de remediação disponíveis. O cartão também fornece uma descrição geral de todos os alertas e o tempo de aprovação necessário para cada alerta.
Com o cartão de resposta & investigação automatizada, a sua equipa de operações de segurança pode navegar rapidamente para o Centro de ação ao selecionar a ligação Aprovar no Centro de Ação e, em seguida, efetuar as ações adequadas. O cartão permite à sua equipa de operações de segurança gerir de forma mais eficaz as ações que estão pendentes de aprovação.
Para obter esta credencial Microsoft Applied Skills, os alunos demonstram a capacidade de usar o Microsoft Defender XDR para detetar e responder a ameaças cibernéticas. Os candidatos a essa credencial devem estar familiarizados com a investigação e a coleta de evidências sobre ataques a endpoints. Eles também devem ter experiência usando o Microsoft Defender for Endpoint e Kusto Query Language (KQL).