Share via

Análise de ameaças no Microsoft Defender XDR

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

A análise de ameaças é a nossa solução de informações sobre ameaças no produto por parte de investigadores especialistas em segurança da Microsoft. Foi concebido para ajudar as equipas de segurança a serem o mais eficientes possível enquanto enfrentam ameaças emergentes, tais como:

  • Atores de ameaças ativos e as suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Software maligno predominante

Veja este breve vídeo para saber mais sobre como a análise de ameaças pode ajudá-lo a controlar as ameaças mais recentes e a pará-las.

Pode aceder à análise de ameaças no canto superior esquerdo da barra de navegação do Microsoft Defender XDR ou a partir de um cartão de dashboard dedicado que mostra as principais ameaças à sua organização, tanto em termos de impacto conhecido, como em termos de exposição.

Captura de ecrã da página de destino do Threat Analytics

Obter visibilidade sobre campanhas ativas ou em curso e saber o que fazer através da análise de ameaças pode ajudar a equipa de operações de segurança a tomar decisões informadas.

Com adversários mais sofisticados e novas ameaças emergindo frequentemente e predominantemente, é fundamental ser capaz de rapidamente:

  • Identificar e reagir a ameaças emergentes
  • Saiba se está atualmente a ser atacado
  • Avaliar o impacto da ameaça aos seus ativos
  • Reveja a sua resiliência ou exposição às ameaças
  • Identifique as ações de mitigação, recuperação ou prevenção que pode tomar para parar ou conter as ameaças

Cada relatório fornece uma análise de uma ameaça controlada e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.

Ver o dashboard de análise de ameaças

O dashboard de análise de ameaças (security.microsoft.com/threatanalytics3) realça os relatórios mais relevantes para a sua organização. Resume as ameaças nas secções seguintes:

  • Ameaças mais recentes — lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de impacto elevado — lista as ameaças que têm o maior impacto na sua organização. Esta secção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Maior exposição — lista as ameaças às quais a sua organização tem a maior exposição. O nível de exposição a uma ameaça é calculado com duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos na sua organização podem ser explorados por essas vulnerabilidades.

Captura de ecrã do dashboard do Threat Analytics,

Selecione uma ameaça no dashboard para ver o relatório dessa ameaça. Também pode selecionar o campo Pesquisa a chave numa palavra-chave relacionada com o relatório de análise de ameaças que pretende ler.

Ver relatórios por categoria

Pode filtrar a lista de relatórios de ameaças e ver os relatórios mais relevantes de acordo com um tipo de ameaça específico ou por tipo de relatório.

  • Etiquetas de ameaças — ajudam-no a ver os relatórios mais relevantes de acordo com uma categoria de ameaças específica. Por exemplo, a etiqueta Ransomware inclui todos os relatórios relacionados com ransomware.
  • Tipos de relatório — ajudam-no a ver os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, a etiqueta Ferramentas & técnicas inclui todos os relatórios que abrangem ferramentas e técnicas.

As diferentes etiquetas têm filtros equivalentes que o ajudam a rever eficazmente a lista de relatórios de ameaças e a filtrar a vista com base numa etiqueta de ameaça específica ou num tipo de relatório. Por exemplo, para ver todos os relatórios de ameaças relacionados com a categoria de ransomware ou relatórios de ameaças que envolvam vulnerabilidades.

A equipa do Microsoft Threat Intelligence adicionou etiquetas de ameaças a cada relatório de ameaças. Estão atualmente disponíveis quatro etiquetas de ameaça:

  • Ransomware
  • Phishing
  • Vulnerabilidade
  • Grupo de atividades

As etiquetas de ameaças são apresentadas na parte superior da página de análise de ameaças. Existem contadores para o número de relatórios disponíveis em cada etiqueta.

Captura de ecrã a mostrar as etiquetas do relatório de análise de ameaças.

Para definir os tipos de relatórios que pretende na lista, selecione Filtros, escolha a partir da lista e selecione Aplicar.

Captura de ecrã da lista Filtros.

Se tiver definido mais do que um filtro, a lista de relatórios de análise de ameaças também pode ser ordenada por etiqueta de ameaça ao selecionar a coluna de etiquetas de ameaças:

Captura de ecrã a mostrar a coluna de etiquetas de ameaça.

Ver um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em várias secções:

Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas

A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.

Captura de ecrã da secção de descrição geral de um relatório de análise de ameaças.

Avaliar o impacto na sua organização

Cada relatório inclui gráficos concebidos para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Incidentes relacionados — fornece uma descrição geral do impacto da ameaça registada na sua organização com os seguintes dados:
    • Número de alertas ativos e o número de incidentes ativos a que estão associados
    • Gravidade de incidentes ativos
  • Alertas ao longo do tempo — mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. Idealmente, o gráfico deve mostrar alertas resolvidos dentro de alguns dias.
  • Recursos afetados — mostra o número de dispositivos distintos e contas de e-mail (caixas de correio) que atualmente têm, pelo menos, um alerta ativo associado à ameaça controlada. Os alertas são acionados para caixas de correio que receberam e-mails de ameaças. Reveja as políticas ao nível da organização e do utilizador para obter substituições que causem a entrega de e-mails de ameaças.
  • Tentativas de e-mail impedidas — mostra o número de e-mails dos últimos sete dias que foram bloqueados antes da entrega ou entregues na pasta de e-mail de lixo.

Rever a resiliência e postura de segurança

Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:

  • Estado de configuração seguro — mostra o número de dispositivos com definições de segurança configuradas incorretamente. Aplique as definições de segurança recomendadas para ajudar a mitigar a ameaça. Os dispositivos são considerados Seguros se tiverem aplicado todas as definições registadas.
  • Estado de aplicação de patches de vulnerabilidades – mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft

Na secção Relatório de analistas , leia a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .

Saiba mais sobre o relatório do analista

O separador Incidentes relacionados fornece a lista de todos os incidentes relacionados com a ameaça registada. Pode atribuir incidentes ou gerir alertas ligados a cada incidente.

Captura de ecrã da secção incidentes relacionados de um relatório de análise de ameaças.

Recursos afetados: obter lista de dispositivos e caixas de correio afetados

Um recurso é considerado afetado se for afetado por um alerta ativo e não resolvido. O separador Ativos afetados lista os seguintes tipos de recursos afetados:

  • Dispositivos afetados — pontos finais que têm alertas de Microsoft Defender para Endpoint não resolvidos. Normalmente, estes alertas disparam sobre avistamentos de indicadores e atividades de ameaças conhecidos.
  • Caixas de correio afetadas — caixas de correio que receberam mensagens de e-mail que acionaram Microsoft Defender para Office 365 alertas. Embora a maioria das mensagens que acionam alertas estejam normalmente bloqueadas, as políticas ao nível do utilizador ou da organização podem substituir filtros.

Captura de ecrã da secção ativos afetados de um relatório de análise de ameaças.

Tentativas de e-mail impedidas: Ver e-mails de ameaças bloqueados ou de lixo

Microsoft Defender para Office 365 normalmente bloqueia e-mails com indicadores de ameaças conhecidos, incluindo ligações maliciosas ou anexos. Em alguns casos, os mecanismos de filtragem proativa que verificam a existência de conteúdo suspeito irão, em vez disso, enviar e-mails de ameaça para a pasta de e-mail de lixo. Em ambos os casos, as hipóteses de a ameaça iniciar código de software maligno no dispositivo é reduzida.

O separador Tentativas de e-mail impedidas lista todos os e-mails que foram bloqueados antes da entrega ou enviados para a pasta de e-mail de lixo por Microsoft Defender para Office 365.

Captura de ecrã da secção de tentativas de e-mail impedidas de um relatório de análise de ameaças.

Exposição e mitigações: veja a lista de mitigações e o estado dos seus dispositivos

Na secção & mitigações de exposição , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui:

  • Atualizações de segurança — implementação de atualizações de segurança de software suportadas para vulnerabilidades encontradas em dispositivos integrados
  • Configurações de segurança suportadas
    • Proteção fornecida pela cloud
    • Proteção contra aplicações potencialmente indesejadas (PUA)
    • Proteção em tempo real

As informações de mitigação nesta secção incorporam dados de Gestão de vulnerabilidades do Microsoft Defender, que também fornecem informações detalhadas de desagregação de várias ligações no relatório.

A secção mitigações de um relatório de análise de ameaças que mostra detalhes de configuração seguros

A secção mitigações de um relatório de análise de ameaças que mostra os detalhes da vulnerabilidade

Secção de mitigações de & de exposição de um relatório de análise de ameaças

Configurar notificações por e-mail para atualizações de relatórios

Pode configurar notificações por e-mail que lhe irão enviar atualizações em relatórios de análise de ameaças. Para criar notificações por e-mail, siga os passos em Obter notificações por e-mail para atualizações do Threat Analytics no Microsoft Defender XDR.

Detalhes e limitações adicionais do relatório

Nota

Como parte da experiência de segurança unificada, a análise de ameaças está agora disponível não só para Microsoft Defender para Endpoint, mas também para Microsoft Defender para Office 365 titulares de licenças.

Se não estiver a utilizar o portal de segurança do Microsoft 365 (Microsoft Defender XDR), também pode ver os detalhes do relatório (sem o Microsoft Defender para dados do Office) no portal do Centro de Segurança do Microsoft Defender ( Microsoft Defender para Endpoint).

Para aceder a relatórios de análise de ameaças, precisa de determinadas funções e permissões. Veja Funções personalizadas no controlo de acesso baseado em funções para Microsoft Defender XDR para obter detalhes.

  • Para ver alertas, incidentes ou dados de recursos afetados, tem de ter permissões para Microsoft Defender para o Office ou Microsoft Defender para Endpoint dados de alertas, ou ambos.
  • Para ver as tentativas de e-mail impedidas, tem de ter permissões para Microsoft Defender para dados de investigação do Office.
  • Para ver mitigações, tem de ter permissões para os dados da Gestão de Vulnerabilidades do Defender no Microsoft Defender para Endpoint.

Ao analisar os dados da análise de ameaças, lembre-se dos seguintes fatores:

  • Os gráficos refletem apenas as mitigações registadas. Veja a descrição geral do relatório para obter mitigações adicionais que não são apresentadas nos gráficos.
  • As mitigações não garantem uma resiliência total. As mitigações fornecidas refletem as melhores ações possíveis necessárias para melhorar a resiliência.
  • Os dispositivos são contabilizados como "indisponíveis" se não tiverem transmitido dados para o serviço.
  • As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus Microsoft Defender. Os dispositivos com soluções antivírus de terceiros podem aparecer como "expostos".

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.