Interrupção automática de ataques no Microsoft Defender XDR

Artigo
05/29/2024

Aplica-se a:

Microsoft Defender XDR

O Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com elevada confiança. Enquanto um ataque está em curso, o Defender XDR interrompe o ataque ao conter automaticamente recursos comprometidos que o atacante está a utilizar através da interrupção automática do ataque.

A interrupção automática de ataques limita o movimento lateral no início e reduz o impacto global de um ataque, desde os custos associados à perda de produtividade. Ao mesmo tempo, deixa as equipas de operações de segurança em total controlo sobre a investigação, a remediação e a colocação de recursos novamente online.

Este artigo fornece uma descrição geral da interrupção automatizada de ataques e inclui ligações para os próximos passos e outros recursos.

Como funciona a interrupção automática de ataques

A interrupção automática de ataques foi concebida para conter ataques em curso, limitar o impacto nos recursos de uma organização e fornecer mais tempo para as equipas de segurança remediarem totalmente o ataque. A interrupção do ataque utiliza toda a amplitude dos nossos sinais de deteção e resposta alargadas (XDR), tendo em conta todo o ataque para agir ao nível do incidente. Esta capacidade é diferente dos métodos de proteção conhecidos, como prevenção e bloqueio, com base num único indicador de compromisso.

Embora muitas plataformas XDR e orquestração de segurança, automatização e resposta (SOAR) lhe permitam criar as suas ações de resposta automática, a interrupção automática de ataques é incorporada e utiliza informações de investigadores de segurança da Microsoft e modelos avançados de IA para contrariar as complexidades de ataques avançados. A interrupção automática do ataque considera todo o contexto de sinais de diferentes origens para determinar recursos comprometidos.

A interrupção automática de ataques funciona em três fases principais:

Utiliza a capacidade do Defender XDR de correlacionar sinais de várias origens diferentes num único incidente de alta confiança através de informações de pontos finais, identidades, ferramentas de e-mail e colaboração e aplicações SaaS.
Identifica os recursos controlados pelo atacante e utilizados para espalhar o ataque.
Executa automaticamente ações de resposta em todos os produtos relevantes do Microsoft Defender para conter o ataque em tempo real, isolando os recursos afetados.

Esta capacidade de mudança de jogo limita o progresso de um ator de ameaças desde o início e reduz drasticamente o impacto global de um ataque, desde os custos associados à perda de produtividade.

Estabelecer alta confiança ao efetuar uma ação automática

Compreendemos que tomar medidas automáticas por vezes vem com hesitação por parte das equipas de segurança, dado o impacto potencial que pode ter numa organização. Por conseguinte, as capacidades de interrupção automática de ataques no Defender XDR foram concebidas para depender de sinais de alta fidelidade. Também utiliza a correlação de incidentes do Defender XDR com milhões de sinais de produto do Defender no e-mail, identidade, aplicações, documentos, dispositivos, redes e ficheiros. As informações da investigação contínua de milhares de incidentes por parte da equipa de investigação de segurança da Microsoft garantem que a interrupção automática de ataques mantém uma elevada proporção de sinal para ruído (SNR).

As investigações são parte integrante da monitorização dos nossos sinais e do cenário de ameaças de ataques para garantir uma proteção precisa e de alta qualidade.

Sugestão

Este artigo descreve como funciona a interrupção do ataque. Para configurar estas capacidades, veja Configurar capacidades de interrupção de ataques no Microsoft Defender XDR.

Ações de resposta automatizadas

A interrupção automática de ataques utiliza ações de resposta XDR baseadas na Microsoft. Exemplos destas ações são:

O dispositivo contém - com base na capacidade do Microsoft Defender para Endpoint, esta ação é uma contenção automática de um dispositivo suspeito para bloquear qualquer comunicação de entrada/saída com o referido dispositivo.
Desativar o utilizador – com base na capacidade do Microsoft Defender para Identidade, esta ação é uma suspensão automática de uma conta comprometida para evitar danos adicionais, como movimento lateral, utilização maliciosa da caixa de correio ou execução de software maligno.
Contenham o utilizador - com base na capacidade do Microsoft Defender para Endpoint, esta ação de resposta contém automaticamente identidades suspeitas temporariamente para ajudar a bloquear qualquer movimento lateral e encriptação remota relacionada com a comunicação de entrada com os dispositivos integrados do Defender para Endpoint.

Para obter mais informações, veja Remediation actions in Microsoft Defender XDR ( Ações de remediação no Microsoft Defender XDR).

Ações de resposta automatizadas para SAP com o Microsoft Sentinel

Se estiver a utilizar a plataforma de operações de segurança unificada e tiver implementado a solução do Microsoft Sentinel para aplicações SAP, também pode implementar a interrupção automática de ataques para SAP.

Por exemplo, implemente a interrupção de ataques para o SAP conter recursos comprometidos ao bloquear utilizadores sap suspeitos em caso de ataque de manipulação de processos financeiros.

Após a mitigação do risco, os administradores do Microsoft Defender podem desbloquear manualmente os utilizadores que tinham sido bloqueados automaticamente pela resposta de interrupção do ataque. A capacidade de desbloquear utilizadores manualmente está disponível a partir do centro de ação do Microsoft Defender e apenas para utilizadores que foram bloqueados por interrupção do ataque.

Para utilizar a interrupção do ataque para o SAP, implemente um novo agente do conector de dados ou certifique-se de que o agente está a utilizar a versão 90847355 ou superior e, em seguida, atribua e aplique as funções necessárias do Azure e SAP. Para mais informações, consulte:

Enquanto configura a interrupção do ataque no portal do Azure e no sistema SAP, a interrupção automática de ataques só aparece na plataforma de operações de segurança unificada no portal do Microsoft Defender.

Identificar quando ocorre uma interrupção de ataque no seu ambiente

A página de incidentes do Defender XDR refletirá as ações de interrupção automática do ataque através da história do ataque e do estado indicado por uma barra amarela (Figura 1). O incidente mostra uma etiqueta de interrupção dedicada, realça o estado dos recursos contidos no gráfico de incidentes e adiciona uma ação ao Centro de Ação.

. Vista de incidente a mostrar a barra amarela onde a interrupção automática do ataque tomou medidas

A experiência de utilizador do Defender XDR inclui agora ajudas visuais adicionais para garantir a visibilidade destas ações automáticas. Pode encontrá-las nas seguintes experiências:

Na fila de incidentes:
- É apresentada uma etiqueta intitulada Interrupção do Ataque junto a incidentes afetados
Na página do incidente:
- Uma etiqueta intitulada Interrupção do Ataque
- Uma faixa amarela na parte superior da página que realça a ação automática tomada
- O estado do ativo atual é apresentado no gráfico de incidentes se for efetuada uma ação num recurso, por exemplo, conta desativada ou dispositivo contido
Através da API:

Uma cadeia (interrupção de ataque) é adicionada ao fim dos títulos dos incidentes com elevada confiança susceptível de ser automaticamente interrompida. Por exemplo:

Ataque de fraude financeira bec lançado a partir de uma conta comprometida (interrupção do ataque)

Para obter mais informações, veja ver os detalhes e os resultados da interrupção do ataque.

Passos seguintes

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.

Partilhar via