Investigar incidentes no Microsoft Defender XDR

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Microsoft Defender XDR agrega todos os alertas, recursos, investigações e provas relacionados de todos os seus dispositivos, utilizadores e caixas de correio num incidente para lhe dar uma visão abrangente de toda a amplitude de um ataque.

Num incidente, vai analisar os alertas que afetam a sua rede, compreender o que significam e agrupar as provas para que possa conceber um plano de remediação eficaz.

Investigação inicial

Antes de explorar os detalhes, veja as propriedades e toda a história do ataque do incidente.

Pode começar por selecionar o incidente na coluna de marca de verificação. Eis um exemplo.

Selecionar um incidente no portal do Microsoft Defender

Quando o fizer, é aberto um painel de resumo com informações importantes sobre o incidente, como a gravidade, a quem é atribuído e a ATT mitre&categorias CK™ para o incidente. Eis um exemplo.

O painel que apresenta os detalhes de resumo de um incidente no portal do Microsoft Defender.

A partir daqui, pode selecionar Abrir página de incidente. Esta ação abre a página principal do incidente onde encontrará informações e separadores completos da história do ataque para alertas, dispositivos, utilizadores, investigações e provas.

Também pode abrir a página principal de um incidente ao selecionar o nome do incidente na fila de incidentes.

História de ataque

As histórias de ataque ajudam-no a rever, investigar e remediar ataques rapidamente enquanto vê a história completa do ataque no mesmo separador. Também lhe permite rever os detalhes da entidade e tomar medidas de remediação, tais como eliminar um ficheiro ou isolar um dispositivo sem perder contexto.

A história do ataque é brevemente descrita no vídeo seguinte.

Na história do ataque, pode encontrar a página de alerta e o gráfico de incidentes.

A página de alerta de incidentes tem as seguintes secções:

  • História do alerta, que inclui:

    • O que aconteceu
    • Ações executadas
    • Eventos relacionados

  • Propriedades do alerta no painel direito (estado, detalhes, descrição e outros)

Tenha em atenção que nem todos os alertas terão todas as subsecções listadas na secção Histórico de alertas .

O gráfico mostra o âmbito completo do ataque, como o ataque se espalhou pela sua rede ao longo do tempo, onde começou e até onde foi o atacante. Liga as diferentes entidades suspeitas que fazem parte do ataque aos respetivos recursos relacionados, como utilizadores, dispositivos e caixas de correio.

No gráfico, pode:

  • Reproduza os alertas e os nós no gráfico como ocorreram ao longo do tempo para compreender a cronologia do ataque.

    Captura de ecrã que mostra a reprodução dos alertas e nós na página do gráfico do bloco de ataque.

  • Abra um painel de entidades, permitindo-lhe rever os detalhes da entidade e agir sobre ações de remediação, como eliminar um ficheiro ou isolar um dispositivo.

    Captura de ecrã que mostra a revisão dos detalhes da entidade na página do gráfico do bloco de ataque.

  • Realce os alertas com base na entidade à qual estão relacionados.

  • Procure informações de entidade de um dispositivo, ficheiro, endereço IP ou URL.

A opção go hunt tira partido da funcionalidade de investigação avançada para encontrar informações relevantes sobre uma entidade. A consulta go hunt verifica as tabelas de esquema relevantes para quaisquer eventos ou alertas que envolvam a entidade específica que está a investigar. Pode selecionar qualquer uma das opções para encontrar informações relevantes sobre a entidade:

  • Veja todas as consultas disponíveis – a opção devolve todas as consultas disponíveis para o tipo de entidade que está a investigar.
  • Toda a Atividade – a consulta devolve todas as atividades associadas a uma entidade, fornecendo-lhe uma vista abrangente do contexto do incidente.
  • Alertas Relacionados – a consulta procura e devolve todos os alertas de segurança que envolvem uma entidade específica, garantindo que não perde nenhuma informação.

Selecionar a opção go hunt num dispositivo numa história de ataque

Os registos ou alertas resultantes podem ser associados a um incidente ao selecionar um resultado e, em seguida, selecionar Ligar ao incidente.

Realçar a ligação para a opção de incidente nos resultados da consulta go hunt

Resumo

Utilize a página Resumo para avaliar a importância relativa do incidente e aceder rapidamente aos alertas associados e às entidades afetadas. A página Resumo dá-lhe um olhar instantâneo sobre os principais aspetos a ter em conta sobre o incidente.

Captura de ecrã que mostra as informações de resumo de um incidente no portal do Microsoft Defender.

As informações estão organizadas nestas secções.

Secção Descrição
Alertas e categorias Uma visão visual e numérica de como o ataque avançou em relação à cadeia de eliminação. Tal como acontece com outros produtos de segurança da Microsoft, Microsoft Defender XDR está alinhado com a arquitetura MITRE ATT&CK™. A linha cronológica dos alertas mostra a ordem cronológica em que os alertas ocorreram e, para cada um, o respetivo estado e nome.
Âmbito Apresenta o número de dispositivos, utilizadores e caixas de correio afetados e lista as entidades por ordem de nível de risco e prioridade de investigação.
Provas Apresenta o número de entidades afetadas pelo incidente.
Informações do incidente Apresenta as propriedades do incidente, como etiquetas, estado e gravidade.

Alertas

No separador Alertas , pode ver a fila de alertas de alertas relacionados com o incidente e outras informações sobre os mesmos, tais como:

  • A gravidade.
  • As entidades envolvidas no alerta.
  • A origem dos alertas (Microsoft Defender para Identidade, Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Defender para Cloud Apps e o suplemento de governação de aplicações).
  • A razão pela qual estavam ligados.

Eis um exemplo.

O painel Alertas de um incidente no portal do Microsoft Defender

Por predefinição, os alertas são ordenados cronologicamente para que possa ver como o ataque ocorreu ao longo do tempo. Quando seleciona um alerta num incidente, Microsoft Defender XDR apresenta as informações de alerta específicas do contexto do incidente geral.

Pode ver os eventos do alerta, que outros alertas acionados causaram o alerta atual e todas as entidades e atividades afetadas envolvidas no ataque, incluindo dispositivos, ficheiros, utilizadores e caixas de correio.

Eis um exemplo.

Os detalhes de um alerta num incidente no portal do Microsoft Defender.

Saiba como utilizar a fila de alertas e as páginas de alerta em investigar alertas.

Recursos

Veja e faça facilmente a gestão de todos os seus recursos num único local com o novo separador Ativos . Esta vista unificada inclui Dispositivos, Utilizadores, Caixas de Correio e Aplicações.

O separador Ativos apresenta o número total de recursos junto ao respetivo nome. É apresentada uma lista de diferentes categorias com o número de recursos nessa categoria ao selecionar o separador Recursos.

A página Recursos de um incidente no portal do Microsoft Defender

Dispositivos

A vista Dispositivos lista todos os dispositivos relacionados com o incidente. Eis um exemplo.

A página Dispositivos de um incidente no portal do Microsoft Defender

Selecionar um dispositivo na lista abre uma barra que lhe permite gerir o dispositivo selecionado. Pode exportar, gerir etiquetas rapidamente, iniciar uma investigação automatizada e muito mais.

Pode selecionar a marca de verificação de um dispositivo para ver os detalhes do dispositivo, dados de diretório, alertas ativos e utilizadores com sessão iniciada. Selecione o nome do dispositivo para ver os detalhes do dispositivo no inventário de dispositivos do Defender para Endpoint. Eis um exemplo.

As opções Dispositivos na página Recursos no portal do Microsoft Defender.

Na página do dispositivo, pode recolher informações adicionais sobre o dispositivo, como todos os respetivos alertas, uma linha cronológica e recomendações de segurança. Por exemplo, no separador Linha Cronológica , pode percorrer a linha cronológica do dispositivo e ver todos os eventos e comportamentos observados no computador por ordem cronológica, intercalados com os alertas gerados. Eis um exemplo

Os detalhes de um dispositivo na página Dispositivo no portal Microsoft Defender.

Sugestão

Pode fazer análises a pedido numa página do dispositivo. No portal Microsoft Defender, selecione Pontos finais Inventário de dispositivos>. Selecione um dispositivo com alertas e, em seguida, execute uma análise antivírus. As ações, como análises antivírus, são controladas e são visíveis na página Inventário de dispositivos . Para saber mais, veja Executar Microsoft Defender análise de Antivírus em dispositivos.

Utilizadores

A vista Utilizadores lista todos os utilizadores que foram identificados como fazendo parte ou relacionados com o incidente. Eis um exemplo.

A página Utilizadores no portal Microsoft Defender.

Pode selecionar a marca de verificação para um utilizador ver os detalhes da ameaça, exposição e informações de contacto da conta de utilizador. Selecione o nome de utilizador para ver detalhes adicionais da conta de utilizador.

Saiba como ver informações adicionais do utilizador e gerir os utilizadores de um incidente na investigação de utilizadores.

Caixas de correio

A vista Caixas de Correio lista todas as caixas de correio que foram identificadas como fazendo parte ou relacionadas com o incidente. Eis um exemplo.

A página Caixas de Correio de um incidente no portal Microsoft Defender.

Pode selecionar a marca de verificação de uma caixa de correio para ver uma lista de alertas ativos. Selecione o nome da caixa de correio para ver detalhes adicionais da caixa de correio na página Do Explorador para Defender para Office 365.

Aplicações

A vista Aplicações lista todas as aplicações identificadas como fazendo parte ou relacionadas com o incidente. Eis um exemplo.

A página Aplicações de um incidente no portal Microsoft Defender.

Pode selecionar a marca de verificação de uma aplicação para ver uma lista de alertas ativos. Selecione o nome da aplicação para ver detalhes adicionais na página do Explorador do Defender para Aplicações na Cloud.

Investigações

O separador Investigações lista todas as investigações automatizadas acionadas por alertas neste incidente. As investigações automatizadas realizarão ações de remediação ou aguardarão a aprovação de ações por parte dos analistas, dependendo da forma como configurou as investigações automatizadas para serem executadas no Defender para Endpoint e Defender para Office 365.

A página Investigações de um incidente no portal do Microsoft Defender

Selecione uma investigação para navegar para a respetiva página de detalhes para obter informações completas sobre o estado de investigação e remediação. Se existirem ações pendentes para aprovação como parte da investigação, estas serão apresentadas no separador Histórico de ações pendentes . Tome medidas como parte da remediação de incidentes.

Também existe um separador de gráfico Investigação que mostra:

  • A ligação de alertas aos recursos afetados na sua organização.
  • Que entidades estão relacionadas com que alertas e como fazem parte da história do ataque.
  • Os alertas do incidente.

O gráfico de investigação ajuda-o a compreender rapidamente o âmbito completo do ataque ao ligar as diferentes entidades suspeitas que fazem parte do ataque aos respetivos recursos relacionados, como utilizadores, dispositivos e caixas de correio.

Para obter mais informações, veja Investigação e resposta automatizadas no Microsoft Defender XDR.

Provas e Resposta

O separador Provas e Resposta mostra todos os eventos suportados e entidades suspeitas nos alertas no incidente. Eis um exemplo.

A página Provas e Resposta de um incidente no portal do Microsoft Defender

Microsoft Defender XDR investiga automaticamente todos os eventos suportados pelos incidentes e entidades suspeitas nos alertas, fornecendo-lhe informações sobre os e-mails, ficheiros, processos, serviços, Endereços IP importantes e muito mais. Isto ajuda-o a detetar e bloquear rapidamente potenciais ameaças no incidente.

Cada uma das entidades analisadas é marcada com um veredicto (Malicioso, Suspeito, Limpo) e um estado de remediação. Isto ajuda-o a compreender o estado de remediação de todo o incidente e que passos seguintes podem ser seguidos.

Aprovar ou rejeitar ações de remediação

Para incidentes com um estado de remediação de Aprovação pendente, pode aprovar ou rejeitar uma ação de remediação a partir do incidente.

  1. No painel de navegação, aceda a Incidentes & alertas Incidentes>.
  2. Filtre a ação Pendente para o estado investigação automatizada (opcional).
  3. Selecione um nome de incidente para abrir a respetiva página de resumo.
  4. Selecione o separador Provas e Resposta .
  5. Selecione um item na lista para abrir o respetivo painel de lista de opções.
  6. Reveja as informações e, em seguida, siga um dos seguintes passos:
    • Selecione a opção Aprovar ação pendente para iniciar uma ação pendente.
    • Selecione a opção Rejeitar ação pendente para impedir a realização de uma ação pendente.

A opção Aprovar\Rejeitar no painel gestão de Provas e Respostas para um incidente no portal do Microsoft Defender.

Passos seguintes

Conforme necessário:

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.