Compreender o relatório do analista na análise de ameaças no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Cada relatório de análise de ameaças inclui secções dinâmicas e uma secção escrita abrangente denominada relatório de analista. Para aceder a esta secção, abra o relatório sobre a ameaça registada e selecione o separador Relatório do analista .
Secção de relatório de analista de um relatório de análise de ameaças
Analisar o relatório do analista
Cada secção do relatório do analista foi concebida para fornecer informações acionáveis. Embora os relatórios variem, a maioria dos relatórios inclui as secções descritas na tabela seguinte.
| Secção Relatório | Descrição |
|---|---|
| Resumo executivo | Descrição geral da ameaça, incluindo quando foi vista pela primeira vez, as suas motivações, eventos notáveis, alvos principais e ferramentas e técnicas distintas. Pode utilizar estas informações para avaliar melhor como atribuir prioridades à ameaça no contexto da sua indústria, localização geográfica e rede. |
| Análise | Informações técnicas sobre as ameaças, incluindo os detalhes de um ataque e como os atacantes podem utilizar uma nova técnica ou superfície de ataque |
| Mitre ATT&técnicas CK observadas | Como as técnicas observadas mapeiam para a arquitetura de ataque MITRE ATT&CK |
| Mitigações | Recomendações que podem parar ou ajudar a reduzir o impacto da ameaça. Esta secção também inclui mitigações que não são monitorizadas dinamicamente como parte do relatório de análise de ameaças. |
| Detalhes da deteção | Deteções específicas e genéricas fornecidas por soluções de segurança da Microsoft que podem surgir atividade ou componentes associados à ameaça. |
| Investigação avançada | Consultas avançadas de investigação para identificar proativamente uma possível atividade de ameaças. A maioria das consultas são fornecidas para complementar as deteções, especialmente para localizar componentes ou comportamentos potencialmente maliciosos que não puderam ser avaliados dinamicamente como maliciosos. |
| Referências | Publicações da Microsoft e de terceiros referenciadas por analistas durante a criação do relatório. O conteúdo da análise de ameaças baseia-se em dados validados por investigadores da Microsoft. As informações provenientes de origens de terceiros publicamente disponíveis são identificadas claramente como tal. |
| Registo de alterações | O momento em que o relatório foi publicado e quando foram feitas alterações significativas ao relatório. |
Aplicar mitigações adicionais
A análise de ameaças monitoriza dinamicamente o estado das atualizações de segurança e das configurações seguras. Estas informações estão disponíveis como gráficos e tabelas no separador & mitigações de exposição .
Além destas mitigações registadas, o relatório do analista também aborda mitigações que não são monitorizadas dinamicamente. Eis alguns exemplos de mitigações importantes que não são monitorizadas dinamicamente:
- Bloquear e-mails com anexos .lnk ou outros tipos de ficheiro suspeitos
- Aleatorizar palavras-passe de administrador local
- Informar os utilizadores finais sobre o e-mail de phishing e outros vetores de ameaças
- Ativar regras específicas de redução da superfície de ataque
Embora possa utilizar o separador Exposição & mitigações para avaliar a sua postura de segurança contra uma ameaça, estas recomendações permitem-lhe tomar medidas adicionais para melhorar a sua postura de segurança. Leia cuidadosamente todas as orientações de mitigação no relatório do analista e aplique-as sempre que possível.
Compreender como cada ameaça pode ser detetada
O relatório do analista também fornece as deteções de Microsoft Defender capacidades de Deteção e resposta de ponto final (EDR) e antivírus.
Deteções de antivírus
Estas deteções estão disponíveis em dispositivos com o Antivírus Microsoft Defender no Windows ativado. Quando estas deteções ocorrem em dispositivos que foram integrados para Microsoft Defender para Endpoint, também acionam alertas que iluminam os gráficos no relatório.
Nota
O relatório do analista também lista deteções genéricas que podem identificar uma vasta gama de ameaças, além de componentes ou comportamentos específicos da ameaça controlada. Estas deteções genéricas não se refletem nos gráficos.
Alertas de deteção e resposta de pontos finais (EDR)
São gerados alertas EDR para dispositivos integrados no Microsoft Defender para Endpoint. Geralmente, estes alertas dependem de sinais de segurança recolhidos pelo sensor de Microsoft Defender para Endpoint e outras capacidades de ponto final ( como antivírus, proteção de rede, proteção contra adulteração) que servem como origens de sinal avançadas.
Tal como a lista de deteções de antivírus, alguns alertas EDR foram concebidos para sinalizar genericamente comportamentos suspeitos que podem não estar associados à ameaça controlada. Nestes casos, o relatório identificará claramente o alerta como "genérico" e não influenciará nenhum dos gráficos no relatório.
deteções e mitigações relacionadas com Email
Email deteções e mitigações relacionadas com Microsoft Defender para Office 365, são incluídas em relatórios de analistas, além dos dados de ponto final já disponíveis a partir de Microsoft Defender para Endpoint.
As informações de tentativa de e-mail impedidas dão-lhe informações sobre se a sua organização foi alvo da ameaça abordada no relatório do analista, mesmo que o ataque tenha sido efetivamente bloqueado antes da entrega ou entregue na pasta de e-mail de lixo.
Localizar artefactos de ameaças subtis com investigação avançada
Embora as deteções lhe permitam identificar e parar a ameaça registada automaticamente, muitas atividades de ataque deixam rastreios subtis que requerem inspeção adicional. Algumas atividades de ataque apresentam comportamentos que também podem ser normais, pelo que detetá-las dinamicamente pode resultar em ruído operacional ou mesmo falsos positivos.
A investigação avançada fornece uma interface de consulta baseada em Linguagem de Pesquisa Kusto que simplifica a localização de indicadores subtis de atividade de ameaças. Também lhe permite ver informações contextuais e verificar se os indicadores estão ligados a uma ameaça.
As consultas avançadas de investigação nos relatórios dos analistas foram verificadas pelos analistas da Microsoft e estão prontas para serem executadas no editor avançado de consultas de investigação. Também pode utilizar as consultas para criar regras de deteção personalizadas que acionam alertas para futuras correspondências.
Nota
A análise de ameaças também está disponível no Microsoft Defender para Endpoint. No entanto, não tem a integração de dados entre Microsoft Defender para Office 365 e Microsoft Defender para Endpoint.
Tópicos relacionados
- Descrição geral da análise de ameaças
- Encontrar proativamente ameaças com investigação avançada
- Regras de deteção personalizadas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários