Resolver contas de utilizador comprometidas com investigação e resposta automatizadas

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Microsoft Defender para Office 365 Plano 2 inclui poderosas capacidades de investigação e resposta automatizada (AIR). Estas capacidades podem poupar muito tempo e esforço à sua equipa de operações de segurança para lidar com ameaças. Este artigo descreve uma das facetas das capacidades AIR, o manual de procedimentos de segurança do utilizador comprometido.

O manual de procedimentos de segurança do utilizador comprometido permite à equipa de segurança da sua organização:

• Acelerar a deteção de contas de utilizador comprometidas;
• Limitar o âmbito de uma falha de segurança quando uma conta é comprometida; e
• Responder a utilizadores comprometidos de forma mais eficaz e eficiente.

Alertas de utilizador comprometidos

Quando uma conta de utilizador é comprometida, ocorrem comportamentos atípicos ou anómalos. Por exemplo, as mensagens de phishing e spam podem ser enviadas internamente a partir de uma conta de utilizador fidedigna. Defender para Office 365 pode detetar tais anomalias em padrões de e-mail e atividade de colaboração no Office 365. Quando isto acontece, os alertas são acionados e o processo de mitigação de ameaças é iniciado.

Investigar e responder a um utilizador comprometido

Quando uma conta de utilizador é comprometida, os alertas são acionados. Em alguns casos, essa conta de utilizador é bloqueada e impedida de enviar mais mensagens de e-mail até que o problema seja resolvido pela equipa de operações de segurança da sua organização. Noutros casos, inicia-se uma investigação automatizada que pode resultar em ações recomendadas que a sua equipa de segurança deve realizar.

• Ver e investigar utilizadores restritos

• Ver detalhes sobre investigações automatizadas

Importante

Tem de ter as permissões adequadas para efetuar as seguintes tarefas. Veja Permissões necessárias para utilizar as capacidades AIR.

Veja este breve vídeo para saber como pode detetar e responder a um compromisso do utilizador no Microsoft Defender para Office 365 através da Investigação e Resposta Automatizada (AIR) e dos alertas de utilizador comprometidos.

Ver e investigar utilizadores restritos

Tem algumas opções para navegar para uma lista de utilizadores restritos. Por exemplo, no portal Microsoft Defender, pode aceder a Email & colaboração>Rever>Utilizadores Restritos. O procedimento seguinte descreve a navegação com o dashboard Alertas , que é uma boa forma de ver vários tipos de alertas que podem ter sido acionados.

1. Abra o portal do Microsoft Defender em https://security.microsoft.com e aceda a Incidentes & alertas Alertas>. Em alternativa, para aceder diretamente à página Alertas , utilize https://security.microsoft.com/alerts.

2. Na página Alertas , filtre os resultados por período de tempo e a política denominada Utilizador impediu o envio de e-mails.

   

3. Se selecionar a entrada ao clicar no nome, é aberta uma página utilizador impedida de enviar e-mail com detalhes adicionais para rever. Junto ao botão Gerir alerta, pode clicar em Mais opções e, em seguida, selecionar Ver detalhes de utilizadores restritos para aceder à página Utilizadores restritos, onde pode libertar o utilizador restrito.

Ver detalhes sobre investigações automatizadas

Quando uma investigação automatizada tiver começado, pode ver os respetivos detalhes e resultados no Centro de ação no portal Microsoft Defender.

Para saber mais, consulte Ver detalhes de uma investigação.

Tenha em atenção os seguintes pontos

• Mantenha-se a par dos alertas. Como sabe, quanto mais tempo um compromisso não for detetado, maior será o potencial de impacto e custo generalizados para a sua organização, clientes e parceiros. A deteção precoce e a resposta atempadamente são fundamentais para mitigar ameaças e, especialmente, quando a conta de um utilizador é comprometida.

• A Automatização ajuda a equipa de operações de segurança. As capacidades automatizadas de investigação e resposta podem detetar um utilizador comprometido no início e permitir que a equipa de operações de segurança tome medidas para remediar a ameaça. Precisa de ajuda com isto? Veja Rever e aprovar ações.

Passos seguintes

• Reveja as permissões necessárias para utilizar as capacidades AIR

• Localizar e investigar e-mails maliciosos no Office 365

• Saiba mais sobre o AIR no Microsoft Defender para Endpoint

• Visite o Mapa de Objetivos do Microsoft 365 para ver o que está para breve e a implementação