Passo 4. Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR
Este artigo fornece um conjunto geral de etapas e procedimentos para resolver um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR, que inclui triagem, investigação e resolução. O Microsoft Sentinel e o Microsoft Defender XDR compartilham:
- As atualizações sobre o ciclo de vida (status, proprietário, classificação) são compartilhadas entre os produtos.
- As provas recolhidas durante uma investigação são apresentadas no incidente do Microsoft Sentinel.
O diagrama a seguir mostra como a solução de deteção e resposta estendida (XDR) da Microsoft se integra perfeitamente ao Microsoft Sentinel.
Neste diagrama:
- Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
- O Microsoft Defender XDR e o Microsoft Defender for Cloud enviam dados de log SIEM por meio de uma série de conectores Microsoft Sentinel.
- As equipes de SecOps podem analisar e responder a ameaças.
- O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.
Para obter mais informações sobre a integração do Microsoft Defender com o Microsoft Sentinel, consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel. Este guia interativo orienta você na deteção e resposta a ataques modernos com os recursos unificados de gerenciamento de eventos e informações de segurança (SIEM) e XDR (deteção e resposta estendidas) da Microsoft.
Processo de resposta a incidentes
O processo de resposta a incidentes para resolver um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR é:
Use o portal Microsoft Sentinel para fazer a triagem do incidente potencial, o que inclui entender os detalhes do incidente e tomar medidas imediatas.
Vá para o portal do Microsoft Defender para iniciar sua investigação. O que está incluído:
- Compreender o incidente e o seu âmbito e rever os prazos dos ativos.
- Revisão de ações pendentes de autorrecuperação, remediação manual de entidades, execução de resposta ao vivo.
- Acrescentar medidas de prevenção.
Quando necessário, continue a investigação no portal Microsoft Sentinel. O que está incluído:
- Compreender o âmbito do incidente (correlacionar com os seus Processos, Políticas e Procedimentos de segurança [3P]).
- Execução de ações automatizadas de investigação e correção 3P e criação de playbooks personalizados de Orquestração, Automação e Resposta de Segurança (SOAR).
- Registo de provas para gestão de incidentes.
- Adicionar medidas personalizadas.
Resolva o incidente no portal do Microsoft Sentinel e realize o acompanhamento adequado dentro da sua equipe de segurança.
No Microsoft Sentinel, você pode aproveitar os playbooks e as regras de automação.
- Um manual é uma coleção de ações de investigação e correção que podem ser executadas a partir do portal Microsoft Sentinel como rotina. Os playbooks podem ajudar a automatizar e orquestrar a sua resposta a ameaças. Eles podem ser executados manualmente sob demanda em incidentes, entidades e alertas, ou configurados para serem executados automaticamente em resposta a alertas ou incidentes específicos, quando acionados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks.
- As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
As seções a seguir descrevem o processo geral de resposta a incidentes usando os portais Microsoft Sentinel e Microsoft Defender.
Etapa 1: Triagem do incidente no portal do Microsoft Sentinel
Use estas etapas como um método geral para triar o incidente com o Microsoft Sentinel:
- Abra o portal Microsoft Sentinel.
- Selecione Incidentes e localize o incidente suspeito. Você pode pesquisar incidentes por ID, título, tags, proprietário do incidente, entidade ou produto.
- Depois de localizar o incidente, selecione-o e, em seguida, selecione Exibir detalhes completos no painel de resumo do incidente (Visualização).
- Na guia Visão geral, exiba o resumo do incidente, a linha do tempo, as entidades, os principais insights, incidentes semelhantes e outras informações. Para executar um manual criado anteriormente sobre o incidente, selecione Ações do incidente e, em seguida, selecione Executar manual (Pré-visualização).
- Na guia Entidades, localize a entidade de interesse na lista. Você pode usar a caixa de pesquisa para pesquisar o nome da entidade ou filtrar o tipo de entidade.
- Para executar um playbook criado anteriormente em uma entidade, selecione a entidade e, em seguida, selecione Executar playbook. No painel Executar playbook, selecione Executar para os playbooks que você criou e precisa que esse incidente gere informações adicionais sobre a entidade.
- Na seção Insights do painel de entidades, selecione as categorias apropriadas de informações necessárias para coletar informações sobre a entidade. Observe que as informações mostradas aqui são baseadas nas últimas 24 horas antes da criação do primeiro alerta. Quando você clica em Detalhes completos , mais informações são mostradas com um intervalo de tempo configurável.
- Selecione Incidente e, em seguida, selecione a guia Comentários .
- Se os playbooks foram executados automaticamente ou manualmente, revise os comentários criados por eles sobre o incidente.
Para obter mais informações, consulte Navegar e investigar incidentes no Microsoft Sentinel.
Etapa 2: Investigar o incidente no portal do Microsoft Defender
Use estas etapas como um método geral para investigar o incidente com o Microsoft Defender XDR:
- Na página Incidente do portal Microsoft Sentinel (Visualização), selecione Investigar no Microsoft Defender XDR no painel de resumo.
- Na guia História de ataque no portal do Microsoft Defender, comece sua investigação com o Microsoft Defender XDR. Considere usar as próximas etapas a seguir para seu próprio fluxo de trabalho de resposta a incidentes.
- Veja a história do ataque do incidente para entender seu escopo, gravidade, origem de deteção e quais entidades são afetadas.
- Comece a analisar os alertas para entender sua origem, escopo e gravidade com a história de alerta dentro do incidente.
- Conforme necessário, reúna informações sobre dispositivos, usuários e caixas de correio afetados com o gráfico. Clique em qualquer entidade para abrir um submenu com todos os detalhes.
- Veja como o Microsoft Defender XDR resolveu automaticamente alguns alertas com a guia Investigações .
- Conforme necessário, use as informações no conjunto de dados para o incidente na guia Evidência e resposta .
Para obter mais informações, consulte Resposta a incidentes com o Microsoft Defender XDR.
Etapa 3: continuar a investigação no portal do Microsoft Sentinel (conforme necessário)
Use estas etapas como um método geral para continuar a investigação de incidentes com o Microsoft Sentinel usando a página de incidentes aprimorada (Visualização).
No portal do Microsoft Sentinel, localize o incidente na fila de incidentes, selecione-o e, em seguida, selecione Exibir detalhes completos no painel de resumo do incidente.
No painel da guia Visão geral :
a. Veja a cronologia do incidente.
b. Percorra a lista de entidades.
c. Veja a lista de incidentes relacionados.
d. Veja os principais insights sobre o incidente.
e. Execute uma ação de incidente adicional, como executar um manual ou criar uma regra de automação.
f. Selecione Investigar para ver um gráfico do incidente.
No painel da guia Entidades :
a. Veja detalhes e informações sobre uma entidade selecionada.
b. Conforme necessário e se disponível, execute um manual (Pré-visualização).
Adicione comentários ao incidente para registrar suas ações e os resultados de sua análise.
Para obter mais informações, consulte Navegar e investigar incidentes no Microsoft Sentinel.
Passo 4: Resolver o incidente
Quando a investigação tiver chegado à conclusão e tiver corrigido o incidente nos portais, pode resolvê-lo no portal Microsoft Sentinel definindo o estado do incidente como Fechado.
No portal do Microsoft Sentinel usando a página de incidente aprimorada (Visualização), localize o incidente na fila de incidentes e selecione-o. Na lista suspensa Status do incidente, selecione Fechado e, em seguida, selecione uma classificação:
- True Positive – atividade suspeita
- Benigno Positivo – suspeito, mas esperado
- Falso positivo – lógica de alerta incorreta
- Falso positivo – dados incorretos
- Não determinado
Ao selecionar uma classificação, os dados do incidente são inseridos em um modelo de aprendizado de máquina que ajuda a Microsoft a fornecer recomendações e informações de correlação.
Você também será solicitado a fornecer um comentário sobre o incidente. Você pode adicionar detalhes como:
- O tipo de ataque com uma descrição padrão ou com códigos ou abreviaturas usados em sua equipe de segurança.
- Os nomes das pessoas que trabalharam no incidente.
- As principais entidades que foram afetadas pelo ataque.
- Notas sobre tarefas e estratégias de remediação.
Aqui está um exemplo.
Selecione Aplicar para resolver o incidente. Depois de fechar o incidente no Microsoft Sentinel, ele sincronizará o status do incidente com o Microsoft Defender XDR e o Microsoft Defender for Cloud.
Conforme necessário, reporte o incidente ao seu líder de resposta a incidentes para possível acompanhamento para determinar ações adicionais, como:
- Informe seus analistas de segurança de nível 1 para detetar melhor o ataque com antecedência.
- Crie um manual de orquestração para automatizar e orquestrar sua resposta a ameaças para um semelhante. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
- Pesquise o ataque no Microsoft Defender XDR Threat Analytics e na comunidade de segurança para ver uma tendência de ataque de segurança.
- Conforme necessário, registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e playbooks padrão.
- Determine se são necessárias alterações na configuração de segurança e implemente-as.
Formação recomendada
A seguir estão os módulos de treinamento recomendados para esta etapa.
Gerenciamento de incidentes de segurança no Microsoft Sentinel
Formação | Gerenciamento de incidentes de segurança no Microsoft Sentinel |
---|---|
Neste módulo, você investigará o gerenciamento de incidentes do Microsoft Sentinel, aprenderá sobre eventos e entidades do Microsoft Sentinel e descobrirá maneiras de resolver incidentes. |
Melhore sua confiabilidade com práticas modernas de operações: resposta a incidentes
Formação | Formação Melhore a sua fiabilidade com práticas operacionais modernas: Resposta a incidentes |
---|---|
Conheça as noções básicas sobre respostas eficientes a incidentes e as ferramentas do Azure que as tornam possíveis. |
Compreender a gestão dos incidentes de segurança do Microsoft 365
Formação | Compreender a gestão de incidentes de segurança do Microsoft 365 |
---|---|
Saiba como Microsoft 365 investiga, gere e responde a questões de segurança para proteger os clientes e o ambiente de cloud do Microsoft 365. |
Próximos passos
- Consulte Navegar e investigar incidentes no Microsoft Sentinel e Resposta a incidentes com o Microsoft Defender XDR para obter mais detalhes sobre os processos de resposta a incidentes nos portais Microsoft Sentinel e Microsoft Defender.
- Consulte Visão geral da resposta a incidentes para obter informações sobre as práticas recomendadas de segurança da Microsoft.
- Consulte Manuais de resposta a incidentes para fluxos de trabalho e listas de verificação para responder a ataques cibernéticos comuns.
Referências
Use estes recursos para saber mais sobre os vários serviços e tecnologias mencionados neste artigo:
- Integração do Microsoft Defender XDR com o Microsoft Sentinel
- Guia interativo de recursos unificados de SIEM e XDR
- Automatize a resposta a ameaças com playbooks no Microsoft Sentinel
- Automatize a resposta a ameaças com playbooks
- Automatize a resposta a ameaças no Microsoft Sentinel com regras de automação
- Análise de ameaças do Microsoft Defender XDR
Use estes recursos para saber mais sobre a resposta a incidentes:
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários