Partilhar via

Passo 4. Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR

  • Artigo

Este artigo fornece um conjunto geral de etapas e procedimentos para resolver um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR, que inclui triagem, investigação e resolução. O Microsoft Sentinel e o Microsoft Defender XDR compartilham:

  • As atualizações sobre o ciclo de vida (status, proprietário, classificação) são compartilhadas entre os produtos.
  • As provas recolhidas durante uma investigação são apresentadas no incidente do Microsoft Sentinel.

O diagrama a seguir mostra como a solução de deteção e resposta estendida (XDR) da Microsoft se integra perfeitamente ao Microsoft Sentinel.

Diagrama da solução Microsoft para XDR com Microsoft Sentinel.

Neste diagrama:

  • Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
  • O Microsoft Defender XDR e o Microsoft Defender for Cloud enviam dados de log SIEM por meio de uma série de conectores Microsoft Sentinel.
  • As equipes de SecOps podem analisar e responder a ameaças.
  • O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.

Para obter mais informações sobre a integração do Microsoft Defender com o Microsoft Sentinel, consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel. Este guia interativo orienta você na deteção e resposta a ataques modernos com os recursos unificados de gerenciamento de eventos e informações de segurança (SIEM) e XDR (deteção e resposta estendidas) da Microsoft.

Processo de resposta a incidentes

O processo de resposta a incidentes para resolver um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR é:

  1. Use o portal Microsoft Sentinel para fazer a triagem do incidente potencial, o que inclui entender os detalhes do incidente e tomar medidas imediatas.

  2. Vá para o portal do Microsoft Defender para iniciar sua investigação. O que está incluído:

    • Compreender o incidente e o seu âmbito e rever os prazos dos ativos.
    • Revisão de ações pendentes de autorrecuperação, remediação manual de entidades, execução de resposta ao vivo.
    • Acrescentar medidas de prevenção.

  3. Quando necessário, continue a investigação no portal Microsoft Sentinel. O que está incluído:

    • Compreender o âmbito do incidente (correlacionar com os seus Processos, Políticas e Procedimentos de segurança [3P]).
    • Execução de ações automatizadas de investigação e correção 3P e criação de playbooks personalizados de Orquestração, Automação e Resposta de Segurança (SOAR).
    • Registo de provas para gestão de incidentes.
    • Adicionar medidas personalizadas.

  4. Resolva o incidente no portal do Microsoft Sentinel e realize o acompanhamento adequado dentro da sua equipe de segurança.

No Microsoft Sentinel, você pode aproveitar os playbooks e as regras de automação.

  • Um manual é uma coleção de ações de investigação e correção que podem ser executadas a partir do portal Microsoft Sentinel como rotina. Os playbooks podem ajudar a automatizar e orquestrar a sua resposta a ameaças. Eles podem ser executados manualmente sob demanda em incidentes, entidades e alertas, ou configurados para serem executados automaticamente em resposta a alertas ou incidentes específicos, quando acionados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks.
  • As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.

Diagrama do processo de resposta a incidentes em quatro etapas e qual portal você precisa usar.

As seções a seguir descrevem o processo geral de resposta a incidentes usando os portais Microsoft Sentinel e Microsoft Defender.

Etapa 1: Triagem do incidente no portal do Microsoft Sentinel

Use estas etapas como um método geral para triar o incidente com o Microsoft Sentinel:

  1. Abra o portal Microsoft Sentinel.
  2. Selecione Incidentes e localize o incidente suspeito. Você pode pesquisar incidentes por ID, título, tags, proprietário do incidente, entidade ou produto.
  3. Depois de localizar o incidente, selecione-o e, em seguida, selecione Exibir detalhes completos no painel de resumo do incidente (Visualização).
  4. Na guia Visão geral, exiba o resumo do incidente, a linha do tempo, as entidades, os principais insights, incidentes semelhantes e outras informações. Para executar um manual criado anteriormente sobre o incidente, selecione Ações do incidente e, em seguida, selecione Executar manual (Pré-visualização).
  5. Na guia Entidades, localize a entidade de interesse na lista. Você pode usar a caixa de pesquisa para pesquisar o nome da entidade ou filtrar o tipo de entidade.
  6. Para executar um playbook criado anteriormente em uma entidade, selecione a entidade e, em seguida, selecione Executar playbook. No painel Executar playbook, selecione Executar para os playbooks que você criou e precisa que esse incidente gere informações adicionais sobre a entidade.
  7. Na seção Insights do painel de entidades, selecione as categorias apropriadas de informações necessárias para coletar informações sobre a entidade. Observe que as informações mostradas aqui são baseadas nas últimas 24 horas antes da criação do primeiro alerta. Quando você clica em Detalhes completos , mais informações são mostradas com um intervalo de tempo configurável.
  8. Selecione Incidente e, em seguida, selecione a guia Comentários .
  9. Se os playbooks foram executados automaticamente ou manualmente, revise os comentários criados por eles sobre o incidente.

Para obter mais informações, consulte Navegar e investigar incidentes no Microsoft Sentinel.

Etapa 2: Investigar o incidente no portal do Microsoft Defender

Use estas etapas como um método geral para investigar o incidente com o Microsoft Defender XDR:

  1. Na página Incidente do portal Microsoft Sentinel (Visualização), selecione Investigar no Microsoft Defender XDR no painel de resumo.
  2. Na guia História de ataque no portal do Microsoft Defender, comece sua investigação com o Microsoft Defender XDR. Considere usar as próximas etapas a seguir para seu próprio fluxo de trabalho de resposta a incidentes.
  3. Veja a história do ataque do incidente para entender seu escopo, gravidade, origem de deteção e quais entidades são afetadas.
  4. Comece a analisar os alertas para entender sua origem, escopo e gravidade com a história de alerta dentro do incidente.
  5. Conforme necessário, reúna informações sobre dispositivos, usuários e caixas de correio afetados com o gráfico. Clique em qualquer entidade para abrir um submenu com todos os detalhes.
  6. Veja como o Microsoft Defender XDR resolveu automaticamente alguns alertas com a guia Investigações .
  7. Conforme necessário, use as informações no conjunto de dados para o incidente na guia Evidência e resposta .

Para obter mais informações, consulte Resposta a incidentes com o Microsoft Defender XDR.

Etapa 3: continuar a investigação no portal do Microsoft Sentinel (conforme necessário)

Use estas etapas como um método geral para continuar a investigação de incidentes com o Microsoft Sentinel usando a página de incidentes aprimorada (Visualização).

  1. No portal do Microsoft Sentinel, localize o incidente na fila de incidentes, selecione-o e, em seguida, selecione Exibir detalhes completos no painel de resumo do incidente.

  2. No painel da guia Visão geral :

    a. Veja a cronologia do incidente.

    b. Percorra a lista de entidades.

    c. Veja a lista de incidentes relacionados.

    d. Veja os principais insights sobre o incidente.

    e. Execute uma ação de incidente adicional, como executar um manual ou criar uma regra de automação.

    f. Selecione Investigar para ver um gráfico do incidente.

  3. No painel da guia Entidades :

    a. Veja detalhes e informações sobre uma entidade selecionada.

    b. Conforme necessário e se disponível, execute um manual (Pré-visualização).

  4. Adicione comentários ao incidente para registrar suas ações e os resultados de sua análise.

Para obter mais informações, consulte Navegar e investigar incidentes no Microsoft Sentinel.

Passo 4: Resolver o incidente

Quando a investigação tiver chegado à conclusão e tiver corrigido o incidente nos portais, pode resolvê-lo no portal Microsoft Sentinel definindo o estado do incidente como Fechado.

  1. No portal do Microsoft Sentinel usando a página de incidente aprimorada (Visualização), localize o incidente na fila de incidentes e selecione-o. Na lista suspensa Status do incidente, selecione Fechado e, em seguida, selecione uma classificação:

    • True Positive – atividade suspeita
    • Benigno Positivo – suspeito, mas esperado
    • Falso positivo – lógica de alerta incorreta
    • Falso positivo – dados incorretos
    • Não determinado

    Ao selecionar uma classificação, os dados do incidente são inseridos em um modelo de aprendizado de máquina que ajuda a Microsoft a fornecer recomendações e informações de correlação.

  2. Você também será solicitado a fornecer um comentário sobre o incidente. Você pode adicionar detalhes como:

    • O tipo de ataque com uma descrição padrão ou com códigos ou abreviaturas usados em sua equipe de segurança.
    • Os nomes das pessoas que trabalharam no incidente.
    • As principais entidades que foram afetadas pelo ataque.
    • Notas sobre tarefas e estratégias de remediação.

    Aqui está um exemplo.

    Captura de ecrã a mostrar a resolução de um incidente no portal Microsoft Sentinel.

  3. Selecione Aplicar para resolver o incidente. Depois de fechar o incidente no Microsoft Sentinel, ele sincronizará o status do incidente com o Microsoft Defender XDR e o Microsoft Defender for Cloud.

  4. Conforme necessário, reporte o incidente ao seu líder de resposta a incidentes para possível acompanhamento para determinar ações adicionais, como:

    • Informe seus analistas de segurança de nível 1 para detetar melhor o ataque com antecedência.
    • Crie um manual de orquestração para automatizar e orquestrar sua resposta a ameaças para um semelhante. Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
    • Pesquise o ataque no Microsoft Defender XDR Threat Analytics e na comunidade de segurança para ver uma tendência de ataque de segurança.
    • Conforme necessário, registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e playbooks padrão.
    • Determine se são necessárias alterações na configuração de segurança e implemente-as.

A seguir estão os módulos de treinamento recomendados para esta etapa.

Gerenciamento de incidentes de segurança no Microsoft Sentinel

Formação Gerenciamento de incidentes de segurança no Microsoft Sentinel
Neste módulo, você investigará o gerenciamento de incidentes do Microsoft Sentinel, aprenderá sobre eventos e entidades do Microsoft Sentinel e descobrirá maneiras de resolver incidentes.

Início >

Melhore sua confiabilidade com práticas modernas de operações: resposta a incidentes

Formação Formação Melhore a sua fiabilidade com práticas operacionais modernas: Resposta a incidentes
Conheça as noções básicas sobre respostas eficientes a incidentes e as ferramentas do Azure que as tornam possíveis.

Início >

Compreender a gestão dos incidentes de segurança do Microsoft 365

Formação Compreender a gestão de incidentes de segurança do Microsoft 365
Saiba como Microsoft 365 investiga, gere e responde a questões de segurança para proteger os clientes e o ambiente de cloud do Microsoft 365.

Início >

Próximos passos

Referências

Use estes recursos para saber mais sobre os vários serviços e tecnologias mencionados neste artigo:

Use estes recursos para saber mais sobre a resposta a incidentes: