Explore os casos de uso de resposta XDR (Extended Detection & Response)
A seguir estão exemplos de casos de uso de deteção e mitigação.
Deteção de Ameaça
Este cenário descreve um caso em que o Microsoft Defender for Endpoint deteta uma carga maliciosa (que pode vir de qualquer fonte, incluindo e-mail pessoal ou uma unidade USB).
A vítima recebe um e-mail malicioso numa conta de e-mail pessoal não protegida pelo Microsoft Defender for Office 365 (MDO) ou numa unidade USB e abre o anexo. Assim que o anexo abre, o malware infeta o computador. O utilizador não tem conhecimento de que ocorreu um ataque. Mas o Microsoft Defender for Endpoints (MDE) deteta esse ataque, emite um alerta para operações de segurança e fornece detalhes sobre a ameaça para a equipe de segurança. Desabilitar o acesso do usuário do dispositivo enquanto estiver infetado - o MDE comunica ao Intune que o nível de risco neste ponto de extremidade foi alterado. Uma Política de Conformidade do Intune configurada com uma severidade de nível de risco MDE é acionada e marca a conta como não compatível com a política da organização. O Acesso Condicional criado no Microsoft Entra ID bloqueia o acesso do usuário aos aplicativos.
Remediação
O MDE corrige ameaças – seja por meio de remediação automatizada, aprovação de remediação automatizada por analistas de segurança ou investigação manual de ameaças por analistas.
O MDE também corrige essa ameaça em toda a sua empresa e em nossos clientes Microsoft MDE, adicionando informações sobre esse ataque ao sistema Microsoft Threat Intelligence
Compartilhe informações e restaure o acesso
Restaurar Acesso – Assim que os dispositivos infetados forem corrigidos, o MDE sinaliza ao Intune para alterar o status de risco do dispositivo e o Acesso Condicional do Microsoft Entra ID permite o acesso aos recursos da empresa (mais informações no próximo slide). Remediar variantes de ameaça no MDO e outros – Os sinais de ameaça no Microsoft Threat intelligence são usados pelas ferramentas da Microsoft que protegem outras partes da superfície de ataque da sua organização. O MDO e o Microsoft Defender for Cloud usam os sinais para detetar e remediar ameaças em email, colaboração no escritório, Azure e muito mais.
do gráfico anterior quando o dispositivo do usuário ainda estava comprometido
Acesso Restrito
O Acesso Condicional sabe sobre o risco do dispositivo porque o Microsoft Defender for Endpoint (MDE) notificou o Intune, que atualizou o status de conformidade do dispositivo no Microsoft Entra ID.
Durante esse tempo, o usuário é impedido de acessar recursos corporativos. Isso se aplica a todas as novas solicitações de recursos e bloqueia qualquer acesso atual a recursos que oferecem suporte à avaliação de acesso contínuo (CAE). As pessoas são capazes de fazer tarefas gerais de produtividade na internet, como pesquisar YouTube, Wikipedia e qualquer outra coisa que não exija autenticação corporativa, mas não tenha acesso a recursos corporativos.
Acesso Restaurado
Depois que a ameaça for remediada e limpa, o MDE acionará o Intune para atualizar a ID do Microsoft Entra e o Acesso Condicional restaurará o acesso do usuário aos recursos corporativos.
Isso reduz o risco para a organização, garantindo que os invasores que possam estar no controle desses dispositivos não possam acessar recursos corporativos, enquanto minimiza o impacto na produtividade do usuário para minimizar a interrupção dos processos de negócios.