Gerir incidentes

  • 8 minutos

O Microsoft Defender XDR fornece uma correlação de ameaças entre domínios e um portal orientado por objetivos para investigar ameaças. Os incidentes são baseados em alertas relacionados criados quando um evento ou atividade mal-intencionada é visto na sua rede. Alertas individuais fornecem pistas valiosas sobre um ataque em curso. No entanto, os ataques normalmente empregam vários vetores e técnicas para realizar uma violação. Juntar pistas individuais pode ser desafiador e demorado.

Este pequeno vídeo fornece uma visão geral dos incidentes no Microsoft Defender XDR.

Um incidente é uma coleção de alertas correlacionados que compõem a história de um ataque. O Microsoft Defender XDR agrega automaticamente eventos mal-intencionados e suspeitos encontrados em diferentes entidades de dispositivo, usuário e caixa de correio na rede. O agrupamento de alertas relacionados em um incidente oferece aos defensores de segurança uma visão abrangente de um ataque.

Por exemplo, os defensores de segurança podem ver onde o ataque começou, quais táticas foram usadas e até onde o ataque foi para a rede. Os defensores de segurança também podem ver o alcance do ataque. Como quantos dispositivos, usuários e caixas de correio foram afetados, quão grave foi o impacto e outros detalhes sobre as entidades afetadas.

Se ativado, o Microsoft Defender XDR pode investigar e resolver automaticamente os alertas individuais por meio de automação e inteligência artificial. Os defensores de segurança também podem executar mais etapas de correção para resolver o ataque diretamente da visualização de incidentes.

Os incidentes dos últimos 30 dias são mostrados na fila de incidentes. A partir daqui, os defensores de segurança podem ver quais incidentes devem ser priorizados com base no nível de risco e outros fatores.

Os defensores de segurança também podem renomear incidentes, atribuí-los a analistas individuais, classificar e adicionar tags a incidentes para uma experiência de gerenciamento de incidentes melhor e mais personalizada.

Priorize incidentes

O Microsoft Defender XDR aplica análises de correlação e agrega todos os alertas e investigações relacionados de diferentes produtos em um único incidente. O Microsoft Defender XDR também dispara alertas exclusivos sobre atividades que só podem ser identificadas como maliciosas, dada a visibilidade de ponta a ponta que o Microsoft Defender XDR tem em todo o espólio e conjunto de produtos. Essa visão fornece ao seu analista de operações de segurança uma história de ataque mais ampla, o que o ajuda a entender e lidar melhor com ameaças complexas em toda a organização.

A fila Incidentes mostra uma coleção de incidentes sinalizados entre dispositivos, usuários e caixas de correio. Ele ajuda você a classificar incidentes para priorizar e criar uma decisão de resposta de segurança cibernética informada.

Screen shot of the Microsoft Defender XDR Incident Queue.

Por padrão, a fila no portal do Microsoft Defender exibe incidentes vistos nos últimos 30 dias. O incidente mais recente está no topo da lista para que você possa vê-lo primeiro.

A fila de incidentes expõe colunas personalizáveis que dão visibilidade sobre diferentes características do incidente ou das entidades contidas. Essa camada mais profunda de informações ajuda você a tomar uma decisão informada sobre a priorização de incidentes a serem tratados.

Para maior clareza em um piscar de olhos, a nomeação automática de incidentes gera nomes de incidentes com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de deteção ou categorias. A nomenclatura automática permite que você entenda rapidamente o escopo do incidente.

Filtros disponíveis

Status

Você pode optar por limitar a lista de incidentes mostrados com base em seu status para ver quais estão ativos ou resolvidos.

Gravidade

A gravidade de um incidente é indicativa do impacto que pode ter nos seus ativos. Quanto maior a gravidade, maior o impacto e normalmente requer a atenção mais imediata.

Atribuição de incidentes

Você pode optar por mostrar os alertas atribuídos a você ou os alertas manipulados pela automação.

Várias fontes de serviço

Selecione Não (padrão) ou sim para ativar.

Fontes de serviço

Filtre para ver apenas incidentes que contenham alertas de diferentes fontes. As fontes incluem: Microsoft Defender for Endpoint, Microsoft Cloud App Security, Microsoft Defender for Identity, Microsoft Defender for Office 365.

Etiquetas

Filtre as tags atribuídas. Todas as Tags atribuídas aparecerão quando você selecionar o campo Nome da tag Tipo.

Categoria múltipla

Você pode optar por ver apenas incidentes mapeados para várias categorias e, portanto, podem causar mais danos.

Categorias

Escolha categorias para se concentrar em táticas, técnicas ou componentes de ataque específicos vistos.

Entidades

Filtre por nome ou ID da entidade.

Sensibilidade dos dados

Alguns ataques se concentram no direcionamento para exfiltrar dados confidenciais ou valiosos. Ao aplicar um filtro para ver se dados confidenciais estão envolvidos no incidente, você pode determinar rapidamente se as informações confidenciais foram comprometidas. E se um compromisso for encontrado, você pode priorizar uma resposta a esses incidentes. Essa capacidade de filtragem só é aplicável se o Microsoft Purview Information Protection estiver ativado.

Grupo de dispositivos

Filtrar por grupos de dispositivos definidos.

Plataforma de SO

Limite a exibição da fila de incidentes por sistema operacional.

Classificação

Filtre incidentes com base nas classificações definidas dos alertas relacionados. Os valores incluem alertas verdadeiros, falsos alertas ou não definidos.

Estado de investigação automatizada

Filtre os incidentes pelo status da investigação automatizada.

Ameaça associada

Selecionar o campo Tipo de ameaça associada permitirá que você insira informações sobre ameaças e exiba critérios de pesquisa anteriores.

Pré-visualizar incidentes

As páginas do portal fornecem informações de visualização para a maioria dos dados relacionados à lista.

Nesta captura de tela, as três áreas destacadas são o círculo, o símbolo maior que e o link real.

Screen shot of Incident Preview information options.

Círculo

Selecionar o círculo abrirá uma janela de detalhes no lado direito da página com uma visualização do item de linha com uma opção para abrir a página inteira de informações.

Screen shot of Incidents details window.

Maior que o símbolo

Se houver registros relacionados que possam ser exibidos, selecionar o sinal maior que exibirá os registros abaixo do registro atual.

Screen shot of Related Incident records.

Ligação

O link irá navegar até a página inteira do item de linha.

Gerir incidentes

O gerenciamento de incidentes é fundamental para garantir que as ameaças sejam contidas e abordadas. No Microsoft Defender XDR, você tem acesso ao gerenciamento de incidentes em dispositivos, usuários e caixas de correio. Você pode gerenciar incidentes selecionando um incidente na fila Incidentes.

Você pode editar o nome de um incidente, resolvê-lo, definir sua classificação e determinação. Você também pode atribuir o incidente a si mesmo, adicionar tags de incidente e comentários.

Nos casos em que você gostaria de mover alertas de um incidente para outro, durante uma investigação, você também pode fazê-lo na guia Alertas. O uso da guia Alertas permite criar um incidente maior ou menor que inclui todos os alertas relevantes.

Editar nome do incidente

Os incidentes recebem automaticamente um nome com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de deteção ou categorias. A nomenclatura com base em atributos de alerta permite que você entenda rapidamente o escopo do incidente. Você pode modificar o nome do incidente para se alinhar melhor com sua convenção de nomenclatura preferida.

Atribuir incidentes

Se um incidente ainda não tiver sido atribuído, você pode selecionar Atribuir a mim para atribuir o incidente a si mesmo. Ao fazê-lo, assume a propriedade não só do incidente, mas também de todos os alertas associados ao mesmo.

Definir status e classificação

Estado do incidente

Você pode categorizar os incidentes (como Ativos ou Resolvidos) alterando seu status à medida que a investigação progride. Essa capacidade de atualizar o status ajuda você a organizar e gerenciar como sua equipe pode responder a incidentes.

Por exemplo, seu analista SOC pode revisar os incidentes ativos urgentes do dia e decidir atribuí-los a si mesmo para investigação.

Como alternativa, o analista SOC pode definir o incidente como Resolvido se o incidente tiver sido remediado. A resolução de um incidente fechará automaticamente todos os alertas abertos que fazem parte do incidente.

Classificação e determinação

Você pode optar por não definir uma classificação ou decidir especificar se um incidente é alerta verdadeiro ou falso. Isso ajuda a equipe a ver padrões e aprender com eles.

Adicionar comentários

Você pode adicionar comentários e exibir eventos históricos sobre um incidente para ver as alterações anteriores feitas nele.

Sempre que uma alteração ou comentário é feito em um alerta, ele é registrado na seção Comentários e histórico.

Os comentários adicionados aparecem instantaneamente no painel.

Adicionar tags de incidente

Você pode adicionar tags personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características comuns. Mais tarde, você pode filtrar a fila de incidentes para todos os incidentes que contenham uma tag específica.