Gerar relatórios de informações sobre ameaças

  • 6 minutos

A triagem e a investigação de alertas de segurança podem ser demoradas até mesmo para os analistas de segurança mais qualificados. Para muitos, é difícil saber por onde começar.

O Defender for Cloud usa análises para conectar as informações entre alertas de segurança distintos. Usando essas conexões, o Defender for Cloud pode fornecer uma visão única de uma campanha de ataque e seus alertas relacionados para ajudá-lo a entender as ações do invasor e os recursos afetados.

Os incidentes aparecem na página Alertas de segurança. Selecione um incidente para visualizar os alertas relacionados e obter mais informações.

Na página de visão geral do Defender for Cloud, selecione o bloco Alertas de segurança. Os incidentes e alertas são listados. Observe que os incidentes de segurança têm um ícone diferente dos alertas de segurança.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Para ver os detalhes, selecione um incidente. A página Incidente de segurança mostra mais detalhes.

Screenshot of Defender for Cloud Security Alert Incident details.

O painel esquerdo da página do incidente de segurança mostra informações de alto nível sobre o incidente de segurança: título, gravidade, status, tempo de atividade, descrição e o recurso afetado. Ao lado do recurso afetado, você pode ver as tags relevantes do Azure. Use essas tags para inferir o contexto organizacional do recurso ao investigar o alerta.

O painel direito inclui a guia Alertas com os alertas de segurança que foram correlacionados como parte desse incidente.

Para alternar para a guia Executar ação, selecione a guia ou o botão na parte inferior do painel direito. Use esta guia para executar outras ações, como:

  • Mitigar a ameaça - fornece etapas manuais de correção para este incidente de segurança

  • Prevenir ataques futuros - fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e prevenir ataques futuros

  • Acionar resposta automatizada - fornece a opção de acionar um aplicativo lógico como resposta a esse incidente de segurança

  • Suprimir alertas semelhantes - fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para a sua organização

Para remediar as ameaças no incidente, siga as etapas de correção fornecidas com cada alerta.

Gerar relatórios de informações sobre ameaças

A proteção contra ameaças do Defender for Cloud funciona monitorando as informações de segurança dos recursos do Azure, da rede e das soluções de parceiros conectados. Analisa esta informação, muitas vezes correlacionando informações de várias origens, para identificar ameaças.

Quando o Defender for Cloud identifica uma ameaça, ele dispara um alerta de segurança contendo informações detalhadas sobre o evento, incluindo sugestões de correção. O Defender for Cloud fornece relatórios de inteligência de ameaças contendo informações sobre ameaças detetadas para ajudar as equipes de resposta a incidentes a investigar e remediar ameaças. O relatório inclui informações como:

  • A identidade do atacante ou associações (se esta informação estiver disponível)

  • Os objetivos dos atacantes

  • As campanhas de ataque atuais e históricas (se esta informação estiver disponível)

  • Táticas, ferramentas e procedimentos dos atacantes

  • Os indicadores de comprometimento (IoC) associados, como URLs e hashes de ficheiros

  • A vitimologia, a prevalência do setor e geográfica para ajudá-lo a determinar se os recursos do Azure estão em risco

  • Informações de mitigação e remediação

O Defender for Cloud tem três tipos de relatórios de ameaças, que podem variar de acordo com o ataque. Os relatórios disponíveis são:

  • Relatório do Grupo de Atividades: fornece mergulhos profundos nos atacantes, seus objetivos e táticas.

  • Relatório da Campanha: centra-se nos detalhes sobre campanhas de ataque específicas.

  • Relatório de Resumo da Ameaça: abrange todos os itens nos dois relatórios anteriores.

Esse tipo de informação é útil durante o processo de resposta a incidentes, onde há uma investigação em andamento para entender a origem do ataque, as motivações do atacante e o que fazer para mitigar esse problema no futuro.

Para acessar o relatório de inteligência de ameaças

Para gerar o relatório:

Na barra lateral do Defender for Cloud, abra a página Alertas de segurança.

Selecione um alerta. A página de detalhes dos alertas é aberta com mais detalhes sobre o alerta. Abaixo está a página de detalhes de alerta de indicadores de Ransomware detetados.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Selecione o link para o relatório e um PDF será aberto no navegador padrão.