Gerenciar e responder aos alertas de segurança

O Defender para Nuvem coleta, analisa e integra dados de log de seus recursos do Azure, híbridos e multivem da rede e das soluções de parceiros conectados, como firewalls e agentes de ponto de extremidade. O Defender para Nuvem usa os dados de log para detectar ameaças reais e reduzir falsos positivos. Uma lista priorizada de alertas de segurança é exibida no Defender para Nuvem, junto as informações necessárias para investigar rapidamente o problema e quais etapas realizar para corrigir um ataque.

Este artigo mostra como exibir e processar alertas do Defender para Nuvem e proteger os seus recursos.

Ao triar alertas de segurança, você deve priorizar alertas com base na severidade do alerta, resolvendo alertas de severidade mais altos primeiro. Saiba mais sobre como os alertas são classificados.

Dica

Você pode conectar o Microsoft Defender para Nuvem às soluções SIEM, incluindo o Microsoft Sentinel, e consumir os alertas de sua ferramenta de escolha. Saiba mais em como transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI.

Pré-requisitos

Para pré-requisitos e requisitos, confira Matrizes de suporte para o Defender para Nuvem.

Gerenciar os seus alertas de segurança

Siga estas etapas:

  1. Entre no portal do Azure.

  2. Navegue até Microsoft Defender para Nuvem>Alertas de segurança.

    Captura de tela que mostra a página de alertas de segurança da página de visão geral do Microsoft Defender para Nuvem.

  3. (Opcional) Filtre a lista de alertas com qualquer um dos filtros relevantes. Você pode adicionar filtros extras com a opção Adicionar filtro.

    Captura de tela que mostra como adicionar filtros à exibição de alertas.

    A lista é atualizada de acordo com os filtros selecionados. Por exemplo, convém lidar com os alertas de segurança que ocorreram nas últimas 24 horas, pois você está investigando uma possível falha no sistema.

Investigar um alerta de segurança

Cada alerta contém informações sobre o alerta que ajuda você na investigação.

Para investigar um alerta de segurança:

  1. Selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e todos os recursos afetados.

    Captura de tela da exibição de detalhes de alto nível de um alerta de segurança.

  2. Examine as informações de alto nível sobre o alerta de segurança.

    • A severidade, o status e a hora da atividade do alerta
    • Descrição que explica a atividade precisa que foi detectada
    • Recursos afetados
    • Encerrar a intenção da cadeia da atividade na matriz MITRE ATT&CK (se aplicável)
  3. Selecione Exibir detalhes completos.

    O painel direito inclui a guia Detalhes do alerta que contém mais detalhes do alerta para ajudar você a investigar o problema: endereços IP, arquivos, processos e muito mais.

    Captura de tela que mostra a página de detalhes completos de um alerta.

    Além disso, no painel direito há a guia Executar ação. Use essa guia para executar outras ações em relação ao alerta de segurança. Ações como:

    • Inspecionar contexto do recurso – envia você para os logs de atividades do recurso que dão suporte ao alerta de segurança
    • Mitigar a ameaça: fornece etapas de correção manual para esse alerta de segurança
    • Evitar ataques futuros: fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros
    • Disparar a resposta automatizada: fornece a opção de disparar um aplicativo lógico como uma resposta a este alerta de segurança
    • Suprimir alertas semelhantes – fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

    Captura de tela que mostra as opções disponíveis na guia Executar ação.

    Para obter mais detalhes, entre em contato com o proprietário do recurso para verificar se a atividade detectada é um falso positivo. Você também pode investigar os logs brutos gerados pelo recurso atacado.

Alterar o status de vários alertas de segurança de uma vez

A lista de alertas inclui caixas de seleção para que você possa manipular vários alertas ao mesmo tempo. Por exemplo, para fins de triagem, você pode optar por ignorar todos os alertas informativos de um recurso específico.

  1. Filtre de acordo com os alertas que você deseja manipular em massa.

    Neste exemplo, os alertas com severidade do Informational recurso ASC-AKS-CLOUD-TALK são selecionados.

    Captura de tela que mostra como filtrar alertas para mostrar alertas relacionados.

  2. Use as caixas de seleção para selecionar os alertas a serem processados.

    Neste exemplo, todos os alertas são selecionados. O botão Alterar status agora está disponível.

    Captura de tela da seleção de todos os alertas a serem manipulados em massa.

  3. Use as opções de Alterar status para definir o status desejado.

    Captura de tela da guia status dos alertas de segurança.

    Os alertas mostrados na página atual terão o status alterado para o valor selecionado.

Responder a um alerta de segurança

Depois de investigar um alerta de segurança, você pode responder ao alerta de dentro do Microsoft Defender para Nuvem.

Para responder a um alerta de segurança:

  1. Abra a guia Executar ação para ver as respostas recomendadas.

    Captura de tela da guia de ação dos alertas de segurança.

  2. Examine na seção Atenuar a ameaça as etapas de investigação manual necessárias para atenuar o problema.

  3. Para proteger seus recursos e evitar ataques futuros desse tipo, corrija as recomendações de segurança na seção Evitar ataques futuros.

  4. Para disparar um aplicativo lógico com etapas de resposta automatizadas, use a seção Disparar resposta automatizada e selecione Disparar aplicativo lógico.

  5. Se a atividade detectada não for mal intencionada, suprima alertas futuros desse tipo usando a seção Suprimir alertas semelhantes e selecione Criar regra de supressão.

  6. Selecione Definir configurações de notificação por email para exibir quem recebe emails sobre alertas de segurança nesta assinatura. Entre em contato com o proprietário da assinatura para definir as configurações de emails.

  7. Quando tiver concluído a investigação do alerta e respondido da maneira apropriada, altere o status para Ignorado.

    Captura de tela do menu suspenso de status do alerta.

    O alerta é removido da lista de alertas principais. Use o filtro na página de lista de alertas para exibir todos os alertas com status de Ignorado.

  8. Incentivamos você a fornecer comentários sobre o alerta à Microsoft:

    1. Marque o alerta como Útil ou Não útil.
    2. Selecione um motivo e adicione um comentário.

    Captura de tela da janela fornecer comentários para a Microsoft que permite selecionar a utilidade de um alerta.

    Dica

    Analisamos seus comentários para aprimorar nossos algoritmos e fornecer alertas de segurança melhores.

    Para saber mais sobre os diferentes tipos de alertas, confira Alertas de segurança – Um guia de referência.

    Para ter uma visão geral de como o Defender para Nuvem gera alertas, consulte Como o Microsoft Defender para Nuvem detecta e responde a ameaças.

    Examinar os resultados da verificação sem agente

    Os resultados do verificador baseado em agente e sem agente aparecem na página Alertas de segurança.

    Captura de tela da página de alertas de segurança que mostra os resultados dos resultados da verificação baseada em agente e sem agente.

    Observação

    A correção de um desses alertas não corrigirá o outro alerta até que a próxima verificação seja concluída.