Detecção e resposta gerenciadas

Aplica-se a:

Para obter instruções de deteção e resposta geridas, veja este breve vídeo.

Através de uma combinação de automatização e conhecimentos humanos, os Especialistas do Microsoft Defender para XDR triagem incidentes XDR do Microsoft Defender, prioriza-os em seu nome, filtra o ruído, realiza investigações detalhadas e fornece uma resposta gerida acionável às suas equipas do centro de operações de segurança (SOC).

Atualizações de incidentes

Assim que os nossos especialistas começarem a investigar um incidente, os campos Atribuído a e Estado do incidente são atualizados para Especialistas do Defender e Em curso, respetivamente.

Quando os nossos especialistas concluem a investigação sobre um incidente, o campo Classificação do incidente é atualizado para um dos seguintes, dependendo das conclusões dos especialistas:

  • Verdadeiro Positivo
  • Falso Positivo
  • Atividade Informativa e Esperada

O campo Determinação correspondente a cada classificação também é atualizado para fornecer mais informações sobre os resultados que levaram os nossos especialistas a determinar a classificação.

Captura de ecrã da página Incidentes a mostrar os campos Etiquetas, Estado, Atribuído a, Classificação e Determinação.

Se um incidente for classificado como Falso Positivo ou Informativo, Atividade Esperada, o campo Estado do incidente é atualizado para Resolvido. Em seguida, os nossos especialistas concluem o seu trabalho sobre este incidente e o campo Atribuído a é atualizado para Não Atribuído. Os nossos especialistas podem partilhar atualizações da sua investigação e a sua conclusão ao resolver um incidente. Estas atualizações são publicadas em Resumo da Investigação no painel de lista de opções Resposta gerida do incidente.

Caso contrário, se um incidente for classificado como Verdadeiro Positivo, os nossos especialistas identificarão as ações de resposta necessárias que têm de ser executadas. O método no qual as ações são executadas depende das permissões e níveis de acesso que deu aos Especialistas do Defender para o serviço XDR. Saiba mais sobre como conceder permissões aos nossos especialistas.

  • Se tiver concedido aos Especialistas do Defender para XDR as permissões de acesso recomendadas do Operador de Segurança, os nossos especialistas poderão realizar as ações de resposta necessárias no incidente em seu nome. Estas ações, juntamente com um resumo de Investigação, são apresentadas no painel de lista de opções resposta gerida do incidente no portal do Microsoft Defender para que você ou a sua equipa do SOC possam rever. Todas as ações concluídas pelos Especialistas do Defender para XDR são apresentadas na secção Ações concluídas . Todas as ações pendentes que exijam a conclusão da equipa SOC são listadas na secção Ações pendentes . Para obter mais informações, veja a secção Ações . Assim que os nossos especialistas tiverem efetuado todas as ações necessárias no incidente, o respetivo campo Estado é atualizado para Resolvido e o campo Atribuído a é atualizado para Cliente.

  • Se tiver concedido aos Especialistas do Defender para XDR o acesso predefinido ao Leitor de Segurança, as ações de resposta necessárias, juntamente com um resumo de Investigação, aparecem no painel de lista de opções Resposta gerida do incidente na secção Ações pendentes no portal do Microsoft Defender para que o utilizador ou a equipa do SOC efetuem. Para obter mais informações, veja a secção Ações . Para identificar esta transferência, o campo Estado do incidente é atualizado para Aguardar Ação do Cliente e o campo Atribuído a é atualizado para Cliente.

Pode verificar o número de incidentes que requerem a sua ação na faixa Especialistas em Defender na parte superior da home page do Microsoft Defender.

Captura de ecrã do cartão Especialistas do Defender no portal do Microsoft Defender a mostrar o número de incidentes que aguardam a ação do cliente.

Pode ver os incidentes relacionados com Especialistas do Defender ao filtrar a fila de incidentes no portal do Microsoft Defender através de vários conjuntos de filtros. Saiba mais sobre como adicionar filtros de fila de incidentes

  • Para ver os incidentes que os nossos especialistas estão a investigar, utilize o filtro Atribuição de incidentes , selecione Atribuído a Especialistas do Defender.

  • Para ver os incidentes que os nossos especialistas investigaram e entregaram à sua equipa para agir em ações de remediação pendentes, utilizando o filtro Atribuição de incidentes, selecione Atribuído à equipa do cliente.

    Captura de ecrã da fila Incidentes filtrada para mostrar apenas aqueles com a etiqueta Atribuído a Especialistas do Defender.

  • Para ver os incidentes que os nossos especialistas investigaram e entregaram à sua equipa para agir sobre ações de remediação pendentes, utilizando o filtro Estado , selecione Aguardar Ação do Cliente.

    Captura de ecrã da fila Incidentes no portal do Microsoft Defender filtrada para mostrar apenas aqueles com a etiqueta A aguardar ação do cliente.

  • Para ver os incidentes em que os nossos especialistas concluíram a investigação (e foram diretamente resolvidos ou atribuídos à sua equipa para ações de remediação pendentes), utilizando o filtro Etiquetas , selecione Especialistas do Defender.

    Captura de ecrã da fila Incidentes no portal do Microsoft Defender filtrada para mostrar apenas a etiqueta Especialistas do Defender.

Como utilizar a resposta gerida no Microsoft Defender XDR

No portal do Microsoft Defender, um incidente que requer a sua atenção através da resposta gerida tem o campo Estado definido como Aguardar Ação do Cliente, o campo Atribuído a definido como Cliente e um cartão de tarefas na parte superior do painel Incidentes . Os contactos de incidente designados também recebem uma notificação por e-mail correspondente com uma ligação para o portal do Defender para ver o incidente. Saiba mais sobre os contactos de notificação. Também receberá uma notificação do Teams a informá-lo sobre as atualizações. Saiba mais sobre como configurar o Teams

Selecione Ver resposta gerida no cartão de tarefa ou na parte superior da página do portal (separador Resposta gerida ) para abrir um painel de lista de opções onde pode ler o resumo da investigação dos nossos especialistas, concluir ações pendentes identificadas pelos nossos especialistas ou interagir com os mesmos através do chat.

Resumo da investigação

A secção Resumo da investigação fornece-lhe mais contexto sobre o incidente analisado pelos nossos especialistas para lhe fornecer visibilidade sobre a sua gravidade e impacto potencial se não for resolvido imediatamente. Pode incluir a linha cronológica do dispositivo, indicadores de ataque e indicadores de comprometimento (IOCs) observados e outros detalhes.

Captura de ecrã do resumo da investigação de resposta gerida.

Ações

O separador Ações apresenta cartões de tarefas que contêm ações de resposta recomendadas pelos nossos especialistas.

Atualmente, os Especialistas em Defender para XDR suportam as seguintes ações de resposta gerida com um clique:

Action Descrição
Isolar dispositivo Isola um dispositivo, o que ajuda a impedir que um atacante controle o mesmo e realize atividades adicionais, como a transferência de dados exfiltração e movimento lateral. O dispositivo isolado continuará ligado ao Microsoft Defender para Endpoint.
Arquivo de quarentena Para a execução de processos, coloca os ficheiros em quarentena e elimina dados persistentes, como chaves de registo.
Restringir execução de aplicativo Restringe a execução de programas potencialmente maliciosos e bloqueia o dispositivo para evitar mais tentativas.
Libertar do isolamento Anula o isolamento de um dispositivo.
Remover restrição de aplicativo Anula a libertação do isolamento.
Desativar utilizador Desative uma identidade de aceder à rede e a diferentes pontos finais.

Para além destas ações com um clique, também pode receber respostas geridas dos nossos especialistas que precisa de realizar manualmente.

Observação

Antes de executar qualquer uma das ações de resposta gerida recomendadas, certifique-se de que estas ainda não estão a ser abordadas pelas configurações automatizadas de investigação e resposta. Saiba mais sobre as capacidades de investigação e resposta automatizadas no Microsoft Defender XDR.

Para ver e executar as ações de resposta gerida:

  1. Selecione os botões de seta num cartão de ação para expandi-lo e ler mais informações sobre a ação necessária.

    Captura de ecrã da ação de resposta gerida para isolar o servidor prod do dispositivo.

  2. Para cartões com ações de resposta com um clique, selecione a ação necessária. O Estado da ação no cartão muda para Em curso e, em seguida, para Com Falhas ou Concluída, dependendo do resultado da ação.

    Captura de ecrã a mostrar a ação de resposta gerida que mostra em curso para isolar o servidor de prod do dispositivo.

Dica

Também pode monitorizar o estado das ações de resposta no portal no Centro de ação. Se uma ação de resposta falhar, tente fazê-lo novamente a partir da página Ver detalhes do dispositivo ou inicie uma conversa com especialistas do Defender.

  1. Para cartões com as ações necessárias que precisa de executar manualmente, selecione Concluí esta ação depois de as executar e, em seguida, selecione Sim, já o fiz na caixa de diálogo de confirmação apresentada.

    Captura de ecrã da ação de resposta gerida para confirmar a conclusão da ação.

  2. Se não quiser concluir imediatamente uma ação necessária, selecione Ignorar e, em seguida, selecione Sim, ignore esta ação na caixa de diálogo de confirmação apresentada.

Importante

Se reparar que qualquer um dos botões nos cartões de ação está desativado, poderá indicar que não tem as permissões necessárias para efetuar a ação. Certifique-se de que tem sessão iniciada no portal XDR do Microsoft Defender com as permissões adequadas. A maioria das ações de resposta geridas requer que tenha, pelo menos, o acesso do Operador de Segurança. Se ainda encontrar este problema mesmo com as permissões adequadas, navegue para Ver detalhes do dispositivo e conclua os passos a partir daí.

Obter visibilidade para investigações de Especialistas em Defender na sua aplicação SIEM ou ITSM

À medida que os Especialistas em Defender para XDR investigam incidentes e apresentam ações de remediação, pode ter visibilidade do seu trabalho sobre incidentes nas suas aplicações de gestão de informações e eventos de segurança (SIEM) e gestão de serviços de TI (ITSM), incluindo aplicações que estão disponíveis desativadas.

Microsoft Sentinel

Pode obter visibilidade de incidentes no Microsoft Sentinel ao ativar o conector de dados XDR do Microsoft Defender. Saiba mais.

Depois de ativar o conector, as atualizações dos peritos do Defender para os campos Estado, Atribuído a, Classificação e Determinação no Microsoft Defender XDR serão apresentadas nos campos Estado, Proprietário e Motivo correspondentes para fechar no Sentinel.

Observação

O estado dos incidentes investigados por Especialistas do Defender no Microsoft Defender XDR normalmente transita de Ativo para Em curso para Aguardar Ação do Cliente para Resolvido, enquanto no Sentinel segue o caminho Novo para Ativo para Resolvido . O Estado XDR do Microsoft Defender a Aguardar Ação do Cliente não tem um campo equivalente no Sentinel; Em vez disso, é apresentado como uma etiqueta num incidente no Sentinel.

A secção seguinte descreve como um incidente tratado pelos nossos especialistas é atualizado no Sentinel à medida que progride ao longo do percurso de investigação:

  1. Um incidente que está a ser investigado pelos nossos especialistas tem o Estado listado como Ativo e o Proprietário listado como Especialistas do Defender.

  2. Um incidente que os nossos especialistas confirmaram como Verdadeiro Positivo tem uma resposta gerida publicada no Microsoft Defender XDR e uma Etiquetaa Aguardar Ação do Cliente e o Proprietário está listado como Cliente. Tem de agir sobre o incidente com base na utilização da resposta gerida fornecida no portal do Defender.

  3. Um incidente que os nossos especialistas confirmaram como Um Verdadeiro Positivo, com todas as ações de remediação tomadas por Especialistas do Defender, tem o Estado do incidente atualizado para Resolvido e o Proprietário é listado como Cliente. Pode rever as ações concluídas no incidente com a resposta gerida fornecida no portal do Defender.

  4. Assim que os nossos peritos concluírem a investigação e encerrarem um incidente como Falso Positivo ou Informativo, Atividade Esperada, o Estado do incidente é atualizado para Resolvido, o Proprietário é atualizado para Não Atribuído e é fornecido um Motivo para fechar .

    Captura de ecrã a mostrar os incidentes do Microsoft Sentinel.

Outros aplicativos

Pode obter visibilidade sobre incidentes na sua aplicação SIEM ou ITSM com a API ou conectoresdo Microsoft Defender XDR no Sentinel.

Depois de configurar um conector, as atualizações dos Especialistas do Defender para os campos Estado, Atribuído a, Classificação e Determinação de um incidente no Microsoft Defender XDR podem ser sincronizadas com as aplicações SIEM ou ITSM de terceiros, consoante a forma como o mapeamento de campos foi implementado. Para ilustrar, pode ver o conector disponível do Sentinel para o ServiceNow.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.