Análise de ameaças no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
A análise de ameaças é nossa solução de inteligência contra ameaças no produto de pesquisadores especialistas em segurança da Microsoft. Ela foi projetada para ajudar as equipes de segurança a serem o mais eficientes possível ao enfrentar ameaças emergentes, como:
- Atores de ameaças ativos e suas campanhas
- Técnicas de ataque populares e novas
- Vulnerabilidades críticas
- Superfícies de ataque comuns
- Malware predominante
Pode aceder à análise de ameaças no canto superior esquerdo da barra de navegação do portal do Microsoft Defender ou a partir de um cartão de dashboard dedicado que mostra as principais ameaças à sua organização, tanto em termos de impacto conhecido, como em termos de exposição.
Obter visibilidade sobre campanhas ativas ou contínuas e saber o que fazer por meio da análise de ameaças pode ajudar a equipe de operações de segurança a tomar decisões informadas.
Com adversários mais sofisticados e novas ameaças emergentes com frequência e predominantemente, é fundamental ser capaz de rapidamente:
- Identificar e reagir a ameaças emergentes
- Saiba se está atualmente a ser atacado
- Avaliar o impacto da ameaça aos seus ativos
- Reveja a sua resiliência ou exposição às ameaças
- Identifique as ações de mitigação, recuperação ou prevenção que pode tomar para parar ou conter as ameaças
Cada relatório fornece uma análise de uma ameaça controlada e orientações extensivas sobre como se defender contra essa ameaça. Também incorpora dados da sua rede, indicando se a ameaça está ativa e se tem proteções aplicáveis em vigor.
Funções e permissões necessárias
A tabela seguinte descreve as funções e as permissões necessárias para aceder ao Threat Analytics. As funções definidas na tabela referem-se a funções personalizadas em portais individuais e não estão ligadas a funções globais no Microsoft Entra ID, mesmo que com um nome semelhante.
É necessária uma das seguintes funções para o Microsoft Defender XDR | É necessária uma das seguintes funções para o Microsoft Defender para Endpoint | É necessária uma das seguintes funções para o Microsoft Defender para Office 365 | É necessária uma das seguintes funções para o Microsoft Defender para Cloud Apps e o Microsoft Defender para Identidade | É necessária uma das seguintes funções para o Microsoft Defender for Cloud |
---|---|---|---|---|
Análise de ameaças | Dados de alertas e incidentes:
|
Dados de alertas e incidentes:
|
|
|
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Terá visibilidade para todos os relatórios de análise de ameaças, mesmo que tenha apenas um dos produtos e as respetivas funções correspondentes descritas na tabela anterior. No entanto, tem de ter cada produto e funções para ver os incidentes, recursos, exposição e ações recomendadas do produto associados à ameaça.
Saiba mais:
- Funções personalizadas no controlo de acesso baseado em funções para o Microsoft Defender XDR
- Controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender XDR
Exibir o painel de análise de ameaças
O dashboard de análise de ameaças (security.microsoft.com/threatanalytics3) realça os relatórios mais relevantes para a sua organização. Ele resume as ameaças nas seções a seguir:
- Ameaças mais recentes — lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
- Ameaças de impacto elevado — lista as ameaças que têm o maior impacto na sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
- Ameaças de exposição mais elevadas — lista as ameaças às quais a sua organização tem a maior exposição. O nível de exposição a uma ameaça é calculado com duas informações: quão graves são as vulnerabilidades associadas à ameaça e quantos dispositivos na sua organização podem ser explorados por essas vulnerabilidades.
Selecione uma ameaça no painel para exibir o relatório dessa ameaça. Também pode selecionar o campo Procurar para chave numa palavra-chave relacionada com o relatório de análise de ameaças que gostaria de ler.
Ver relatórios por categoria
Pode filtrar a lista de relatórios de ameaças e ver os relatórios mais relevantes de acordo com um tipo de ameaça específico ou por tipo de relatório.
- Etiquetas de ameaças — ajudam-no a ver os relatórios mais relevantes de acordo com uma categoria de ameaças específica. Por exemplo, a etiqueta Ransomware inclui todos os relatórios relacionados com ransomware.
- Tipos de relatório — ajudam-no a ver os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, a etiqueta Ferramentas & técnicas inclui todos os relatórios que abrangem ferramentas e técnicas.
As diferentes etiquetas têm filtros equivalentes que o ajudam a rever eficazmente a lista de relatórios de ameaças e a filtrar a vista com base numa etiqueta de ameaça específica ou num tipo de relatório. Por exemplo, para ver todos os relatórios de ameaças relacionados com a categoria de ransomware ou relatórios de ameaças que envolvam vulnerabilidades.
A equipa do Microsoft Threat Intelligence adiciona etiquetas de ameaça a cada relatório de ameaças. As seguintes etiquetas de ameaça estão atualmente disponíveis:
- Ransomware
- Extorsão
- Phishing
- Mãos no teclado
- Grupo de atividades
- Vulnerabilidade
- Campanha de ataque
- Ferramenta ou técnica
As marcas de ameaça são apresentadas na parte superior da página de análise de ameaças. Há contadores para o número de relatórios disponíveis em cada marca.
Para definir os tipos de relatórios que pretende na lista, selecione Filtros, escolha a partir da lista e selecione Aplicar.
Se definir mais do que um filtro, a lista de relatórios de análise de ameaças também pode ser ordenada por etiqueta de ameaça ao selecionar a coluna de etiquetas de ameaças:
Exibir um relatório de análise de ameaças
Cada relatório de análise de ameaças fornece informações em várias secções:
- Visão Geral
- Relatório de analistas
- Incidentes relacionados
- Recursos afetados
- Exposição de pontos finais
- Ações recomendadas
Descrição geral: Compreenda rapidamente a ameaça, avalie o seu impacto e reveja as defesas
A secção Descrição geral fornece uma pré-visualização do relatório detalhado do analista. Também fornece gráficos que realçam o impacto da ameaça na sua organização e a sua exposição através de dispositivos mal configurados e não recortados.
Avaliar o impacto na sua organização
Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:
-
Incidentes relacionados — fornece uma descrição geral do impacto da ameaça registada na sua organização com os seguintes dados:
- Número de alertas ativos e o número de incidentes ativos a que estão associados
- Gravidade de incidentes ativos
- Alertas ao longo do tempo — mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a sua organização responde a alertas associados a uma ameaça. O ideal é que o gráfico esteja mostrando alertas resolvidos em alguns dias.
- Recursos afetados — mostra o número de recursos distintos que têm atualmente, pelo menos, um alerta ativo associado à ameaça controlada. Os alertas são disparados para caixas de correio que receberam emails de ameaça. Reveja as políticas ao nível da organização e do utilizador para obter substituições que causem a entrega de e-mails de ameaças.
Rever a resiliência e postura de segurança
Cada relatório inclui gráficos que fornecem uma descrição geral da resiliência da sua organização face a uma determinada ameaça:
- Ações recomendadas — mostra a percentagem de estado da ação ou o número de pontos que conseguiu para melhorar a postura de segurança. Execute as ações recomendadas para ajudar a resolver a ameaça. Pode ver a discriminação dos pontos por Categoria ou Estado.
- Exposição de pontos finais — mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.
Relatório do analista: Obter informações de especialistas de investigadores de segurança da Microsoft
Na secção Relatório de analistas , leia a escrita detalhada de especialistas. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataques, incluindo táticas e técnicas mapeadas para o MITRE ATT&arquitetura CK, listas exaustivas de recomendações e poderosas orientações de investigação de ameaças .
Saiba mais sobre o relatório do analista
Incidentes relacionados: Ver e gerir incidentes relacionados
A guia Incidentes relacionados fornece a lista de todos os incidentes relacionados à ameaça controlada. Você pode atribuir incidentes ou gerenciar alertas vinculados a cada incidente.
Observação
Os incidentes e alertas associados à ameaça são obtidos a partir do Defender para Endpoint, Defender para Identidade, Defender para Office 365, Defender para Cloud Apps e Defender para Cloud.
Recursos afetados: obter lista de dispositivos, utilizadores, caixas de correio, aplicações e recursos na cloud afetados
O separador Ativos afetados mostra os recursos afetados pela ameaça ao longo do tempo. É apresentado:
- Recursos afetados por alertas ativos
- Recursos afetados por alertas resolvidos
- Todos os recursos ou o número total de recursos afetados por alertas ativos e resolvidos
Os recursos estão divididos nas seguintes categorias:
- Dispositivos
- Usuários
- Caixas de correio
- Aplicativos
- Recursos de nuvem
Exposição de pontos finais: Conhecer o estado de implementação das atualizações de segurança
A secção Exposição de Pontos finais fornece o nível de Exposição da sua organização à ameaça, que é calculado com base na gravidade das vulnerabilidades e configurações incorretas exploradas pela mesma e no número de dispositivos com estas fraquezas.
Esta secção também fornece o estado de implementação das atualizações de segurança de software suportadas para vulnerabilidades encontradas em dispositivos integrados. Incorpora dados da Gestão de Vulnerabilidades do Microsoft Defender, que também fornece informações detalhadas de desagregação de várias ligações no relatório.
Ações recomendadas: veja a lista de mitigações e o estado dos seus dispositivos
No separador Ações recomendadas , reveja a lista de recomendações acionáveis específicas que podem ajudá-lo a aumentar a resiliência organizacional contra a ameaça. A lista de mitigações registadas inclui configurações de segurança suportadas, tais como:
- Proteção fornecida na nuvem
- Proteção de aplicativo potencialmente indesejado (PUA)
- Proteção em tempo real
Configurar notificações por e-mail para atualizações de relatórios
Pode configurar notificações por e-mail que lhe irão enviar atualizações em relatórios de análise de ameaças. Para criar notificações por e-mail, siga os passos em Obter notificações por e-mail para atualizações da Análise de ameaças no Microsoft Defender XDR.
Outros detalhes e limitações do relatório
Ao analisar os dados da análise de ameaças, lembre-se dos seguintes fatores:
- A lista de verificação no separador Ações recomendadas só apresenta recomendações registadas na Classificação de Segurança da Microsoft. Verifique o separador Relatório do analista para obter mais ações recomendadas que não são controladas na Classificação de Segurança.
- As ações recomendadas não garantem uma resiliência total e refletem apenas as melhores ações possíveis necessárias para melhorá-la.
- As estatísticas relacionadas com o antivírus baseiam-se nas definições do Antivírus do Microsoft Defender.
Confira também
- Encontrar proativamente ameaças com investigação avançada
- Compreender a secção de relatório do analista
- Avaliar e resolver fraquezas e exposições de segurança
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.