Estudar análise de ameaças

  • 3 minutos

A análise de ameaças é uma solução de inteligência contra ameaças incluída, oferecida por pesquisadores especialistas em segurança da Microsoft. Ele foi projetado para ajudar as equipes de segurança a serem o mais eficientes possível enquanto enfrentam ameaças emergentes, como:

  • Atores de ameaças ativos e suas campanhas
  • Técnicas de ataque populares e novas
  • Vulnerabilidades críticas
  • Superfícies de ataque comuns
  • Malware predominante

Você pode acessar a análise de ameaças no lado superior esquerdo do menu de navegação do portal de segurança do Microsoft Defender, expandindo Inteligência contra ameaças, ou em um cartão de painel de Análise de ameaças dedicado que mostra as ameaças à sua organização, tanto em termos de impacto quanto em termos de exposição.

Captura de tela do painel de Análise de ameaças.

As ameaças de alto impacto têm o maior potencial de causar danos, enquanto as ameaças de alta exposição são aquelas a que seus ativos são mais vulneráveis. Obter visibilidade sobre campanhas ativas ou contínuas e saber o que fazer por meio da análise de ameaças pode ajudar a equipar sua equipe de operações de segurança com decisões informadas.

Com adversários mais sofisticados e novas ameaças que surgem frequentemente e de forma predominante, é essencial ser capaz de conseguir rapidamente:

  • Identificar e reagir a ameaças emergentes
  • Saber se você está sob ataque no momento
  • Avaliar o impacto da ameaça aos seus ativos
  • Examinar sua resiliência contra a ameaça ou exposição a elas
  • Identificar as ações de mitigação, recuperação ou prevenção que você pode executar para interromper ou conter as ameaças

Cada relatório fornece uma análise de uma ameaça rastreada e uma ampla orientação sobre como se defender contra essa ameaça. Ele também incorpora dados de sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor.

Exibir o painel de análise de ameaças

O painel de análise de ameaças destaca os relatórios que são mais relevantes para sua organização. Ele resume as ameaças nas seguintes seções:

  • Ameaças mais recentes — lista os relatórios de ameaças atualizados ou publicados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
  • Ameaças de alto impacto — lista as ameaças que têm o maior impacto na sua organização. Essa seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
  • Maior exposição – lista as ameaças com os níveis de exposição mais altos primeiro. o nível de exposição de uma ameaça é calculado usando duas informações: o grau de severidade das vulnerabilidades associadas à ameaça e quantos dispositivos da sua organização poderiam ser explorados por essas vulnerabilidades.

Selecionar uma ameaça no painel exibe o relatório dessa ameaça.

Exibir um relatório de análise de ameaças. Cada relatório da Análise da Ameaças fornece informações em várias seções:

  • Visão geral
  • Relatório de analistas
  • Incidentes relacionados
  • Ativos afetados
  • Tentativas de email impedidas
  • Exposição e mitigações

Visão geral: entenda rapidamente a ameaça, avalie seu impacto e examine as defesas

A seção Visão geral fornece uma visualização do relatório detalhado do analista. Ele também fornece gráficos que destacam o impacto da ameaça à sua organização e sua exposição por meio de dispositivos configurados incorretamente e sem patches.

Avaliar impacto na sua organização

Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:

  • Incidentes relacionados – fornece uma visão geral do impacto da ameaça rastreada para a sua organização com o número de alertas ativos e o número de incidentes ativos aos quais eles estão associados, além da gravidade dos incidentes ativos
  • Alertas ao longo do tempo – mostra o número de alertas ativos e resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que sua organização responde aos alertas associados a uma ameaça. O ideal é que o gráfico mostre alertas resolvidos em alguns dias.
  • Ativos afetados — mostra o número de dispositivos distintos e contas de email (caixas de correio) que atualmente têm pelo menos um alerta ativo associado à ameaça rastreada. Os alertas são disparados para caixas de correio que receberam emails de ameaça. Examine as políticas de nível de organização e de usuário para obter substituições que causam a entrega de emails de ameaça.
  • Tentativas de email impedidas — mostra o número de emails dos últimos sete dias que foram bloqueados antes da entrega ou entregues à pasta de lixo eletrônico.

Examine a resiliência e a postura de segurança

Cada relatório inclui gráficos que fornecem uma visão geral do quão resiliente sua organização é em relação a uma determinada ameaça:

  • Status de configuração segura – mostra o número de dispositivos com configurações de segurança incorretas. Aplique as configurações de segurança recomendadas para ajudar a atenuar a ameaça. Os dispositivos serão considerados seguros se tiverem aplicado todas as configurações controladas.
  • Status de patch de vulnerabilidade — mostra o número de dispositivos vulneráveis. Aplique atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Exibir relatórios por marcas de ameaça

Você pode filtrar a lista de relatórios de ameaças e exibir os relatórios mais relevantes de acordo com uma marca de ameaça específica (categoria) ou um tipo de relatório.

  • Marcas de ameaça – ajudam você a exibir os relatórios mais relevantes de acordo com uma categoria de ameaça específica. Por exemplo, todos os relatórios relacionados a ransomware.
  • Tipos de relatórios – ajudam você a exibir os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, todos os relatórios que abrangem ferramentas e técnicas.
  • Filtros – ajudam você a revisar com eficiência a lista de relatórios de ameaças e filtrar o modo de exibição com base em uma marca de ameaça ou tipo de relatório específico. Por exemplo, examine todos os relatórios de ameaças relacionados à categoria de ransomware ou relatórios de ameaças que cobrem vulnerabilidades.

Como ele funciona?

A equipe de inteligência contra ameaças da Microsoft adicionou marcas de ameaça a cada relatório de ameaças:

Quatro marcas de ameaça agora estão disponíveis:

  • Ransomware
  • Phishing
  • Vulnerabilidade
  • Grupo de atividades

As marcas de ameaça são apresentadas na parte superior da página de análise de ameaças. Há contadores para o número de relatórios disponíveis em cada marca.

Relatório de analistas: obter informações de pesquisadores de segurança especializados da Microsoft

Na seção de relatório de analista, leia o artigo detalhado do especialista. A maioria dos relatórios fornece descrições detalhadas de cadeias de ataque, incluindo táticas e técnicas mapeadas para a estrutura MITRE ATT&CK, listas exaustivas de recomendações e diretrizes poderosas de busca de ameaças.

A guia Incidentes relacionados fornece a lista de todos os incidentes relacionados à ameaça rastreada. Você pode atribuir incidentes ou gerenciar alertas vinculados a cada incidente.

Ativos afetados: obter lista de caixas de correio e dispositivos afetados

Um ativo será considerado afetado se for afetado por um alerta ativo e não resolvido. A guia Ativos afetados lista os seguintes tipos de ativos afetados:

  • Dispositivos afetados — pontos de extremidade que têm alertas não resolvidos do Microsoft Defender para Ponto de Extremidade. Esses alertas normalmente são acionados em observações de atividades e indicadores de ameaças conhecidos.

  • Caixas de correio afetadas — caixas de correio que receberam mensagens de email que dispararam alertas do Microsoft Defender para Office 365. Embora a maioria das mensagens que disparam alertas sejam normalmente bloqueadas, as políticas no nível do usuário ou da organização podem substituir filtros.

Tentativas de email impedidas: exibir emails de ameaças bloqueados ou descartados

O Microsoft Defender para Office 365 normalmente bloqueia emails com indicadores de ameaça conhecidos, incluindo anexos ou links mal-intencionados. Em alguns casos, mecanismos de filtragem proativos que verificam conteúdo suspeito enviarão emails de ameaça para a pasta lixo eletrônico. Em ambos os casos, as chances de a ameaça iniciar código de malware no dispositivo é reduzida.

A guia Tentativas de email impedidas lista todos os emails que foram bloqueados antes da entrega ou enviados para a pasta de lixo eletrônico pelo Microsoft Defender para Office.

Exposição e mitigações: examinar lista de mitigações e o status de seus dispositivos

Na seção Exposição e mitigações, examine a lista de recomendações específicas e acionáveis que podem ajudá-lo a aumentar sua resiliência organizacional contra a ameaça. A lista de mitigações controladas inclui:

  • Atualizações de segurança – implantação de atualizações de segurança de software com suporte para vulnerabilidades encontradas em dispositivos integrados
  • Configurações de segurança com suporte
    • Proteção fornecida na nuvem
    • Proteção de aplicativo potencialmente indesejado (PUA)
    • Proteção em tempo real

As informações de mitigação nesta seção incorporam dados do gerenciamento de ameaças e de vulnerabilidades, que também fornece informações detalhadas sobre o detalhamento de vários links no relatório.

Configurar notificações por emails para atualizações de relatórios

Você pode configurar notificações por email que enviam atualizações em relatórios de análise de ameaças.

Para configurar notificações por email para relatórios de análise de ameaças, execute as seguintes etapas:

  1. Selecione Configurações na barra lateral do Microsoft Defender XDR. Selecione Microsoft Defender XDR na lista de configurações.

  2. Escolha Notificações por email > Análise de ameaças e selecione o botão + Criar uma regra de notificação. Um submenu é exibido.

  3. Siga as etapas listadas no submenu. Primeiro, dê um nome à nova regra. O campo de descrição é opcional, mas um nome é necessário. Você pode ativar ou desativar a regra usando a caixa de seleção no campo de descrição.

    Observação

    Os campos de nome e descrição de uma nova regra de notificação aceitam apenas letras e números em inglês. Eles não aceitam espaços, traços, sublinhados ou qualquer outra pontuação.

  4. Escolha sobre qual tipo de relatório deseja receber notificações. Você pode escolher entre receber atualizações sobre todos os relatórios recém-publicados ou atualizados ou apenas os relatórios que têm uma determinada marcação ou tipo.

  5. Adicione pelo menos um destinatário para receber os emails de notificação. Você também pode usar essa tela para verificar como as notificações serão recebidas, enviando um email de teste.

  1. Revise sua nova regra. Se houver algo que você gostaria de alterar, selecione o botão Editar no final de cada subseção. Depois que a revisão for concluída, selecione o botão Criar regra.

Sua nova regra foi criada com êxito. Selecione o botão Concluído para concluir o processo e fechar o submenu. Sua nova regra agora será exibida na lista de notificações por email da análise de ameaças.