Exibir e investigar alertas

  • 10 minutos

Gerenciar alertas de investigação

Você pode gerenciar alertas selecionando um alerta na fila Alertas ou na guia Alertas da página Dispositivo de um dispositivo individual. Selecionar um alerta em qualquer um desses locais abre o painel de gerenciamento de alertas.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

Gerenciamento de alertas

Você pode exibir e definir metadados sobre a página Visualização de alerta ou Detalhes do alerta.

Screenshot of the Microsoft Defender XDR Alert details page.

Os campos de metadados e as ações incluem:

Severidade

  • Alta (Vermelho) – alertas comumente associados a APT (ameaças avançadas persistentes). Esses alertas indicam um alto risco devido à severidade dos danos que eles podem causar nos dispositivos. Exemplos incluem atividades de ferramentas de roubo de credenciais, atividades de ransomware não associadas a nenhum grupo, violação de sensores de segurança ou qualquer indicativo de atividades mal-intencionadas de um adversário humano.

  • Média (Laranja) – alertas de comportamentos pós-violação de resposta e de ponto de extremidade que podem fazer parte de uma APT. Isso inclui comportamentos observados típicos de estágios de ataque, alteração anormal de registro, execução de arquivos suspeitos e assim por diante. Embora alguns possam fazer parte do teste de segurança interno, esse tipo de alerta requer investigação, pois também pode ser parte de um ataque avançado.

  • Baixa (Amarelo) – alertas sobre ameaças associadas a malware comum. Por exemplo, ferramentas de invasão e ferramentas de invasão não relacionadas a malware, como a execução de comandos de exploração, limpeza de logs etc., geralmente não indicam uma ameaça avançada que visa a organização. Esse tipo de alerta também pode vir de um teste de ferramenta de segurança isolado feito por um usuário em sua organização.

  • Informativa (Cinza) – alertas que podem não ser considerados prejudiciais à rede, mas podem gerar reconhecimento da segurança organizacional sobre possíveis problemas de segurança.

As severidades de alerta do Microsoft Defender AV (Microsoft Defender Antivírus) e do Defender para Ponto de Extremidade são diferentes porque representam escopos diferentes. A severidade de ameaça do Microsoft Defender AV representa a severidade absoluta da ameaça detectada (malware) e é atribuída com base no possível risco ao dispositivo individual, se infectado.

A severidade do alerta do Defender para Ponto de Extremidade representa a severidade do comportamento detectado, o risco real para o dispositivo e, o mais importante, o risco potencial para a organização.

Então, por exemplo:

  • A severidade de um alerta do Defender para Ponto de Extremidade sobre uma ameaça detectada pelo Microsoft Defender AV que foi evitada e não infectou o dispositivo é categorizada como "Informativa", porque não houve nenhum dano real.

  • Um alerta sobre um malware comercial detectado durante a execução, mas bloqueado e corrigido pelo Microsoft Defender AV é categorizado com severidade "Baixa", porque pode ter causado algum dano ao dispositivo individual, mas não apresenta nenhuma ameaça organizacional.

  • Um alerta sobre malware detectado durante a execução que pode representar uma ameaça não apenas para o dispositivo individual, mas para a organização, independentemente de ser bloqueado, pode ser classificado com severidade "Média" ou "Alta".

  • Alertas de comportamento suspeitos, que não foram bloqueados nem corrigidos, serão classificados com severidade "Baixa", "Média" ou "Alta", seguindo as mesmas considerações de ameaças organizacionais.

Categorias

As categorias de alerta estão estreitamente alinhadas com as táticas e técnicas de ataque na matriz MITRE ATT&CK Enterprise.

Observação

As categorias de alerta também incluem itens (como Unwanted Software) que não fazem parte das matrizes ATT&CK.

As categorias são:

  • Coleta – localizar e coletar dados para exfiltração

  • Comando e controle – conectar-se à infraestrutura de rede controlada pelo invasor para retransmitir dados ou receber comandos

  • Acesso a credenciais – obter credenciais válidas para estender o controle sobre dispositivos e outros recursos da rede

  • Evasão de defesa – evitar controles de segurança, por exemplo, desativando os aplicativos de segurança, excluindo implantações e executando rootkits

  • Descoberta – coletar informações sobre dispositivos e recursos importantes, como computadores de administrador, controladores de domínio e servidores de arquivos

  • Execução – iniciar ferramentas de invasor e código mal-intencionado, incluindo RATs e backdoors

  • Exfiltração – extrair dados da rede para um local externo controlado pelo invasor

  • Exploração – código de exploração e possível atividade de exploração

  • Acesso inicial – obter a entrada inicial na rede de destino, o que geralmente envolve adivinhação de senha, explorações ou emails de phishing

  • Movimento lateral – mover-se entre dispositivos na rede de destino para alcançar recursos críticos ou obter persistência de rede

  • Malware – backdoors, trojans e outros tipos de código mal-intencionado

  • Persistência – criar ASEPs (pontos de extensibilidade de início automático) para permanecer ativo e sobreviver a reinicializações do sistema

  • Elevação de privilégio – obter níveis de permissão mais elevados para o código executando-o no contexto de um processo ou de uma conta privilegiada

  • Ransomware – malware que criptografa arquivos e extorque pagamentos para a restauração do acesso

  • Atividade suspeita – atividade atípica que pode ser proveniente de malware ou fazer parte de um ataque

  • Software indesejado – aplicativos e aplicativos de baixa reputação que afetam a produtividade e a experiência do usuário; detectados como PUAs (aplicativos potencialmente indesejados)

Você pode criar um incidente por meio do alerta ou vinculá-lo a um incidente existente.

Atribuir alertas

Se um alerta ainda não tiver sido atribuído, você poderá selecionar Atribuir a mim para atribuí-lo a si mesmo.

Suprimir alertas

Pode haver cenários em que você precise suprimir a exibição de alertas na Central de Segurança do Microsoft Defender. O Defender para Ponto de Extremidade permite criar regras de supressão para alertas específicos considerados inofensivos, como ferramentas ou processos conhecidos em sua organização.

As regras de supressão podem ser criadas com base em um alerta existente. Elas podem ser desabilitadas e reabilitadas, se necessário.

Quando uma regra de supressão é criada, ela entra em vigor a partir do momento em que é criada. A regra não afetará os alertas que já estão na fila antes da criação da regra. A regra só será aplicada a alertas que atendam às condições definidas após a criação da regra.

Existem dois contextos de regra de supressão para você escolher:

  • Suprimir alerta neste dispositivo

  • Suprimir alerta em minha organização

O contexto da regra permite que você adapte o que aparece no portal e garanta que somente os alertas de segurança reais sejam exibidos no portal.

Alterar o status de um alerta

Você pode categorizar alertas como Novo, Em Andamento ou Resolvido, alterando o status à medida que a investigação avança. Isso ajuda você a organizar e gerenciar como a equipe pode responder a alertas.

Por exemplo, um líder de equipe pode examinar todos os alertas Novos e decidir atribuí-los à fila Em Andamento para análise posterior.

Como alternativa, o líder da equipe poderá atribuir o alerta à fila Resolvidos se souber que o alerta é benigno, proveniente de um dispositivo irrelevante (como um que pertença a um administrador de segurança) ou está sendo tratado por meio de um alerta anterior.

Classificação de alerta

Você pode optar por não definir uma classificação ou por especificar se um alerta é verdadeiro ou falso. É importante fornecer a classificação de verdadeiro positivo/falso positivo porque ela é usada para monitorar a qualidade do alerta e tornar os alertas mais precisos. O campo "determinação" define a fidelidade extra para uma classificação "verdadeiro positivo".

Adicionar comentários e exibir o histórico de um alerta

Você pode adicionar comentários e visualizar eventos históricos sobre um alerta para ver alterações anteriores feitas para o alerta. Sempre que uma alteração ou um comentário é feito sobre um alerta, ele é gravado na seção Comentários e histórico. Comentários adicionados instantaneamente aparecem no painel.

Investigação do alerta

Investigue os alertas que estão afetando sua rede, entenda o que eles significam e como resolvê-los.

Selecione um alerta na fila de alertas para acessar a página dele. Essa exibição contém o título do alerta, os ativos afetados, o painel lateral de detalhes e a história do alerta.

Na página de alerta, comece sua investigação selecionando os ativos afetados ou qualquer uma das entidades no modo de exibição de árvore de história do alerta. O painel de detalhes é preenchido automaticamente com mais informações sobre o que você selecionou.

Investigar usando a história do alerta

A história do alerta explica por que o alerta foi disparado, eventos relacionados que ocorreram antes e depois, bem como outras entidades relacionadas.

É possível clicar nas entidades, e todas as entidades que não são um alerta podem ser expandidas usando o ícone de expansão no lado direito do cartão da entidade. A entidade em foco será indicada por uma faixa azul no lado esquerdo do cartão, com o alerta no título sendo focalizado primeiro.

A seleção de uma entidade alterna o contexto do painel de detalhes para ela e permite que você examine mais informações e gerencie essa entidade. Selecionar ... à direita do cartão da entidade revela todas as ações disponíveis para ela. Essas mesmas ações aparecem no painel de detalhes quando essa entidade está em foco.

Executar ação no painel de detalhes

Depois que você selecionar uma entidade de interesse, o painel de detalhes será alterado para exibir informações sobre o tipo de entidade selecionado, informações históricas quando disponíveis e controles para executar uma ação nessa entidade diretamente na página do alerta.

Depois de terminar a investigação, volte para o alerta com o qual você começou, marque o status dele como Resolvido e classifique-o como Alerta falso ou Alerta verdadeiro. Essa classificação ajuda a ajustar esse recurso para fornecer mais alertas verdadeiros e menos alertas falsos.

Se você classificá-lo como um alerta verdadeiro, também poderá selecionar uma determinação.

Se você receber um alerta falso em um aplicativo de linha de negócios, crie uma regra de supressão para evitar esse tipo de alerta no futuro.