Investigar alertas no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR

Nota

Este artigo descreve alertas de segurança no Microsoft Defender XDR. No entanto, pode utilizar alertas de atividade para enviar notificações por e-mail a si próprio ou a outros administradores quando os utilizadores efetuam atividades específicas no Microsoft 365. Para obter mais informações, consulte Criar alertas de atividade – Microsoft Purview | Microsoft Docs.

Os alertas são a base de todos os incidentes e indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Normalmente, os alertas fazem parte de um ataque mais amplo e fornecem pistas sobre um incidente.

No Microsoft Defender XDR, os alertas relacionados são agregados para formar incidentes. Os incidentes fornecerão sempre o contexto mais amplo de um ataque. No entanto, analisar alertas pode ser útil quando for necessária uma análise mais profunda.

A fila Alertas mostra o conjunto atual de alertas. Pode aceder à fila de alertas a partir de Incidentes & alertas Alertas > na iniciação rápida do portal do Microsoft Defender.

A secção Alertas no portal do Microsoft Defender

Os alertas de diferentes soluções de segurança da Microsoft, como o Microsoft Defender para Endpoint, o Defender para Office 365, o Microsoft Sentinel, o Defender para a Cloud, o Defender para Identidade, o Defender para Cloud Apps, o Defender XDR, a Governação de Aplicações, a Proteção contra IDs do Microsoft Entra e a Prevenção de Perda de Dados da Microsoft são apresentados aqui.

Por predefinição, a fila de alertas no portal do Microsoft Defender apresenta os alertas novos e em curso dos últimos sete dias. O alerta mais recente encontra-se no topo da lista para que possa vê-lo primeiro.

Na fila de alertas predefinida, pode selecionar Filtrar para ver um painel Filtro , a partir do qual pode especificar um subconjunto dos alertas. Eis um exemplo.

A secção Filtros no portal do Microsoft Defender.

Pode filtrar alertas de acordo com estes critérios:

  • Gravidade
  • Estado
  • Categorias
  • Origens de serviço/deteção
  • Etiquetas
  • Política
  • Entidades (os recursos afetados)
  • Estado de investigação automatizado
  • IDs de subscrição de alerta

Nota

Agora, os clientes do Microsoft Defender XDR podem filtrar incidentes com alertas em que um dispositivo comprometido comunicava com dispositivos de tecnologia operacional (OT) ligados à rede empresarial através da integração de deteção de dispositivos do Microsoft Defender para IoT e do Microsoft Defender para Endpoint. Para filtrar estes incidentes, selecione Qualquer nas Origens de serviço/deteção e, em seguida, selecione Microsoft Defender para IoT no Nome do produto ou veja Investigar incidentes e alertas no Microsoft Defender para IoT no portal do Defender. Também pode utilizar grupos de dispositivos para filtrar alertas específicos do site. Para obter mais informações sobre os pré-requisitos do Defender para IoT, veja Introdução à monitorização de IoT empresarial no Microsoft Defender XDR.

Um alerta pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:

  • Um tipo de ataque, como ransomware ou phishing de credenciais
  • Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
  • Especialistas do Defender que lidam com um incidente
  • Recursos críticos envolvidos no incidente

Sugestão

A Gestão da Exposição à Segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.

Funções necessárias para alertas do Defender para Office 365

Terá de ter qualquer uma das seguintes funções para aceder aos alertas do Microsoft Defender para Office 365:

  • Para funções globais do Microsoft Entra:

    • Administrador Global
    • Administrador de Segurança
    • Operador de Segurança
    • Leitor Global
    • Leitor de Segurança
  • Grupos de Funções de Conformidade & de Segurança do Office 365

    • Administrador de Conformidade
    • Organization Management
  • Uma função personalizada

Nota

A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.

Analisar um alerta

Para ver a página de alerta principal, selecione o nome do alerta. Eis um exemplo.

Captura de ecrã a mostrar os detalhes de um alerta no portal do Microsoft Defender

Também pode selecionar a ação Abrir a página de alerta principal no painel Gerir alerta .

Uma página de alerta é composta por estas secções:

  • História do alerta, que é a cadeia de eventos e alertas relacionados com este alerta por ordem cronológica
  • Detalhes do resumo

Ao longo de uma página de alerta, pode selecionar as reticências (...) ao lado de qualquer entidade para ver as ações disponíveis, como ligar o alerta a outro incidente. A lista de ações disponíveis depende do tipo de alerta.

Origens de alertas

Os alertas XDR do Microsoft Defender provêm de soluções como o Microsoft Defender para Endpoint, o Defender para Office 365, o Defender para Identidade, o Defender para Cloud Apps, o suplemento de governação de aplicações para o Microsoft Defender para Cloud Apps, a Proteção contra ID do Microsoft Entra e a Prevenção de Perda de Dados da Microsoft. Poderá reparar em alertas com carateres pré-anexados no alerta. A tabela seguinte fornece orientações para o ajudar a compreender o mapeamento de origens de alertas com base no caráter pré-endido do alerta.

Nota

  • Os GUIDs pré-definidos são específicos apenas para experiências unificadas, como a fila de alertas unificados, a página de alertas unificados, a investigação unificada e o incidente unificado.
  • O caráter de pré-fim não altera o GUID do alerta. A única alteração ao GUID é o componente pré-end.
Origem do alerta ID do alerta com carateres pré-end
Microsoft Defender XDR ra{GUID}
ta{GUID} para alertas de ThreatExperts
ea{GUID} para alertas de deteções personalizadas
Microsoft Defender para Office 365 fa{GUID}
Exemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para Endpoint da{GUID}
ed{GUID} para alertas de deteções personalizadas
Microsoft Defender para Identidade aa{GUID}
Exemplo: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Exemplo: ca123a456b-c789-1d2e-12f1g33h445h6i
Proteção do Microsoft Entra ID ad{GUID}
Governação de Aplicações ma{GUID}
Prevenção de Perda de Dados da Microsoft dl{GUID}
Microsoft Defender para a Cloud dc{GUID}
Microsoft Sentinel sn{GUID}

Configurar o serviço de alertas de IP do Microsoft Entra

  1. Aceda ao portal do Microsoft Defender (security.microsoft.com), selecione Definições>Microsoft Defender XDR.

  2. Na lista, selecione Definições do serviço de alerta e, em seguida, configure o seu serviço de alerta do Microsoft Entra ID Protection .

    Captura de ecrã a mostrar a definição alertas do Microsoft Entra ID Protection no portal do Microsoft Defender.

Por predefinição, apenas os alertas mais relevantes para o centro de operações de segurança estão ativados. Se quiser obter todas as deteções de risco de IP do Microsoft Entra, pode alterá-la na secção Definições do serviço de alerta .

Também pode aceder às definições do serviço Alerta diretamente a partir da página Incidentes no portal do Microsoft Defender.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Analisar recursos afetados

A secção Ações tomadas tem uma lista de recursos afetados, como caixas de correio, dispositivos e utilizadores afetados por este alerta.

Também pode selecionar Ver no centro de ação para ver o separador Histórico do Centro de ação no portal do Microsoft Defender.

Analisar a função de um alerta na história do alerta

O bloco de alerta apresenta todos os recursos ou entidades relacionados com o alerta numa vista de árvore de processos. O alerta no título é aquele em foco quando acede pela primeira vez à página do alerta selecionado. Os recursos na história do alerta são expansíveis e clicáveis. Fornecem informações adicionais e aceleram a sua resposta, permitindo-lhe tomar medidas diretamente no contexto da página de alerta.

Nota

A secção do bloco de alertas pode conter mais do que um alerta, com alertas adicionais relacionados com a mesma árvore de execução a aparecer antes ou depois do alerta que selecionou.

Ver mais informações de alerta na página de detalhes

A página de detalhes mostra os detalhes do alerta selecionado, com detalhes e ações relacionados com o mesmo. Se selecionar qualquer um dos recursos ou entidades afetados na história do alerta, a página de detalhes é alterada para fornecer informações contextuais e ações para o objeto selecionado.

Depois de selecionar uma entidade de interesse, a página de detalhes muda para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando esta estiver disponível e opções para tomar medidas nesta entidade diretamente a partir da página de alerta.

Gerir alertas

Para gerir um alerta, selecione Gerir alerta na secção de detalhes de resumo da página de alerta. Para um único alerta, eis um exemplo do painel Gerir alerta .

Captura de ecrã da secção Gerir alerta no portal do Microsoft Defender

O painel Gerir alerta permite-lhe ver ou especificar:

  • O estado do alerta (Novo, Resolvido, Em curso).
  • A conta de utilizador a que foi atribuído o alerta.
  • A classificação do alerta:
    • Não Definido (predefinição).
    • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para alertas que indiquem com precisão uma ameaça real. Especificar este tipo de ameaça alerta a sua equipa de segurança vê padrões de ameaças e atua para defender a sua organização dos mesmos.
    • Atividade informativa e esperada com um tipo de atividade. Utilize esta opção para alertas tecnicamente precisos, mas que representem um comportamento normal ou atividade de ameaça simulada. Geralmente, quer ignorar estes alertas, mas espera-os para atividades semelhantes no futuro em que as atividades são acionadas por atacantes reais ou software maligno. Utilize as opções nesta categoria para classificar alertas para testes de segurança, atividade da equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
    • Falso positivo para tipos de alertas que foram criados mesmo quando não existe atividade maliciosa ou para um falso alarme. Utilize as opções nesta categoria para classificar alertas identificados por engano como eventos ou atividades normais como maliciosos ou suspeitos. Ao contrário dos alertas de "Atividade informativa e esperada", que também pode ser útil para detetar ameaças reais, geralmente não quer ver estes alertas novamente. Classificar alertas como falsos positivos ajuda o Microsoft Defender XDR a melhorar a qualidade da deteção.
  • Um comentário sobre o alerta.

Nota

Por volta de 29 de agosto de 2022, os valores de determinação de alertas anteriormente suportados ("Apt" e "Pessoal de Segurança") serão preteridos e deixarão de estar disponíveis através da API.

Nota

Uma forma de gerir alertas através da utilização de etiquetas. A capacidade de identificação do Microsoft Defender para Office 365 está a ser implementada de forma incremental e está atualmente em pré-visualização.

Atualmente, os nomes de etiquetas modificados só são aplicados a alertas criados após a atualização. Os alertas que foram gerados antes da modificação não refletirão o nome da etiqueta atualizada.

Para gerir um conjunto de alertas semelhante a um alerta específico, selecione Ver alertas semelhantes na caixa INSIGHT na secção de detalhes de resumo da página de alerta.

Captura de ecrã a mostrar a seleção de um alerta no portal do Microsoft Defender

No painel Gerir alertas , pode classificar todos os alertas relacionados ao mesmo tempo. Eis um exemplo.

Captura de ecrã a mostrar a gestão de alertas relacionados no portal do Microsoft Defender

Se já tiverem sido classificados alertas semelhantes no passado, pode poupar tempo com as recomendações do Microsoft Defender XDR para saber como os outros alertas foram resolvidos. Na secção de detalhes do resumo, selecione Recomendações.

Captura de ecrã a mostrar um exemplo de recomendações para um alerta

O separador Recomendações fornece conselhos e ações de próximo passo para investigação, remediação e prevenção. Eis um exemplo.

Captura de ecrã de um exemplo de recomendações de alertas

Otimizar um alerta

Enquanto analista do centro de operações de segurança (SOC), um dos principais problemas é a triagem do número total de alertas que são acionados diariamente. O tempo de um analista é valioso, querendo concentrar-se apenas em alertas de alta gravidade e alta prioridade. Entretanto, os analistas também são obrigados a fazer a triagem e a resolver alertas de prioridade inferior, que tendem a ser um processo manual.

A otimização de alertas, anteriormente conhecida como supressão de alertas, permite otimizar e gerir alertas com antecedência. Isto simplifica a fila de alertas e poupa tempo de triagem ao ocultar ou resolver alertas automaticamente, sempre que ocorre um determinado comportamento organizacional esperado e as condições das regras são cumpridas.

As regras de otimização de alertas suportam condições com base em tipos de provas , como ficheiros, processos, tarefas agendadas e outros tipos de provas que acionam alertas. Depois de criar uma regra de otimização de alertas, aplique-a ao alerta selecionado ou a qualquer tipo de alerta que cumpra as condições definidas para otimizar o alerta.

A otimização de alertas como disponibilidade geral captura alertas apenas do Defender para Endpoint. No entanto, na pré-visualização, o ajuste de alertas também é alargado a outros serviços XDR do Microsoft Defender, incluindo o Defender para Office 365, Defender para Identidade, Defender para Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP), entre outros, se estiverem disponíveis na sua plataforma e plano.

Atenção

Recomendamos que utilize a otimização de alertas com cuidado, para cenários em que aplicações empresariais internas ou testes de segurança conhecidos acionam uma atividade esperada e não quer ver os alertas.

Criar condições de regra para otimizar alertas

Crie regras de otimização de alertas a partir da área Definições XDR do Microsoft Defender ou a partir de uma página de detalhes de alerta. Selecione um dos seguintes separadores para continuar.

  1. No portal do Microsoft Defender, selecione Definições > Otimização do Alerta XDR > do Microsoft Defender.

    Captura de ecrã da opção Otimização de alertas na página Definições do Microsoft Defender XDR.

  2. Selecione Adicionar nova regra para otimizar um novo alerta ou selecione uma linha de regra existente para fazer alterações. Selecionar o título da regra abre uma página de detalhes da regra, onde pode ver uma lista de alertas associados, editar condições ou ativar e desativar a regra.

  3. No painel Otimizar alerta , em Selecionar origens de serviço, selecione as origens de serviço onde pretende aplicar a regra. Apenas os serviços onde tem permissões são apresentados na lista. Por exemplo:

    Captura de ecrã a mostrar o menu pendente origem do serviço na página Otimizar um alerta.

  4. Na área Condições , adicione uma condição para os acionadores do alerta. Por exemplo, se quiser impedir que um alerta seja acionado quando é criado um ficheiro específico, defina uma condição para o acionador Ficheiro:Personalizado e defina os detalhes do ficheiro:

    Captura de ecrã do menu COI na página Otimizar um alerta.

    • Os acionadores listados diferem consoante as origens de serviço que selecionou. Os acionadores são todos indicadores de comprometimento (IOCs), como ficheiros, processos, tarefas agendadas e outros tipos de provas que podem acionar um alerta, incluindo scripts da Interface de Análise AntiMalware (AMSI), eventos do Windows Management Instrumentation (WMI) ou tarefas agendadas.

    • Para definir várias condições de regra, selecione Adicionar filtro e utilize AS, OU e opções de agrupamento para definir as relações entre os vários tipos de evidência que acionam o alerta. As propriedades de provas adicionais são preenchidas automaticamente como um novo subgrupo, onde pode definir os valores da condição. Os valores de condição não são sensíveis a maiúsculas e minúsculas e algumas propriedades suportam carateres universais.

  5. Na área Ação do painel Otimizar alerta , selecione a ação relevante que pretende que a regra efetue, Ocultar alerta ou Resolver alerta.

  6. Introduza um nome significativo para o alerta e um comentário para descrever o alerta e, em seguida, selecione Guardar.

Nota

O título do alerta (Nome) baseia-se no tipo de alerta (IoaDefinitionId), que decide o título do alerta. Dois alertas com o mesmo tipo de alerta podem ser alterados para um título de alerta diferente.

Resolver um alerta

Depois de analisar um alerta e este poder ser resolvido, aceda ao painel Gerir alerta para o alerta ou alertas semelhantes e marque o estado como Resolvido e, em seguida, classifique-o como um Verdadeiro positivo com um tipo de ameaça, uma atividade Informativa, esperada com um tipo de atividade ou um Falso positivo.

Classificar alertas ajuda o Microsoft Defender XDR a melhorar a qualidade da deteção.

Utilizar o Power Automate para fazer a triagem de alertas

As equipas de operações de segurança modernas (SecOps) precisam de automatização para funcionar eficazmente. Para se concentrarem na investigação e investigação de ameaças reais, as equipas do SecOps utilizam o Power Automate para fazer a triagem através da lista de alertas e eliminar os que não são ameaças.

Critérios para resolver alertas

  • O utilizador tem a mensagem Fora do Escritório ativada
  • O utilizador não está identificado como de alto risco

Se ambos forem verdadeiros, o SecOps marca o alerta como uma viagem legítima e resolve-o. Uma notificação é publicada no Microsoft Teams depois de o alerta ser resolvido.

Ligar o Power Automate ao Microsoft Defender para Cloud Apps

Para criar a automatização, precisará de um token de API antes de poder ligar o Power Automate ao Microsoft Defender para Cloud Apps.

  1. Abra o Microsoft Defender, selecione Definições>Token da APIdas Aplicações> na Cloud e, em seguida, selecione Adicionar token no separador Tokens de API.

  2. Forneça um nome para o token e, em seguida, selecione Gerar. Guarde o token, pois irá precisar dele mais tarde.

Criar um fluxo automatizado

Veja este breve vídeo para saber como a automatização funciona de forma eficiente para criar um fluxo de trabalho suave e como ligar o Power Automate ao Defender para Cloud Apps.

Passos seguintes

Conforme necessário para incidentes em processo, continue a investigação.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.