Investigar alertas de segurança do Defender for Identity no Microsoft Defender XDR

Nota

O Defender for Identity não foi projetado para servir como uma solução de auditoria ou registro em log que captura cada operação ou atividade nos servidores onde o sensor está instalado. Apenas capta os dados necessários para os seus mecanismos de deteção e recomendação.

Este artigo explica as noções básicas de como trabalhar com alertas de segurança do Microsoft Defender for Identity no Microsoft Defender XDR.

Os alertas do Defender for Identity são integrados nativamente ao Microsoft Defender XDR com um formato de página de alerta de identidade dedicado.

A página de alerta de identidade oferece aos clientes do Microsoft Defender for Identity um enriquecimento de sinal entre domínios melhor e novos recursos automatizados de resposta de identidade. Ele garante que você permaneça seguro e ajuda a melhorar a eficiência de suas operações de segurança.

Um dos benefícios de investigar alertas por meio do Microsoft Defender XDR é que os alertas do Microsoft Defender for Identity estão ainda mais correlacionados com as informações obtidas de cada um dos outros produtos do pacote. Esses alertas aprimorados são consistentes com os outros formatos de alerta do Microsoft Defender XDR originários do Microsoft Defender para Office 365 e do Microsoft Defender para Endpoint. A nova página elimina efetivamente a necessidade de navegar para outro portal de produtos para investigar alertas associados à identidade.

Os alertas provenientes do Defender for Identity agora podem acionar os recursos de investigação e resposta automatizada (AIR) do Microsoft Defender XDR, incluindo a correção automática de alertas e a mitigação de ferramentas e processos que podem contribuir para a atividade suspeita.

Importante

Como parte da convergência com o Microsoft Defender XDR, algumas opções e detalhes foram alterados a partir de sua localização no portal do Defender for Identity. Por favor, leia os detalhes abaixo para descobrir onde encontrar os recursos familiares e novos.

Rever alertas de segurança

Os alertas podem ser acedidos a partir de várias localizações, incluindo a página Alertas, a página Incidentes, as páginas de Dispositivos individuais e a partir da página Caça avançada. Neste exemplo, analisaremos a página Alertas.

No Microsoft Defender XDR, vá para Incidentes & alertas e, em seguida, para Alertas.

O item de menu Alertas

Para ver alertas do Defender for Identity, no canto superior direito, selecione Filtrar e, em Fontes de serviço, selecione Microsoft Defender for Identity e selecione Aplicar:

O filtro para os eventos do Defender for Identity

Os alertas são exibidos com informações nas seguintes colunas: Nome do alerta, Tags, Gravidade, Estado da investigação, Status, Categoria, Origem de deteção, Ativos afetados, Primeira atividade e Última atividade.

Os eventos do Defender for Identity

Categorias de alertas de segurança

Os alertas de segurança do Defender for Identity são divididos nas seguintes categorias ou fases, como as fases vistas em uma cadeia de morte típica de ataque cibernético.

Gerir alertas

Se você selecionar o nome do alerta para um dos alertas, irá para a página com detalhes sobre o alerta. No painel esquerdo, você verá um resumo do que aconteceu:

O painel O que aconteceu

Acima da caixa O que aconteceu estão os botões para as Contas, Host de destino e Host de origem do alerta. Para outros alertas, você pode ver botões para obter detalhes sobre hosts, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer um deles para obter mais detalhes sobre as entidades envolvidas.

No painel direito, você verá os detalhes do Alerta. Aqui você pode ver mais detalhes e executar várias tarefas:

  • Classificar este alerta - Aqui pode designá-lo como um alerta Verdadeiro ou Alerta Falso

    A página na qual você pode classificar um alerta

  • Estado do alerta - Em Definir classificação, você pode classificar o alerta como Verdadeiro ou Falso. Em Atribuído a, você pode atribuir o alerta a si mesmo ou cancelar a atribuição.

    O painel Estado de alerta

  • Detalhes do alerta - Em Detalhes do alerta, você pode encontrar mais informações sobre o alerta específico, seguir um link para a documentação sobre o tipo de alerta, ver a qual incidente o alerta está associado, revisar quaisquer investigações automatizadas vinculadas a esse tipo de alerta e ver os dispositivos e usuários afetados.

    A página Detalhes do alerta

  • Comentários e histórico - Aqui você pode adicionar seus comentários ao alerta e ver o histórico de todas as ações associadas ao alerta.

    A página Comentários & histórico

  • Gerir alerta - Se selecionar Gerir alerta, irá para um painel que lhe permitirá editar o:

    • Status - Você pode escolher Novo, Resolvido ou Em andamento.

    • Classificação - Você pode escolher Alerta verdadeiro ou Alerta falso.

    • Comentário - Você pode adicionar um comentário sobre o alerta.

    • Se você selecionar os três pontos ao lado de Gerenciar alerta, poderá Vincular alerta a outro incidente, Criar regra de supressão (disponível apenas para clientes de visualização) ou Perguntar aos especialistas do Defender.

      A opção Gerir alerta

      Você também pode exportar o alerta para um arquivo do Excel. Para fazer isso, selecione Exportar.

      Nota

      No arquivo do Excel, agora você tem dois links disponíveis: Exibir no Microsoft Defender for Identity e Exibir no Microsoft Defender XDR. Cada link irá levá-lo ao portal relevante e fornecer informações sobre o alerta lá.

Alertas de ajuste

Ajuste seus alertas para ajustá-los e otimizá-los, reduzindo falsos positivos. O ajuste de alertas permite que suas equipes de SOC se concentrem em alertas de alta prioridade e melhorem a cobertura de deteção de ameaças em todo o sistema. No Microsoft Defender XDR, crie condições de regra com base em tipos de evidência e, em seguida, aplique sua regra em qualquer tipo de regra que corresponda às suas condições.

Para obter mais informações, consulte Ajustar um alerta.

Consulte também

Mais informações