Investigação e resposta automatizada (AIR) no Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Microsoft Defender para Office 365 inclui poderosas capacidades de investigação e resposta automatizadas (AIR) que podem poupar tempo e esforço à equipa de operações de segurança. À medida que os alertas são acionados, cabe à sua equipa de operações de segurança rever, priorizar e responder a esses alertas. Acompanhar o volume de alertas recebidos pode ser avassalador. Automatizar algumas dessas tarefas pode ajudar.

A AIR permite que a sua equipa de operações de segurança opere de forma mais eficiente e eficaz. As capacidades AIR incluem processos de investigação automatizados em resposta a ameaças conhecidas que existem atualmente. As ações de remediação adequadas aguardam aprovação, permitindo que a equipa de operações de segurança responda eficazmente às ameaças detetadas. Com o AIR, a sua equipa de operações de segurança pode concentrar-se em tarefas de prioridade mais alta sem perder de vista alertas importantes que são acionados.

Este artigo descreve:

Este artigo também inclui os próximos passos e recursos para saber mais.

O fluxo geral do AR

É acionado um alerta e um manual de procedimentos de segurança inicia uma investigação automatizada, o que resulta em resultados e ações recomendadas. Eis o fluxo geral do AIR, passo a passo:

  1. Uma investigação automatizada é iniciada de uma das seguintes formas:

  2. Enquanto uma investigação automatizada é executada, recolhe dados sobre o e-mail em questão e entidades relacionadas com esse e-mail (por exemplo, ficheiros, URLs e destinatários). O âmbito da investigação pode aumentar à medida que são acionados alertas novos e relacionados.

  3. Durante e após uma investigação automatizada, os detalhes e os resultados estão disponíveis para visualização. Os resultados podem incluir ações recomendadas que podem ser tomadas para responder e remediar quaisquer ameaças existentes encontradas.

  4. A equipa de operações de segurança revê os resultados e recomendações da investigação e aprova ou rejeita ações de remediação.

  5. Uma vez que as ações de remediação pendentes são aprovadas (ou rejeitadas), a investigação automatizada é concluída.

Nota

Se a investigação não resultar em ações recomendadas, a investigação automatizada será fechada e os detalhes do que foi revisto como parte da investigação automatizada continuarão disponíveis na página de investigação.

No Microsoft Defender para Office 365, não são realizadas ações de remediação automaticamente. As ações de remediação são realizadas apenas após a aprovação pela equipa de segurança da sua organização. As capacidades AIR poupam tempo à equipa de operações de segurança ao identificar as ações de remediação e ao fornecer os detalhes necessários para tomar uma decisão informada.

Durante e após cada investigação automatizada, a sua equipa de operações de segurança pode:

Sugestão

Para obter uma descrição geral mais detalhada, veja Como funciona o AIR.

Como obter AIR

As capacidades AIR estão incluídas no Microsoft Defender para Office 365 Plano 2, desde que o registo de auditoria esteja ativado (está ativado por predefinição).

Além disso, certifique-se de que revê as políticas de alerta da sua organização, especialmente as políticas predefinidas na categoria Gestão de ameaças.

Que políticas de alerta acionam investigações automatizadas?

O Microsoft 365 fornece muitas políticas de alerta incorporadas que ajudam a identificar o abuso de permissões de administrador do Exchange, a atividade de software maligno, potenciais ameaças externas e internas e riscos de governação de informações. Várias das políticas de alerta predefinidas podem acionar investigações automatizadas. Se estes alertas estiverem desativados ou substituídos por alertas personalizados, o AIR não será acionado.

A tabela seguinte descreve os alertas que acionam investigações automatizadas, a sua gravidade no portal Microsoft Defender e como são gerados:

Alerta Gravidade Como o alerta é gerado
Foi detetado um clique de URL potencialmente malicioso High Este alerta é gerado quando ocorre um dos seguintes procedimentos:
  • Um utilizador protegido por Ligações Seguras na sua organização clica numa ligação maliciosa
  • As alterações ao veredicto dos URLs são identificadas pelo Microsoft Defender para Office 365
  • Os utilizadores substituem as páginas de aviso de Ligações Seguras (com base na política de Ligações Seguras da sua organização.

Para obter mais informações sobre eventos que acionam este alerta, veja Configurar políticas de Ligações Seguras.
Uma mensagem de e-mail é comunicada por um utilizador como software maligno ou phish Baixo Este alerta é gerado quando os utilizadores na sua organização comunicam mensagens como e-mail de phishing através dos suplementos Mensagem de Relatório da Microsoft ou Relatório de Phishing.
Email mensagens que contêm ficheiro malicioso removido após a entrega Informativo Este alerta é gerado quando todas as mensagens que contenham um ficheiro malicioso são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm software maligno são removidas após a entrega Informativo Este alerta é gerado quando todas as mensagens de e-mail que contenham software maligno são entregues a caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm URL malicioso removido após a entrega Informativo Este alerta é gerado quando todas as mensagens que contêm um URL malicioso são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio através da remoção automática (ZAP) de zero horas.
Email mensagens que contêm URLs de phish são removidas após a entrega Informativo Este alerta é gerado quando todas as mensagens que contêm phish são entregues em caixas de correio na sua organização. Se este evento ocorrer, a Microsoft removerá as mensagens infetadas de Exchange Online caixas de correio com ZAP.
Foram detetados padrões de envio de e-mail suspeitos Média Este alerta é gerado quando alguém na sua organização envia e-mails suspeitos e corre o risco de ser impedido de enviar e-mails. O alerta é um aviso antecipado de comportamento que pode indicar que a conta está comprometida, mas não é suficientemente grave para restringir o utilizador.

Embora seja raro, um alerta gerado por esta política pode ser uma anomalia. No entanto, é boa ideia verificar se a conta de utilizador está comprometida.

Um utilizador está impedido de enviar e-mails High Este alerta é gerado quando alguém na sua organização está impedido de enviar correio de saída. Normalmente, este alerta resulta quando uma conta de e-mail é comprometida.

Para obter mais informações sobre utilizadores restritos, veja Remover utilizadores bloqueados da página Entidades restritas.

Administração acionou a investigação manual do e-mail Informativo Este alerta é gerado quando um administrador aciona a investigação manual de um e-mail do Explorador de Ameaças. Este alerta notifica a sua organização de que a investigação foi iniciada.
Administração acionado a investigação de compromisso do utilizador Média Este alerta é gerado quando um administrador aciona a investigação de compromisso manual do utilizador de um remetente de e-mail ou destinatário do Explorador de Ameaças. Este alerta notifica a sua organização de que a investigação de compromisso do utilizador foi iniciada.

Sugestão

Para saber mais sobre as políticas de alerta ou editar as predefinições, veja Políticas de alerta no portal do Microsoft Defender.

Permissões necessárias para utilizar as capacidades AIR

Tem de lhe ser atribuídas permissões para utilizar o AIR. Tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):

    • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas: Operador de Segurança/Email ações de remediação avançadas (gerir).
  • Email & permissões de colaboração no portal do Microsoft Defender:

    • Configurar funcionalidades AIR: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
    • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
      • Associação nos grupos de funções Gestão da Organização, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
      • Associação a um grupo de funções com a função Procurar e Remover atribuída. Por predefinição, esta função é atribuída aos grupos de funções Investigação de Dados e Gestão da Organização . Em alternativa, pode criar um grupo de funções personalizado para atribuir a função Procurar e Remover .
  • permissões de Microsoft Entra:

    • Configurar funcionalidades AIR Associação nas funções Administrador Global ou Administrador de Segurança .
    • Inicie uma investigação automatizada ou Aprove ou rejeite as ações recomendadas:
      • Associação nas funções Administrador Global, Administrador de Segurança, Operador de Segurança, Leitor de Segurança ou Leitor Global . e
      • Associação a um grupo de funções de colaboração Email & com a função Procurar e Remover atribuída. Por predefinição, esta função é atribuída aos grupos de funções Investigação de Dados e Gestão da Organização . Em alternativa, pode criar um grupo de funções de colaboração Email & personalizado para atribuir a função Procurar e Remover.

    Microsoft Entra permissões fornecem aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

Licenças necessárias

Microsoft Defender para Office 365 licenças do Plano 2 devem ser atribuídas a:

  • Administradores de segurança (incluindo administradores globais)
  • A equipa de operações de segurança da sua organização (incluindo leitores de segurança e pessoas com a função Procurar e Remover )
  • Utilizadores finais

Passos seguintes