Interrupção automática de ataques no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR

Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com elevada confiança. Enquanto um ataque está em curso, Defender XDR interrompe o ataque ao conter automaticamente recursos comprometidos que o atacante está a utilizar através da interrupção automática do ataque.

A interrupção automática de ataques limita o movimento lateral no início e reduz o impacto global de um ataque, desde os custos associados à perda de produtividade. Ao mesmo tempo, deixa as equipas de operações de segurança em total controlo sobre a investigação, a remediação e a colocação de recursos novamente online.

Este artigo fornece uma descrição geral da interrupção automatizada de ataques e inclui ligações para os próximos passos e outros recursos.

Como funciona a interrupção automática de ataques

A interrupção automática de ataques foi concebida para conter ataques em curso, limitar o impacto nos recursos de uma organização e fornecer mais tempo para as equipas de segurança remediarem totalmente o ataque. A interrupção do ataque utiliza toda a amplitude dos nossos sinais de deteção e resposta alargadas (XDR), tendo em conta todo o ataque para agir ao nível do incidente. Esta capacidade é diferente dos métodos de proteção conhecidos, como prevenção e bloqueio, com base num único indicador de compromisso.

Embora muitas plataformas XDR e orquestração de segurança, automatização e resposta (SOAR) lhe permitam criar as suas ações de resposta automática, a interrupção automática de ataques é incorporada e utiliza informações de investigadores de segurança da Microsoft e modelos avançados de IA para contrariar as complexidades de ataques avançados. A interrupção automática do ataque considera todo o contexto de sinais de diferentes origens para determinar recursos comprometidos.

A interrupção automática de ataques funciona em três fases principais:

  • Utiliza a capacidade do Defender XDR de correlacionar sinais de muitas origens diferentes num único incidente de alta confiança através de informações de pontos finais, identidades, ferramentas de e-mail e colaboração e aplicações SaaS.
  • Identifica os recursos controlados pelo atacante e utilizados para espalhar o ataque.
  • Executa automaticamente ações de resposta em produtos Microsoft Defender relevantes para conter o ataque em tempo real, isolando os recursos afetados.

Esta capacidade de mudança de jogo limita o progresso de um ator de ameaças desde o início e reduz drasticamente o impacto global de um ataque, desde os custos associados à perda de produtividade.

Estabelecer alta confiança ao efetuar uma ação automática

Compreendemos que tomar medidas automáticas por vezes vem com hesitação por parte das equipas de segurança, dado o impacto potencial que pode ter numa organização. Por conseguinte, as capacidades de interrupção automática de ataques no Defender XDR foram concebidas para depender de sinais de alta fidelidade. Também utiliza a correlação de incidentes do Defender XDR com milhões de sinais de produto do Defender através de e-mail, identidade, aplicações, documentos, dispositivos, redes e ficheiros. As informações da investigação contínua de milhares de incidentes por parte da equipa de investigação de segurança da Microsoft garantem que a interrupção automática de ataques mantém uma elevada proporção de sinal para ruído (SNR).

As investigações são parte integrante da monitorização dos nossos sinais e do cenário de ameaças de ataques para garantir uma proteção precisa e de alta qualidade.

Sugestão

Este artigo descreve como funciona a interrupção do ataque. Para configurar estas capacidades, veja Configurar capacidades de interrupção de ataques no Microsoft Defender XDR.

Ações de resposta automatizadas

A interrupção automática de ataques utiliza ações de resposta XDR baseadas na Microsoft. Exemplos destas ações são:

  • O dispositivo contém - com base na capacidade do Microsoft Defender para Endpoint, esta ação é uma contenção automática de um dispositivo suspeito para bloquear qualquer comunicação de entrada/saída com o referido dispositivo.

  • Desativar o utilizador – com base na capacidade do Microsoft Defender para Identidade, esta ação é uma suspensão automática de uma conta comprometida para evitar danos adicionais, como movimento lateral, utilização maliciosa da caixa de correio ou execução de software maligno. A ação de desativar utilizador comporta-se de forma diferente consoante a forma como o utilizador está alojado no seu ambiente.

    • Quando a conta de utilizador está alojada no Active Directory: o Defender para Identidade aciona a ação de desativar o utilizador nos controladores de domínio que executam o agente do Defender para Identidade.
    • Quando a conta de utilizador está alojada no Active Directory e é sincronizada no Microsoft Entra ID: o Defender para Identidade aciona a ação de desativar o utilizador através de controladores de domínio integrados. A interrupção do ataque também desativa a conta de utilizador na conta sincronizada do Entra ID.
    • Quando a conta de utilizador está alojada apenas no Entra ID (conta nativa da cloud): a interrupção do ataque desativa a conta de utilizador na conta sincronizada do Entra ID.

Nota

Desativar a conta de utilizador no Microsoft Entra ID não depende da implementação de Microsoft Defender para Identidade.

  • Contenham o utilizador - com base na capacidade do Microsoft Defender para Endpoint, esta ação de resposta contém automaticamente identidades suspeitas temporariamente para ajudar a bloquear qualquer movimento lateral e encriptação remota relacionada com a comunicação de entrada com os dispositivos integrados do Defender para Endpoint.

Para obter mais informações, veja Ações de remediação no Microsoft Defender XDR.

Ações de resposta automatizadas para SAP com Microsoft Sentinel

Se estiver a utilizar a plataforma de operações de segurança unificada e tiver implementado a solução de Microsoft Sentinel para aplicações SAP, também pode implementar a interrupção automática de ataques para SAP.

Por exemplo, implemente a interrupção de ataques para o SAP conter recursos comprometidos ao bloquear utilizadores sap suspeitos em caso de ataque de manipulação de processos financeiros.

Após a mitigação do risco, Microsoft Defender administradores podem desbloquear manualmente os utilizadores que tinham sido automaticamente bloqueados pela resposta de interrupção do ataque. A capacidade de desbloquear utilizadores manualmente está disponível a partir do centro de ação Microsoft Defender e apenas para utilizadores que foram bloqueados por interrupções de ataques.

Para utilizar a interrupção do ataque para o SAP, implemente um novo agente do conector de dados ou certifique-se de que o agente está a utilizar a versão 90847355 ou superior e, em seguida, atribua e aplique as funções necessárias do Azure e SAP. Para mais informações, consulte:

Enquanto configura a interrupção do ataque no portal do Azure e no sistema SAP, a própria interrupção automática do ataque só aparece na plataforma de operações de segurança unificada no portal do Microsoft Defender.

Identificar quando ocorre uma interrupção de ataque no seu ambiente

A página Defender XDR incidente refletirá as ações de interrupção automática do ataque através da história do ataque e o estado indicado por uma barra amarela (Figura 1). O incidente mostra uma etiqueta de interrupção dedicada, realça o estado dos recursos contidos no gráfico de incidentes e adiciona uma ação ao Centro de Ação.

Selecionar um incidente na Figura 1 do portal do Microsoft Defender . Vista de incidente a mostrar a barra amarela onde a interrupção automática do ataque tomou medidas

A Defender XDR experiência do utilizador inclui agora ajudas visuais adicionais para garantir a visibilidade destas ações automáticas. Pode encontrá-las nas seguintes experiências:

  1. Na fila de incidentes:

    • É apresentada uma etiqueta intitulada Interrupção do Ataque junto a incidentes afetados
  2. Na página do incidente:

    • Uma etiqueta intitulada Interrupção do Ataque
    • Uma faixa amarela na parte superior da página que realça a ação automática tomada
    • O estado do ativo atual é apresentado no gráfico de incidentes se for efetuada uma ação num recurso, por exemplo, conta desativada ou dispositivo contido
  3. Através da API:

    Uma cadeia (interrupção de ataque) é adicionada ao fim dos títulos dos incidentes com elevada confiança susceptível de ser automaticamente interrompida. Por exemplo:

    Ataque de fraude financeira bec lançado a partir de uma conta comprometida (interrupção do ataque)

Para obter mais informações, veja ver os detalhes e os resultados da interrupção do ataque.

Passos seguintes

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.