Explorar a análise de ameaças no Microsoft 365

A análise de ameaças é a solução de informações sobre ameaças no produto da Microsoft. A equipa especializada de investigadores de segurança da Microsoft concebeu-a para ajudar as equipas de segurança a serem o mais eficientes possível, ao mesmo tempo que enfrentam ameaças emergentes, tais como:

• Atores de ameaças ativos e suas campanhas
• Técnicas de ataque populares e novas
• Vulnerabilidades críticas
• Superfícies de ataque comuns
• Malware predominante

Ameaças de alto impacto têm o maior potencial para causar danos. Ameaças de alta exposição são aquelas às quais seus ativos estão mais vulneráveis. Obter visibilidade sobre campanhas ativas ou contínuas e saber o que fazer por meio da análise de ameaças pode ajudar a equipe de operações de segurança a tomar decisões informadas.

Com adversários mais sofisticados e novas ameaças emergentes com frequência e predominantemente, é fundamental ser capaz de rapidamente:

• Identifique e reaja a ameaças emergentes.
• Saiba se você está sob ataque no momento.
• Avalie o efeito da ameaça aos seus ativos.
• Examine sua resiliência contra ou exposição às ameaças.
• Identifique as ações de mitigação, recuperação ou prevenção que você pode executar para parar ou conter as ameaças.

Os relatórios da Análise de Ameaças fornecem análise de uma ameaça controlada. Eles também fornecem diretrizes sobre como se defender contra essa ameaça. Cada relatório incorpora dados de sua rede, indicando se a ameaça está ativa e se você tem proteções aplicáveis em vigor.

Material adicional. Selecione a seguinte ligação para watch um breve vídeo sobre como a análise de ameaças pode ajudá-lo a controlar as ameaças mais recentes e impedi-las: Microsoft Defender XDR o Threat Analytics.

Exibir o painel de análise de ameaças

Pode aceder ao dashboard análise de ameaças a partir do painel de navegação no portal do Microsoft Defender.

O painel de análise de ameaças destaca os relatórios que são mais relevantes para sua organização. Ele resume as ameaças nas seções a seguir:

• Ameaças mais recentes. Lista os relatórios de ameaças publicados ou atualizados mais recentemente, juntamente com o número de alertas ativos e resolvidos.
• Ameaças de alto impacto. Lista as ameaças que têm o maior efeito sobre sua organização. Esta seção lista as ameaças com o maior número de alertas ativos e resolvidos primeiro.
• Ameaças de exposição mais elevadas. Lista as ameaças com os níveis de exposição mais altos primeiro. O sistema calcula o nível de exposição de uma ameaça com duas informações:
  • A gravidade das vulnerabilidades associadas à ameaça.
  • O número de dispositivos na organização que um atacante pode explorar com essas vulnerabilidades.

Selecione uma ameaça no painel para exibir o relatório dessa ameaça. Também pode selecionar o campo Procurar para introduzir um palavra-chave relacionado com o relatório de análise de ameaças que gostaria de ver.

Exibir um relatório de análise de ameaças

Cada relatório de análise de ameaças fornece informações em várias guias:

• Visão Geral
• Relatório de analistas
• Incidentes relacionados
• Ativos afetados
• Tentativas de email impedidas
• Mitigações de & de exposição

As secções seguintes examinam cada um destes separadores com maior detalhe.

Guia Visão geral: entenda rapidamente a ameaça, avalie seu impacto e examine as defesas

A guia Visão Geral fornece uma visualização do relatório detalhado do analista. Ele também fornece gráficos que realçam:

• O impacto da ameaça à sua organização.
• Sua exposição por meio de dispositivos configurados incorretamente e sem patch.

Cada relatório inclui gráficos projetados para fornecer informações sobre o impacto organizacional de uma ameaça:

• Incidentes relacionados. Fornece uma visão geral do impacto da ameaça controlada à organização com os seguintes dados:
  • Número de alertas ativos e o número de incidentes ativos aos quais eles estão associados.
  • Severidade de incidentes ativos.
• Alertas ao longo do tempo. Mostra o número de alertas Ativos e Resolvidos relacionados ao longo do tempo. O número de alertas resolvidos indica a rapidez com que a organização responde aos alertas associados a uma ameaça. O ideal é que o gráfico esteja mostrando alertas resolvidos em alguns dias.
• Ativos afetados. Mostra o número de dispositivos distintos e contas de e-mail (caixas de correio) com, pelo menos, um alerta ativo associado à ameaça controlada. O sistema aciona alertas para caixas de correio que receberam e-mails de ameaças. As organizações devem examinar as políticas no nível da organização e do usuário para obter substituições que causam a entrega de emails de ameaça.
• Tentativas de email impedidas. Mostra o número de e-mails dos últimos sete dias que o sistema bloqueou antes da entrega ou foi entregue na pasta de e-mail de lixo.

Cada relatório inclui gráficos que fornecem uma visão geral de como a organização é resiliente contra uma determinada ameaça:

• Status de configuração segura. Mostra o número de dispositivos com configurações de segurança configuradas incorretamente. As organizações devem aplicar as configurações de segurança recomendadas para ajudar a atenuar a ameaça. O sistema considera os dispositivos Seguros se a organização tiver aplicado todas as definições controladas.
• Status de aplicação do patch de vulnerabilidade. Mostra o número de dispositivos vulneráveis. As organizações devem aplicar atualizações de segurança ou patches para resolver vulnerabilidades exploradas pela ameaça.

Você pode filtrar a lista de relatórios de ameaças e exibir os relatórios mais relevantes de acordo com uma marca de ameaça específica (categoria) ou um tipo de relatório.

• Etiquetas de ameaças. Ajude você a exibir os relatórios mais relevantes de acordo com uma categoria de ameaça específica. Por exemplo, todos os relatórios relacionados ao ransomware.
• Tipos de relatório. Ajude você a exibir os relatórios mais relevantes de acordo com um tipo de relatório específico. Por exemplo, todos os relatórios que abrangem ferramentas e técnicas.
• Filtros. Ajude você a examinar com eficiência a lista de relatórios de ameaças e filtrar a exibição com base em uma marca de ameaça ou tipo de relatório específico. Por exemplo, examine todos os relatórios de ameaças relacionados à categoria de ransomware ou relatórios de ameaças que abrangem vulnerabilidades.

A equipa do Microsoft Threat Intelligence adicionou etiquetas de ameaças e outras informações importantes a cada relatório de ameaças:

• Quatro marcas de ameaça agora estão disponíveis:
  • Ransomware
  • Phishing
  • Vulnerabilidade
  • Grupo de atividades
• A parte superior da página do Threat Analytics apresenta etiquetas de ameaças.
• Há contadores para o número de relatórios disponíveis em cada marca.
• Pode ordenar a lista por etiquetas de ameaça.
• Os filtros estão disponíveis por marca de ameaça e tipo de relatório.

Guia relatório de analistas: obtenha insights de especialistas de pesquisadores de segurança da Microsoft

A guia Relatório de analista inclui análises detalhadas de especialistas sobre a ameaça. A maioria dos relatórios fornece descrições detalhadas das cadeias de ataques. Estas descrições incluem:

• Táticas e técnicas mapeadas para a arquitetura MITRE ATT&CK.
• Listas exaustivas de recomendações.
• Poderosa documentação de orientação para a investigação de ameaças.

Leitura adicional. Para obter mais informações, consulte Saiba mais sobre o relatório de analistas.

Guia Incidentes relacionados: exibir e gerenciar incidentes relacionados

A guia Incidentes relacionados fornece a lista de todos os incidentes relacionados à ameaça controlada. Você pode atribuir incidentes ou gerenciar alertas vinculados a cada incidente.

Guia Ativos afetados: Obter lista de dispositivos e caixas de correio afetados

Quando um alerta ativo e não resolvido afeta um recurso, o sistema considera o recurso "afetado". O separador Ativos afetados lista os seguintes tipos de recursos afetados:

• Dispositivos. Pontos de extremidade que têm alertas do Microsoft Defender para Ponto de Extremidade não resolvidos. Esses alertas normalmente são acionados em avistamentos de atividades e indicadores de ameaças conhecidos.
• Caixas de correio. Caixas de correio que receberam mensagens de e-mail que acionaram Microsoft Defender para Office 365 alertas. Embora o sistema normalmente bloqueie a maioria das mensagens que acionam alertas, as políticas ao nível do utilizador ou da organização podem substituir filtros.

Guia Tentativas de email impedidas: exibir emails de ameaça bloqueados ou lixo eletrônico

O Microsoft Defender para Office 365 normalmente bloqueia emails com indicadores de ameaça conhecidos, incluindo links ou anexos mal-intencionados. Em alguns casos, os mecanismos de filtragem proativa que marcar para conteúdo suspeito enviam, em vez disso, e-mails de ameaça para a pasta de e-mail de lixo. Cada caso reduz a probabilidade de a ameaça iniciar código de software maligno no dispositivo.

O separador Tentativas de e-mail impedidas lista todos os e-mails Microsoft Defender para Office 365 bloqueados antes da entrega ou enviados para a pasta de e-mail de lixo.

Guia Exposição e mitigações: examinar a lista de mitigações e o status de seus dispositivos

Na seção Exposição e mitigações, uma organização deve examinar a lista de recomendações acionáveis específicas que podem ajudar a aumentar sua resiliência contra a ameaça. A lista de mitigações controladas inclui:

• Atualizações de segurança. Implantação de atualizações de segurança de software com suporte para vulnerabilidades encontradas em dispositivos integrados
• Configurações de segurança com suporte. Essas mitigações incluem:
  • Proteção fornecida na nuvem
  • Proteção de aplicativo potencialmente indesejado (PUA)
  • Proteção em tempo real

As informações de mitigação nesta guia incorporam dados de gerenciamento de ameaças e vulnerabilidades. Esse recurso também fornece informações de busca detalhada de vários links no relatório.