Praticar a administração da segurança

  • 30 minutos

Gerenciamento de ameaças e vulnerabilidades

Painel de gerenciamento de Ameaças e Vulnerabilidades.

Identificar, avaliar e corrigir com eficácia os pontos fracos dos pontos de extremidade são dinamizados para executar um programa de segurança saudável e reduzir o risco organizacional. O Gerenciamento de Ameaças e Vulnerabilidades funciona como uma infraestrutura para reduzir a exposição organizacional, reforçar a área de superfície de ponto de extremidade e aumentar a resiliência organizacional.

Essa infraestrutura ajuda as organizações a descobrir vulnerabilidades e configurações incorretas em tempo real, com base em sensores, sem a necessidade de agentes ou verificações periódicas. Atribui prioridades a problemas com base em muitos fatores. Esses fatorem incluem o cenário de ameaças, detecções em sua organização, informações confidenciais em dispositivos vulneráveis e o contexto empresarial.

A gestão de ameaças e vulnerabilidades está incorporada, em tempo real, com tecnologia de cloud, totalmente integrada na pilha de segurança de pontos finais da Microsoft, no Microsoft Intelligent Security Graph e na análise de aplicações base de dados de conhecimento. É possível criar uma tarefa de segurança ou um tíquete por meio da integração com o Microsoft Intune e o Microsoft Endpoint Manager.

Ele fornece as soluções a seguir para intervalos entre operações de segurança, administração de segurança e administração de TI:

  • Percepções de detecção e resposta do ponto de extremidade (EDR) em tempo real correlacionados a vulnerabilidades de ponto de extremidade
  • Dados de avaliação de configuração de segurança e vulnerabilidade de máquinas no contexto da descoberta da exposição
  • Processos de correção integrados por meio do Microsoft Intune e do Microsoft Endpoint Manager

Por exemplo, usando as recomendações de segurança presentes no portal, um administrador pode solicitar uma atualização de aplicativo, que notificaria a equipe do Intune para corrigir a solicitação.

Recomendações de segurança.

Redução da superfície do ataque.

O conjunto de redução de recursos da superfície de ataque fornece a primeira linha de defesa na pilha garantindo que as configurações sejam definidas corretamente e a exploração das técnicas de mitigação sejam aplicadas.

  • O Isolamento baseado em hardware protege e mantém a integridade do sistema à medida que ele é iniciado e enquanto está sendo executado, e valida a integridade do sistema por meio de atestado local e remoto. O isolamento de contêiner para o Microsoft Edge ajuda a proteger o sistema operacional do host contra sites mal-intencionados.
  • O Controle de aplicativo se afasta do modelo de confiança do aplicativo tradicional, em que todos os aplicativos são considerados confiáveis por padrão para um local em que os aplicativos devem conquistar a confiança para serem executados.
  • O Exploit Protection aplica técnicas de mitigação aos aplicativos que sua organização usa, tanto individualmente quanto em toda a organização.
  • A Proteção de Rede estende a proteção contra malware e engenharia social oferecida pelo Microsoft Defender SmartScreen no Microsoft Edge para abranger o tráfego de rede e a conectividade dos dispositivos da sua organização.
  • Acesso a pastas controladas ajuda a proteger arquivos nas principais pastas do sistema de alterações feitas por aplicativos mal-intencionados e suspeitos, incluindo malware de ransomware com criptografia de arquivos.
  • A redução da superfície de ataque reduz a superfície de ataque de aplicativos com regras inteligentes que interrompem os vetores usados por malware baseado em Office, script e e-mail.
  • O Firewall de rede usa a filtragem de tráfego de rede bidirecional baseada em host que bloqueia o tráfego de rede não autorizado que flui para dentro ou para fora do dispositivo local.

A captura de ecrã abaixo mostra um gráfico de deteções contra uma regra de redução da superfície de ataque que está a proteger as aplicações do Office:

Regras da redução da superfície de ataque.

Proteção de próxima geração

O Windows Defender Antivírus é uma solução antimalware interna que oferece proteção de próxima geração para computadores desktop, computadores portáteis e servidores. O Microsoft Defender Antivírus inclui:

  • Proteção oferecida pela nuvem para detecção quase instantânea e bloqueio de ameaças novas e emergentes. Além do aprendizado da máquina e do gráfico de segurança inteligente, a proteção oferecida na nuvem faz parte das tecnologias de próxima geração que para alimentam o Microsoft Defender Antivírus.
  • Varredura contínua, usando monitoramento avançado de comportamento de arquivo e de processo e outras heurísticas (também conhecidas como "proteção em tempo real").
  • Atualizações de proteção dedicadas com base em aprendizado de máquina, análise de grandes dimensões humana e automatizada e pesquisa de resistência de ameaças aprofundada.

As seguintes configurações de proxy e de rede devem ser consideradas:

  • O sensor Microsoft Defender ATP requer o Microsoft Windows HTTP (WinHTTP) para relatar os dados do sensor e se comunicar com o serviço Microsoft Defender ATP.
  • O sensor integrado Microsoft Defender ATP é executado no contexto do sistema usando a conta LocalSystem. O sensor usa o Microsoft Windows HTTP Services (WinHTTP) para permitir a comunicação com o serviço de nuvem Microsoft Defender ATP.
  • A definição da configuração do WinHTTP é independente das configurações de proxy de navegação da Internet do Windows (WinINet) e só pode descobrir um servidor proxy usando os seguintes métodos de descoberta automática:
    • Proxy transparente
    • Protocolo WPAD

Detecção e resposta do terminal.

Microsoft Defender para Ponto de Extremidade capacidades de deteção e resposta de pontos finais fornecem deteções de ataques avançadas quase em tempo real e acionáveis. Os analistas de segurança podem priorizar os alertas de maneira eficaz, obter visibilidade do escopo completo de uma violação e executar ações de resposta para remediar ameaças.

Quando uma ameaça é detectada, os alertas são criados no sistema para um analista investigar. Alertas com as mesmas técnicas de ataque ou atribuídos ao mesmo invasor são agregados a uma entidade chamada de incidente. Agregar alertas dessa maneira ajuda os analistas a investigar e responder a ameaças coletivamente.

Inspirado pela mentalidade de "supor violação", o Microsoft Defender ATP coleta continuamente telemetria cibernética comportamental. O que inclui informações de processo, atividades de rede, óptica profunda no kernel e gestor de memória, atividades de início de sessão do utilizador, alterações do registo e do sistema de ficheiros, entre outros. As informações são armazenadas por seis meses, permitindo que um analista volte no tempo até o início de um ataque. O analista pode, então, girar usando várias visualizações e pode abordar uma investigação por meio de vários vetores.

As operações de segurança dashboard (apresentadas na captura de ecrã) é onde as capacidades de deteção e resposta de pontos finais são apresentadas. Ele fornece uma visão geral de alto nível de onde as detecções foram vistas e destaca onde as ações de resposta são necessárias.

Captura de ecrã do dashboard operações de segurança.

Investigação e correção automatizadas

O Microsoft Defender ATP oferece uma ampla gama de visibilidade em várias máquinas. Com esse tipo de óptica, o serviço gera uma infinidade de alertas. O volume de alertas gerados pode ser um desafio para uma equipe de operações de segurança típica abordar individualmente. Para enfrentar esse desafio, o Microsoft Defender ATP usa recursos automatizados de investigação e correção para reduzir significativamente o volume de alertas que devem ser investigados individualmente.

Investigações automatizadas.

O recurso de investigação automatizada usa vários algoritmos de inspeção, e processos usados por analistas (por exemplo, playbooks) para examinar alertas e tomar medidas imediatas de correção para resolver violações. Isso reduz significativamente o volume de alerta, permitindo que os especialistas de operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. Na captura de tela de investigação a seguir, podemos ver que o malware foi detectado e corrigido automaticamente:

Malware detectado e corrigido.

Aprenda a reduzir os riscos organizacionais com o Gerenciamento de Ameaças e Vulnerabilidades

Exibir uma versão em vídeo do guia interativo (legendas disponíveis em outros idiomas).

Reduzir os riscos organizacionais com o Gerenciamento de Ameaças e Vulnerabilidades

Certifique-se de que seleciona a opção de ecrã inteiro no leitor de vídeo. Quando terminar, use seta Voltar no seu navegador para retornar a esta página.