Compartilhar via

Compreender o relatório de Especialistas em Investigação do Defender no Microsoft Defender

Aplica-se a:

Microsoft Defender Experts for Hunting combina inteligência humana com tecnologia especializada para ajudar Microsoft Defender XDR clientes a compreender as ameaças significativas que enfrentam. Realça como as competências de investigação de ameaças dos Especialistas em Defender, a compreensão aprofundada do panorama das ameaças e o conhecimento de ameaças emergentes podem ajudá-lo a identificar, priorizar e lidar com essas ameaças no seu ambiente.

O serviço Defender Experts for Hunting gera relatórios para o ajudar a compreender todas as ameaças que o serviço de investigação surgiu no seu ambiente, juntamente com os alertas gerados pelos seus produtos Microsoft Defender XDR. Pode ver o relatório no mês atual (em execução) ou em períodos de um, três ou seis meses.

Para ver o relatório no portal Microsoft Defender, aceda a Relatórios, selecioneRelatórios de Investigação de Especialistas do> Defender. Cada secção do relatório foi concebida para fornecer mais informações sobre as ameaças e atividades suspeitas que os nossos Especialistas em Defender encontraram no seu ambiente.

Veja a seguinte captura de ecrã de um relatório de exemplo:

Captura de ecrã do relatório Defender Experts for hunting (Especialistas do Defender para investigação).

Identificar ameaças predominantes e outros potenciais pontos de entrada de ataque

Os sinais de Microsoft Defender XDR e investigações de Especialistas do Defender para Investigação ajudam a identificar atividades suspeitas no seu ambiente. As atividades de ameaças significativas têm Notificações de Especialistas do Defender correspondentes, que também fornecem recomendações para remediar e defender a sua organização.

A secção superior do relatório fornece-lhe o número total de caças, ameaças suspeitas investigadas e Notificações de Especialistas em Defender que os nossos especialistas enviaram para o período escolhido:

Captura de ecrã da secção superior do relatório a mostrar o número de ameaças identificadas.

Para ver estas notificações, selecione Ver Notificações de Especialistas do Defender. Esta ação redireciona-o para a página Incidentes do portal Microsoft Defender. Os Alertas de Peritos do Defender para Investigação ou Notificações de Especialistas em Defender têm a etiqueta Especialistas em Defender .

Observação

O botão Ver Notificações de Especialistas do Defender só é apresentado se o número de ameaças identificadas for, pelo menos, 1.

Todas as outras atividades identificadas são visualizadas ou resumidas nas secções seguintes:

Tendência de caça

A secção Tendência de caça apresenta um gráfico de linhas de tendência do número de atividades de investigação realizadas pelos Peritos do Defender no seu ambiente para o período de tempo escolhido. Este gráfico dá-lhe visibilidade da monitorização e investigação contínuas que os nossos especialistas estão a fazer, mesmo que não encontrem ameaças ativas ou atividades suspeitas.

Captura de ecrã da secção Tendência de caça do relatório Especialistas em Investigação do Defender.

Ameaças emergentes

A secção Ameaças emergentes detalha as caças proativas baseadas em hipóteses que realizamos no seu ambiente. Estas caças focam-se em tácticas que os actores de ameaças estão a começar a adotar e outras informações sobre ameaças. Ao apresentar estas caçadas, damos-lhe visibilidade sobre como estamos a antecipar o comportamento do atacante, validar as suas defesas contra técnicas novas e notáveis e identificar atividades suspeitas relevantes antes de uma exploração significativa.

Esta secção é uma tabela que mostra o título da ameaça, se identificámos o impacto no seu ambiente, a gravidade da ameaça e a categoria de ameaça. Agrega as nossas caçadas a ameaças emergentes com base na sua gravidade. Pode filtrar esta secção pela categoria de gravidade e ameaça das caçadas.

Captura de ecrã da secção Ameaças emergentes do relatório Especialistas em Investigação do Defender.

Selecionar um dos títulos de ameaça abre um painel lateral com o respetivo resumo de investigação, que resume as nossas conclusões sobre a ameaça. Os resumos de investigação dão-lhe informações sobre as nossas investigações e mantêm-no atualizado com o panorama das ameaças.

Caças por categoria de ameaças

A secção Hunts by threat category (Caça por categoria de ameaças ) apresenta mosaicos de atividade de investigação ordenados de acordo com as categorias de ameaças. Esta ordenação ajuda-o a visualizar o que uma atividade está a tentar alcançar em cada fase de ataque para que possa planear as ações de contenção e remediação correspondentes.

Captura de ecrã da secção Hunts by threat category (Caças por ameaça) do relatório Defender Experts for Hunting (Especialistas em Investigação do Defender) que mostra o menu pendente.

Pode filtrar as atividades apresentadas na tabela ao selecionar qualquer uma das seguintes opções no menu pendente:

  • All – apresenta todas as atividades verdadeiramente positivas, verdadeiras positivas benignas e falsos positivos.
  • Atividades suspeitas – apresenta atividades verdadeiras positivas e positivas benignas identificadas no seu ambiente. Nem todas as atividades suspeitas têm Notificações de Peritos do Defender correspondentes.
  • Especialistas do Defender Notificados – apresenta atividades apenas com notificações de peritos do Defender correspondentes.

Também pode alternar Mostrar todas as categorias se pretender apresentar ou ocultar categorias que não tenham atividades relacionadas.

Cada mosaico de atividade mostra o número de caças realizadas por Especialistas do Defender relacionados com o mesmo. Também pode apresentar qualquer um dos três ícones correspondentes a caças relacionadas, resumos de investigação e Notificações de Especialistas do Defender.

Resumos de investigação

Cada caça que os Peritos do Defender conduzem conta uma história, mesmo quando não encontram uma ameaça ativa. Em quase todas as caçadas que os Peritos do Defender realizam no seu ambiente, existe um resumo de investigação correspondente que acompanha o mesmo, independentemente de terem identificado uma ameaça confirmada.

Quando seleciona um dos títulos de ameaça na secção Ameaças emergentes ou um dos mosaicos de atividade com o ícone de deslocamento na secção Hunts by threat category , é aberto um painel lateral que apresenta o resumo da investigação ou o resumo da investigação relacionada com a ameaça ou atividade: o que os Especialistas do Defender procuraram, por que caçavam por isso, e como chegaram à sua determinação final. O resumo também fornece as datas e horas em que a caça começou e concluiu, a classificação de caça e os recursos afetados. Se aplicável, também fornece ligações para ver notificações de Especialistas do Defender relacionadas.

Captura de ecrã a mostrar um resumo de investigação no relatório Especialistas em Investigação do Defender.

Conhecer e compreender os pontos fracos de segurança no seu ambiente

A secção Principais atividades suspeitas mais populares do relatório identifica até 20 atividades suspeitas que os Especialistas do Defender observaram consistentemente no seu ambiente nos últimos três meses, ordenadas com base na respetiva classificação de gravidade e frequência de ocorrência:

Captura de ecrã da secção Principais atividades suspeitas mais populares do relatório.

Ao mostrar as atividades mais críticas e frequentemente observadas, pode avaliar e avaliar o respetivo impacto e desenvolver estratégias para prevenir ou mitigar potenciais ameaças ao seu ambiente.

Selecione Ver detalhes em cada card para abrir um painel de lista de opções que detalha os dispositivos e utilizadores afetados. Se aplicável, a página também fornece ligações para ver as Notificações de Peritos do Defender relacionadas.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.

  • Last updated on