Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como responder a um incidente usando o Microsoft Sentinel no portal do Defender, abrangendo triagem, investigação e resolução.
Pré-requisitos
Investigar incidentes no portal do Defender:
- O workspace do Log Analytics usado para o Microsoft Sentinel deve ser integrado ao portal do Defender. Para obter mais informações, confira Como conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Processo de resposta a incidentes
Ao trabalhar no portal do Defender, faça a triagem inicial, a resolução e as etapas de acompanhamento como faria de outra forma. Ao investigar, certifique-se de:
- Entenda o incidente e seu escopo examinando as linhas de tempo dos ativos.
- Examine as ações pendentes de auto-correção, corrija manualmente as entidades e execute a resposta em tempo real.
- Adicione medidas de prevenção.
A área adicionada do Microsoft Sentinel do portal do Defender ajuda você a aprofundar sua investigação, incluindo:
- Noções básicas sobre o escopo do incidente correlacionando-o com seus processos de segurança, políticas e procedimentos (3P).
- Executando ações de investigação e correção automatizadas 3P e criando guias estratégicos personalizados de orquestração, automação e resposta (SOAR).
- Registrando evidências para o gerenciamento de incidentes.
- Adicionando medidas personalizadas.
Para obter mais informações, consulte:
- Investigue incidentes no Microsoft Defender XDR
- Resposta a incidentes com Microsoft Defender XDR
- Páginas de entidade no Microsoft Sentinel
Automação com o Microsoft Sentinel
Certifique-se de aproveitar a funcionalidade do livro de estratégias e das regras de automação do Microsoft Sentinel.
Um guia estratégico é uma coleção de ações de investigação e correção que podem ser executadas no portal do Microsoft Sentinel como uma rotina. Os guias estratégicos podem ajudar a automatizar e orquestrar sua resposta a ameaças. Eles podem ser executados manualmente sob demanda em incidentes, entidades e alertas ou definidos para serem executados automaticamente em resposta a alertas ou incidentes específicos, quando disparados por uma regra de automação. Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos.
As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que pode ser aplicado em diferentes cenários. Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Depois de integrar seu workspace do Microsoft Sentinel ao portal do Defender, observe que há diferenças em como a automação funciona em seu workspace. Para obter mais informações, consulte Automação com o Microsoft Sentinel no portal do Defender.
Resposta pós-incidente
Depois de resolver o incidente, relate o incidente ao seu lead de resposta a incidentes para possível acompanhamento para determinar mais ações. Por exemplo:
- Informe seus analistas de segurança de camada 1 para detectar melhor o ataque antecipadamente.
- Pesquise o ataque na Análise de Ameaças do Microsoft Defender XDR e na comunidade de segurança para obter uma tendência de ataque de segurança. Para obter mais informações, veja Análise de ameaças no Microsoft Defender XDR.
- Conforme necessário, registre o fluxo de trabalho usado para resolver o incidente e atualize seus fluxos de trabalho, processos, políticas e guias estratégicos padrão.
- Determine se as alterações na configuração de segurança são necessárias e implementá-las.
- Crie um guia estratégico de orquestração para automatizar e orquestrar sua resposta a ameaças para um risco semelhante no futuro. Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
Conteúdo relacionado
Para obter mais informações, consulte: