Partilhar via

Procurar ameaças com o gráfico de investigação

  • Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

O gráfico de investigação fornece capacidades de visualização na investigação avançada ao compor cenários de ameaças como gráficos interativos. Esta funcionalidade permite que analistas do centro de operações de segurança (SOC), caçadores de ameaças e investigadores de segurança realizem a investigação de ameaças e a resposta a incidentes de forma mais fácil e intuitiva, melhorando a eficiência e a capacidade de avaliar possíveis problemas de segurança.

Os analistas dependem frequentemente de consultas Linguagem de Pesquisa Kusto (KQL) para descobrir relações entre entidades. Esta abordagem pode ser morosa e propensa a descuidos. O gráfico de investigação torna a exploração dos dados de segurança mais simples e rápida ao visualizar estas relações. Pode rastrear caminhos e possíveis pontos de estrangulamento, bem como informações do surface e efetuar várias ações com base nos resultados que as consultas tabulares podem perder.

Obter acesso

Para utilizar gráficos de investigação, investigação avançada ou outras capacidades de Microsoft Defender XDR, precisa de uma função adequada no Microsoft Entra ID. Leia sobre as funções e permissões necessárias para investigação avançada.

Também tem de ter o seguinte acesso ou permissões:

Onde encontrar o gráfico de investigação

Pode encontrar a página do gráfico de investigação ao aceder à barra de navegação à esquerda no portal do Microsoft Defender e selecionar Investigação & resposta>Investigação>Avançada de investigação.

Na página investigação avançada, selecione o ícone de gráfico de investigação Captura de ecrã do ícone de gráfico de investigação. Na parte superior da página ou selecione o ícone Criar novoCaptura de ecrã do ícone Criar novo e selecione Gráfico de investigação.

Captura de ecrã a mostrar a opção Criar novo gráfico de Investigação na página de investigação avançada.

Uma nova página de gráfico de investigação aparece como um separador com o nome Nova caça na página de investigação avançada.

Funcionalidades do gráfico de investigação

Os gráficos interativos gerados pelo gráfico de investigação utilizam nós e arestas para mostrar entidades no seu ambiente, como um dispositivo, conta de utilizador ou endereço IP, e as respetivas relações ou propriedades de ligação. Saiba mais sobre gráficos e visualizações no Microsoft Defender.

O canto inferior direito do gráfico tem botões de controlo que lhe permitem Ampliar e Reduzir e ver as Camadas do gráfico.

Captura de ecrã a mostrar um gráfico composto na página do gráfico de investigação.

Introdução ao gráfico de investigação

Utilizar cenários predefinidos no gráfico de investigação

O gráfico de investigação permite-lhe procurar com cenários predefinidos. Estes cenários são consultas de investigação avançadas pré-criadas que o ajudam a responder a perguntas específicas e comuns para casos de utilização específicos.

Para começar a procurar com um cenário predefinido, numa nova página de gráfico de investigação, selecione Procurar com Cenários predefinidos. É apresentado um painel lateral onde pode efetuar os seguintes passos:

  1. Selecione um cenário e introduza as entradas necessárias
  2. Aplicar filtros no gráfico
  3. Compor o gráfico

Captura de ecrã da página do gráfico de investigação a realçar o botão Procurar com Cenários predefinidos.

Passo 1: selecionar um cenário e introduzir entradas de cenário

A tabela seguinte descreve os cenários predefinidos no gráfico de investigação e as respetivas entradas de cenário necessárias, se aplicável. Para cenários que necessitem de entradas, pode escrever ou procurar e selecioná-los nas caixas de pesquisa fornecidas.

Cenário Descrição Entradas
Caminhos entre duas entidades Forneça duas entidades (nós) para ver os caminhos entre as mesmas.

Utilize este cenário se quiser descobrir se existe um caminho que conduz de uma entidade para outra.
  • Entidade Iniciar
  • Entidade Final
Entidades que têm acesso a um cofre de chaves Forneça um cofre de chaves específico para ver caminhos de várias entidades (dispositivos, máquinas virtuais, contentores, servidores e outros) que tenham acesso direto ou indireto ao mesmo.

Utilize este cenário em caso de falha de segurança, trabalho de manutenção ou avaliação do impacto das entidades que podem ter acesso a um recurso confidencial, como um cofre de chaves.		 Cofre de chaves de destino
Utilizadores com acesso a dados confidenciais Forneça qualquer armazenamento de dados confidenciais de interesse para ver os utilizadores que têm acesso aos mesmos.

Utilize este cenário se quiser saber que entidades têm acesso a dados confidenciais, especialmente nos casos em que um incidente indica acesso invulgar a ficheiros confidenciais.		 Conta de armazenamento de destino
Utilizadores críticos com acesso a contas de armazenamento que contêm dados confidenciais Este cenário identifica utilizadores críticos com acesso a recursos de armazenamento que contêm dados confidenciais.

Utilize este cenário para impedir, avaliar e monitorizar o acesso não autorizado, o risco de exposição e o impacto da falha com base nos utilizadores com privilégios.		 (Nenhum)
Transferência de dados exfiltração por um dispositivo Forneça um ID de dispositivo para ver caminhos para contas de armazenamento às quais tem acesso; por exemplo, para verificar a que contas de armazenamento um determinado dispositivo pode aceder num ambiente BYOD (Bring Your Own Device).

Utilize este cenário ao investigar a transferência de dados suspeitos ou não autorizados a partir de dispositivos empresariais e de origens externas.		 Dispositivo de origem
Caminhos para um cluster do Kubernetes altamente crítico Forneça um cluster do Kubernetes com elevada importância para ver utilizadores, máquinas virtuais e contentores que tenham acesso ao mesmo.

Utilize este cenário para avaliar, analisar e priorizar o processamento de caminhos de ataques que conduzem a um cluster do Kubernetes altamente crítico.		 Cluster do Kubernetes de destino
Identidades com acesso a repositórios Azure DevOps Forneça um Azure nome do repositório de DevOps (ADO) para ver os utilizadores que têm acesso de leitura e/ou escrita ao repositório referido.

Utilize este cenário para identificar entidades com acesso a repositórios ADO, que muitas vezes contêm recursos confidenciais e, portanto, destinos valiosos para os atores de ameaças. Este cenário dá-lhe visibilidade e permite-lhe planear a sua resposta em caso de violação.		 Repositório ADO de destino
Identificar nós no maior número de caminhos para arquivos de dados SQL Este cenário identifica os nós que aparecem no maior número de caminhos que levam a arquivos de dados SQL. O cenário deteta caminhos no gráfico onde os utilizadores têm funções ou permissões para aceder aos arquivos de dados SQL.

Utilize este cenário para obter visibilidade para arquivos que possam conter informações confidenciais, avaliar o impacto em caso de falha de segurança e preparar a mitigação e a resposta.		 (Nenhum)
Caminhos de ataque para um recurso crítico Veja as rotas potenciais através de vários nós que conduzem a um destino.
Utilize este cenário para examinar potenciais movimentos laterais que podem atingir um recurso crítico através da sua rede.		 Recurso crítico de destino
Ligações de entidade Localize as ligações diretas de uma determinada entidade e analise as respetivas relações. Entidade de origem

Nota: Pode utilizar qualquer entidade como o nó de propagação para o gráfico. O gráfico indica ligações de entrada e saída.

Captura de ecrã do painel lateral dos cenários predefinidos a realçar as opções disponíveis.

Captura de ecrã do painel lateral dos cenários predefinidos a realçar as entradas de cenário necessárias.

Passo 2: Aplicar filtros

Pode adicionar filtros relevantes para tornar a vista de mapa do seu cenário selecionado mais precisa. Por exemplo, se quiser Mostrar apenas os caminhos mais curtos, selecione esta opção.

Captura de ecrã do painel lateral cenários predefinidos a realçar o filtro Mostrar apenas os caminhos mais curtos.

Filtros avançados

Por predefinição, os cenários predefinidos aplicam automaticamente determinados filtros, que pode ver na secção Filtros Avançados do painel lateral. Pode remover estes filtros ou adicionar novos para refinar ainda mais o gráfico que pretende gerar.

Para remover filtros, selecione o ícone Remover filtroCaptura de ecrã do ícone remover filtro. Junto a cada filtro ou selecione Limpar tudo para removê-los todos ao mesmo tempo.

Para adicionar um filtro, selecione Adicionar filtro e, em seguida, selecione qualquer um dos filtros de extremidade ou nó suportados. A tabela seguinte lista estes operadores e filtros suportados. Dependendo do cenário escolhido, alguns destes filtros poderão não estar disponíveis como opções.

Tipo de filtro Operador Filtros
Nó de Origem é igual a
  • É crítico
  • É vulnerável
  • Está exposto à Internet
Nó de Destino é igual a
  • Tem dados confidenciais
  • Tem pontuação de risco
  • É vulnerável
Tipo de Limite é igual a
  • tem permissões para
  • encaminha o tráfego para
  • que afetam
  • membro de
  • define
  • pode representar como
  • contém
  • pode autenticar como
  • é executado em
  • tem função em
  • está em execução
  • utilizado para criar
  • mantém
  • com sessão iniciada frequentemente por
  • tem credenciais de
  • definido em
  • pode autenticar para
  • pushes
  • aprovisionamentos
Direção do limite é igual a
  • Entrada
  • Saída
  • Ambos

Captura de ecrã do painel lateral dos cenários predefinidos a realçar a secção de filtro avançado.

Passo 3: Compor o gráfico

Depois de selecionar um cenário e aplicar os filtros necessários, selecione Executar para compor o gráfico. Assim que o gráfico for composto, pode explorá-lo mais ao selecionar nós e arestas para ver mais informações sobre entidades e relações ou expandir ou focar-se em determinadas entidades.

Consulte também

  • Last updated on