Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Microsoft Defender utiliza a proteção preditiva (Pré-visualização) como uma estratégia de defesa proativa concebida para antecipar e mitigar ameaças antes de se materializarem. Saiba como a proteção preditiva funciona para inferir dinamicamente o risco, antecipar a progressão do atacante e proteger o seu ambiente.
Este artigo descreve como gerir a proteção preditiva para que possa enriquecer os dados de predição e compreender como as ações de proteção preditiva são aplicadas no seu ambiente.
Rever os detalhes e os resultados da proteção preditiva
A vista de incidente no Microsoft Defender inclui detalhes de proteção preditiva incorporados. Utilize o gráfico de incidentes e as informações de atividade para avaliar o impacto e o estado da proteção preditiva.
Sugestão
Para enriquecer os dados de proteção preditiva, recomendamos que utilize o sensor Microsoft Defender para Identidade para melhorar as informações de segurança e expandir a cobertura. Para obter mais informações, veja Melhorar os dados de proteção preditiva.
Rever as informações do incidente
Na página Incidentes , filtre pela etiqueta Proteção Preditiva para localizar incidentes em que a proteção preditiva é aplicada.
Nota
Embora os detalhes do incidente e do alerta mostrem dados históricos do início do incidente, o separador Atividades mostra um instantâneo do estado atual. Para obter mais informações, veja Rever as informações de atividade.
Em seguida, pode selecionar o incidente relevante e rever o gráfico de incidentes para obter toda a história do ataque e avaliar o impacto e o estado da proteção preditiva.
Também pode rever o alerta e informações de interrupção para obter detalhes e resultados de proteção preditiva:
Nos detalhes do alerta, veja a etiqueta proteção preditiva e o tipo de ameaça específico identificado (por exemplo, ransomware). Se subscrever notificações por e-mail de incidentes, estas etiquetas também serão apresentadas nos e-mails.
No resumo da interrupção, veja o número de políticas de proteção preditiva invocadas como parte deste incidente e o número de dispositivos protegidos em todas as políticas.
Rever as informações de atividade
Selecione o separador Atividades do incidente e filtre pela categoria Resposta para obter um instantâneo dinâmico das atividades nas quais são aplicadas ações de proteção preditiva:
Reveja a coluna Tipo para ver as ações acionadas pela proteção preditiva.
Neste exemplo, as ações Conter Utilizador, Proteção de GPO e Proteção segura são aplicadas como parte da proteção preditiva. Saiba mais sobre as ações de proteção preditiva.
Selecione a coluna Acionar alerta para abrir o painel de detalhes do alerta e reveja o alerta que levou à ação de proteção preditiva. Para obter mais informações, veja Rever as informações de alerta de acionamento.
Reveja a coluna Estado da política para ver que políticas de proteção estão atualmente aplicadas.
Nota
A coluna Realizada por indica Interrupção do Ataque para interrupção do ataque e ações de proteção preditiva. Para compreender que ações específicas se aplicam à proteção preditiva, veja As ações de proteção preditiva.
Selecione uma ação específica para abrir o painel de detalhes da atividade, que descreve a atividade, e mostra o número de dispositivos em que a política relevante é atualmente aplicada.
Sugestão
Enquanto o separador Atividades apresenta ações específicas do incidente atual, o Centro de ação apresenta todas as atividades. Para controlar as ações de proteção preditiva no Centro de ação, veja Utilizar o Centro de ação.
Rever as informações de acionamento de alertas
Para investigar o alerta que levou à ação de proteção preditiva, selecione o alerta de acionamento no painel de detalhes do incidente ou na página de atividade.
No alerta, pode rever:
- Que activos estão em risco.
- O acionamento de atividade maliciosa da cadeia de Alertas.
- Os dados de exposição utilizados para calcular este risco.
Enriquecer dados de proteção preditiva
Recomendamos que utilize o sensor Microsoft Defender para Identidade para melhorar as informações de segurança e expandir a cobertura. Esta abordagem adiciona metadados como nomes de utilizador, detalhes do Active Directory e associações a grupos a alertas, tornando-os mais acionáveis.
Para adicionar o sensor do Defender para Identidade, veja Implementar Microsoft Defender para Identidade.
Exemplo de dados melhorados
Neste cenário de exemplo:
- Tanto Microsoft Defender para Endpoint como Microsoft Defender para Identidade estão ativados no ambiente.
- Um atacante ganhou uma posição de apoio numa jump box e realizou atividades maliciosas que levaram a comprometer uma estação de trabalho (WSA).
- Os dados melhorados revelam atividades suspeitas do PowerShell no WSA, que indicam a intenção do atacante de realizar a recolha remota de credenciais no WSB.
- Este melhoramento adiciona dados preditivos sobre o incidente e indica a intenção de um novo compromisso.
Controlar modificações de políticas na investigação avançada
Pode utilizar consultas específicas na investigação avançada para controlar as modificações de políticas no seu ambiente.
Controlar políticas de proteção preditiva ativadas
Esta consulta de exemplo obtém eventos relacionados com alterações nas políticas de proteção de proteção preditiva e permite-lhe monitorizar quando as políticas estão ativadas ou desativadas para domínios específicos. A consulta utiliza a tabela DisruptionAndResponseEvents.
DisruptionAndResponseEvents
let hardeningPolicyType =
let lookBackTime =
DisruptionAndResponseEvents
| where Timestamp > lookBackTime
| where PolicyName == hardeningPolicyType
| where DomainName == domainName
| summarize arg_max(Timestamp, IsPolicyOn) by DeviceId
| where IsPolicyOn
Controlar eventos de modificação de políticas no ambiente
Esta consulta de exemplo obtém eventos de modificação de políticas no ambiente, incluindo a aplicação e remoção de políticas de proteção de dispositivos integrados no Defender para Endpoint. A consulta utiliza a tabela DisruptionAndResponseEvents.
DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
let lookBackTime = datetime("");
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where Timestamp > lookBackTime
| where ReportType == 'PolicyUpdated' and IsPolicyOn == '1'
| summarize arg_max(Timestamp, DeviceName) , PoliciesApplied = make_set(PolicyName) by DeviceId
Controlar eventos bloqueados relacionados com políticas de proteção preditiva
Esta consulta de exemplo obtém eventos bloqueados relacionados com políticas de proteção de proteção preditiva e permite-lhe monitorizar quando ações específicas foram bloqueadas nos dispositivos. A consulta utiliza a tabela DisruptionAndResponseEvents.
DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where ReportType == 'Prevented'
Anular ações acionadas pela proteção preditiva
Pode anular uma ação que foi aplicada como parte da proteção preditiva.
Para anular uma ação, efetue um dos seguintes procedimentos:
- No separador Atividade do incidente, selecione a ação específica que pretende anular.
- Anular uma ação do Centro de ação.