Monitorando incidentes em tempo real com o Microsoft 365 Security Center

Monitorando incidentes em tempo real com o Microsoft 365 Security Center

08/03/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas no monitoramento e gerenciamento de incidentes de segurança em tempo real utilizando o Microsoft 365 Defender portal (anteriormente conhecido como Microsoft 365 Security Center). Este portal unifica a visibilidade e as capacidades de resposta a incidentes de diversas soluções de segurança da Microsoft, como Defender for Endpoint, Defender for Office 365, Defender for Identity e Defender for Cloud Apps, proporcionando uma plataforma centralizada para operações de segurança [1].

Introdução

Em um ambiente de ameaças cibernéticas em constante evolução, a capacidade de detectar, investigar e responder a incidentes de segurança de forma rápida e eficiente é crucial para minimizar o impacto de um ataque. O Microsoft 365 Defender portal atua como um centro de comando e controle, correlacionando alertas de segurança de diferentes produtos da Microsoft em incidentes coesos. Isso permite que as equipes de SecOps (Security Operations) obtenham uma visão holística de um ataque, compreendam sua cadeia de eliminação e tomem ações corretivas de forma mais eficaz [2].

Este guia prático abordará como navegar no portal do Microsoft 365 Defender, como monitorar a fila de incidentes, investigar alertas correlacionados e gerenciar o ciclo de vida de um incidente. Serão fornecidas instruções passo a passo, exemplos de uso da interface e métodos de validação para que o leitor possa otimizar suas operações de segurança e melhorar a capacidade de resposta a incidentes em seu ambiente Microsoft 365.

Por que o Microsoft 365 Defender portal para monitoramento de incidentes?

  • Visibilidade Unificada: Agrega alertas de segurança de múltiplos produtos Defender (Endpoint, Office 365, Identity, Cloud Apps) em um único painel.
  • Correlação Automática: Correlaciona automaticamente alertas relacionados em incidentes, fornecendo um contexto mais rico sobre um ataque.
  • Investigação Abrangente: Oferece ferramentas de investigação aprofundada, incluindo linha do tempo de eventos, gráficos de ataque e informações detalhadas sobre entidades afetadas.
  • Resposta Coordenada: Permite que as equipes de segurança respondam a incidentes de forma centralizada, com ações automatizadas e manuais.
  • Automação de Resposta (SOAR): Integra-se com recursos de SOAR para automatizar tarefas de resposta a incidentes, reduzindo o tempo médio de resposta (MTTR).

Pré-requisitos

Para monitorar incidentes em tempo real com o Microsoft 365 Defender portal, você precisará dos seguintes itens:

  1. Licenciamento: Licenças apropriadas para os produtos Microsoft 365 Defender (ex: Microsoft 365 E5 Security, Microsoft 365 E5) que incluem acesso ao portal e aos recursos de detecção [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador de Segurança, Operador de Segurança ou Leitor de Segurança no portal do Microsoft 365 Defender (https://security.microsoft.com).
  3. Produtos Defender Ativos: Pelo menos um dos produtos Defender (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) deve estar ativo e configurado para gerar alertas.
  4. Fontes de Dados Conectadas: Os dados de segurança devem estar sendo ingeridos e monitorados pelos respectivos produtos Defender.

Passo a Passo: Monitorando e Gerenciando Incidentes

Vamos explorar a interface do Microsoft 365 Defender portal e as principais funcionalidades para monitoramento e gerenciamento de incidentes.

1. Acessando o Portal do Microsoft 365 Defender

  1. Abra seu navegador e navegue até https://security.microsoft.com.
  2. Faça login com uma conta que tenha as permissões necessárias.

2. Navegando na Fila de Incidentes

A fila de incidentes é o ponto central para as equipes de SecOps. É onde alertas relacionados são agrupados para fornecer uma visão contextualizada de um ataque.

  1. No painel de navegação esquerdo, selecione Incidentes e alertas > Incidentes.
  2. A fila de incidentes exibirá uma lista de todos os incidentes detectados, com informações como severidade, status, entidades afetadas e última atividade.

3. Analisando um Incidente Específico

Ao clicar em um incidente, você terá acesso a uma visão detalhada que inclui todos os alertas correlacionados, dispositivos, usuários e arquivos afetados.

  1. Na fila de incidentes, clique no Nome de um incidente para abrir sua página de detalhes.
  2. A página de detalhes do incidente é composta por várias abas:
    • Visão geral: Fornece um resumo do incidente, incluindo severidade, status, classificação, usuários e dispositivos afetados.
    • Alertas: Lista todos os alertas que foram correlacionados a este incidente. Você pode clicar em cada alerta para ver seus detalhes específicos.
    • Dispositivos: Mostra todos os dispositivos envolvidos no incidente.
    • Usuários: Lista os usuários afetados ou envolvidos.
    • Caixas de correio: Mostra as caixas de correio afetadas (se houver alertas do Defender for Office 365).
    • Investigações: Exibe as investigações automatizadas que foram iniciadas em resposta ao incidente.
    • Evidências e resposta: Apresenta as evidências coletadas (arquivos, IPs, URLs) e as ações de resposta recomendadas ou tomadas.
    • Gráfico: Uma representação visual da cadeia de ataque, mostrando a relação entre alertas, entidades e eventos.

4. Gerenciando o Ciclo de Vida do Incidente

O gerenciamento de incidentes envolve a atribuição, classificação e resolução.

  1. Atribuir Incidente: Na página de detalhes do incidente, na seção Visão geral, você pode atribuir o incidente a um analista específico. Clique em Atribuir a e selecione um usuário.
  2. Alterar Status: Mude o Status do incidente conforme o progresso da investigação (ex: Novo, Em Andamento, Resolvido).
  3. Classificar Incidente: Ao resolver um incidente, você deve classificá-lo para fins de aprendizado e relatórios. Clique em Classificação e selecione:
    • Verdadeiro Positivo (se for uma ameaça real)
    • Falso Positivo (se for um alerta incorreto)
    • Atividade esperada (se for uma atividade legítima que disparou o alerta)
    • Adicione um Comentário para documentar a resolução.
  4. Adicionar Comentários: Use a seção Comentários e histórico para registrar as etapas da investigação, descobertas e ações tomadas.

5. Executando Ações de Resposta

Com base na investigação, você pode tomar ações de resposta diretamente do portal.

  1. Na aba Dispositivos ou Usuários dentro do incidente, selecione uma entidade afetada (ex: um dispositivo).
  2. As ações disponíveis incluem:
    • Isolar dispositivo: Desconecta o dispositivo da rede para conter a ameaça.
    • Restringir execução de aplicativo: Impede a execução de aplicativos não autorizados.
    • Executar verificação de antivírus: Inicia uma verificação completa no dispositivo.
    • Coletar pacote de investigação: Coleta logs e dados forenses do dispositivo.
    • Desabilitar usuário: Desabilita a conta de usuário no Azure AD.
    • Redefinir senha do usuário: Força a redefinição da senha do usuário.

Validação e Teste

Para validar o monitoramento de incidentes, é importante simular um cenário de ataque e verificar se o portal do Microsoft 365 Defender o detecta e correlaciona corretamente.

1. Simular um Ataque (Exemplo: Teste de EICAR)

Utilize o arquivo EICAR (European Institute for Computer Antivirus Research) para simular uma detecção de malware (conforme descrito no Artigo 1 - Defender for Endpoint).

  1. Em um dispositivo onboarded no Defender for Endpoint, tente baixar ou criar um arquivo EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. O Defender for Endpoint deve detectar e bloquear o arquivo.
  3. No portal do Microsoft 365 Defender, vá para Incidentes e alertas > Alertas.
  4. Você deve ver um alerta relacionado à detecção do EICAR.
  5. Verifique se este alerta foi correlacionado a um incidente existente ou se um novo incidente foi criado.

2. Verificar o Tempo de Resposta e Correlação

Observe o tempo que leva para um alerta ser gerado e correlacionado a um incidente após a simulação. Isso ajuda a entender a eficácia do monitoramento em tempo real.

Dicas de Segurança e Melhores Práticas

  • Integre Todas as Fontes: Conecte o máximo possível de fontes de dados e produtos Defender ao Microsoft 365 Defender portal para obter a visão mais completa e a melhor correlação de incidentes.
  • Defina Funções e Responsabilidades: Estabeleça claramente quem é responsável por monitorar, investigar e responder a incidentes.
  • Automatize Respostas Simples: Utilize os recursos de automação (playbooks) para responder automaticamente a tipos de alertas de baixa severidade ou para coletar informações adicionais em alertas de alta severidade.
  • Mantenha-se Atualizado: Fique por dentro das novas funcionalidades e capacidades do Microsoft 365 Defender, pois a plataforma é constantemente aprimorada.
  • Treinamento Contínuo: Invista no treinamento da equipe de SecOps para que eles estejam familiarizados com as ferramentas e as táticas de ataque mais recentes.
  • Exercícios de Simulação: Realize exercícios de simulação de incidentes regularmente para testar a eficácia de seus processos e ferramentas.

Troubleshooting Comum

  • Alertas não aparecem no portal: Verifique se os produtos Defender relevantes estão ativos e configurados corretamente. Certifique-se de que os conectores de dados estão funcionando e enviando logs. Verifique as configurações de regras de detecção nos produtos Defender individuais.
  • Alertas não correlacionados em incidentes: O Microsoft 365 Defender faz a correlação automaticamente. Se alertas relacionados não estão sendo agrupados, pode haver um atraso na ingestão de logs ou as informações contextuais (usuário, dispositivo, IP) podem não ser suficientes para a correlação automática. Verifique os logs de auditoria e o tempo de ingestão.
  • Problemas de desempenho do portal: Limpe o cache do navegador, tente usar um navegador diferente ou verifique a conectividade da sua rede. Em casos de grande volume de dados, a interface pode demorar um pouco para carregar.
  • Ações de resposta falham: Verifique as permissões da conta que está tentando executar a ação. Certifique-se de que o dispositivo ou usuário alvo está online e acessível pelos serviços do Defender.

Conclusão

O Microsoft 365 Defender portal é uma ferramenta indispensável para qualquer organização que busca uma estratégia de segurança proativa e reativa eficaz. Ao centralizar o monitoramento de incidentes, correlacionar alertas de diversas fontes e fornecer capacidades de investigação e resposta abrangentes, ele capacita as equipes de SecOps a proteger seus ambientes em tempo real. A implementação e o uso eficaz desta plataforma não apenas melhoram a visibilidade das ameaças, mas também reduzem significativamente o tempo de resposta, fortalecendo a resiliência cibernética da organização contra os ataques mais sofisticados.

Referências:

[1] Microsoft Learn. Portal do Microsoft 365 Defender. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Visão geral dos incidentes no Microsoft 365 Defender. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Learn. Requisitos de licenciamento do Microsoft 365 Defender. Disponível em: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide