Fale Conosco

Por Dentro da Proteção contra Ameaças da Microsoft: Correlacionando e consolidando ataques em incidentes

Os incidentes de segurança cibernética nunca são contidos em apenas um dos ativos da sua organização. A maioria dos ataques envolve vários elementos entre domínios, incluindo email, terminais, identidades e aplicativos. Para entender e solucionar rapidamente os incidentes, seus analistas do Security Operations Center (SOC) precisam poder ver e rastrear todos os sinais de cada domínio, correlacionar e agrupar alertas relacionados, priorizá-los com base no nível de gravidade e corrigir todos os afetados. ativos para devolvê-los e sua força de trabalho a um estado seguro.

Obter uma visão unificada de um ataque é uma das principais prioridades dos analistas do SOC na construção rápida da imagem de ponta a ponta dos ataques e no rastreamento de todos os detalhes relevantes necessários para uma correção eficaz. A navegação em vários produtos e a alternância de ferramentas introduzem atritos que atrasam as investigações , dando aos atacantes mais tempo para causar danos.

O Microsoft Threat Protection (MTP) atende a essa necessidade crítica do SOC por meio de incidentes , que capacitam os analistas ao fundir automaticamente evidências de ataque e fornecer uma visão consolidada de uma cadeia de ataques e ativos afetados, além de uma correção com um clique com fácil leitura fluxos de trabalho do analista. O MTP aproveita o poder de várias soluções noMicrosoft 365 portfólio de segurança - Office 365Proteção Avançada contra Ameaças (ATP), Azure ATP, Microsoft Defender ATP e Microsoft Cloud App Security - para oferecer visibilidade entre domínios e defesa coordenada.

Uma análise completa da cadeia de ataques para evitar a expansão de ataques
Um ataque típico começa com um email de phishing que instala malware em um endpoint. O malware rouba as credenciais do usuário, que os atacantes utilizam para acessar recursos em outros pontos de extremidade, aplicativos locais e serviços em nuvem. As soluções de segurança individuais que se concentram em apenas um domínio podem alertar e remediar uma parte do ataque, mas provavelmente perderão outras partes das operações do invasor, colocando a organização em risco e criando uma falsa sensação de segurança.

A exibição de incidentes no Microsoft Threat Protection resolve esse desafio, fornecendo um único local para visualizar e investigar um ataque em vários estágios, do acesso inicial ao impacto. Com base em leads de detecção individuais, o MTP usa inteligência artificial (IA) para expandir automaticamente uma investigação, como faria um analista experiente, e reunir telemetria relacionada e outros alertas que pertencem ao mesmo ataque. O MTP também usa a IA para analisar continuamente a grande quantidade de dados disponíveis e, se necessário, sugerir mais evidências para o analista adicionar ao incidente. Isso permite que os analistas do SOC se concentrem no que importa, enquanto o MTP economiza tempo e ajuda a descobrir evidências não detectadas.

Mesmo se você não tiver todo o Microsoft 365 soluções de segurança em sua organização, os incidentes de MTP correlacionam dados de ameaças para os serviços implantados, reduzindo a confusão e fornecendo uma visão do ataque, incluindo todos os alertas relevantes, ativos impactados e níveis de risco associados, ações e status de correção.

 

Simplificando investigações entre domínios
O Microsoft Threat Protection simplifica a complexa tarefa de investigar ataques de ponta a ponta, permitindo que os analistas do SOC dinamizem e vejam entidades - dispositivos, arquivos, usuários, emails e processos - no contexto certo em uma única exibição.

O MTP divide os silos e combina todos os alertas e informações automaticamente Microsoft 365serviços para revelar a imagem completa, ajudando a facilitar o trabalho forense digital para analistas do SOC. Isso também permite que os analistas obtenham uma compreensão abrangente dos ataques que eles não receberiam de alertas isolados fora de contexto.

Mas o MTP não pára por aí. Para ajudar a apoiar processos eficazes de triagem, o MTP prioriza incidentes, ilustra a progressão da cadeia de ataques, mostra a linha do tempo do ataque e gera um nome abrangente para o incidente. Com apenas um clique, os analistas podem responder a perguntas como: Existe um arquivo observado em um dispositivo em outros dispositivos? De quais mensagens de email veio um arquivo e também foi compartilhado por meio de um aplicativo em nuvem?

Além disso, os analistas do SOC podem pesquisar facilmente atividades relacionadas adicionais com o Go hunt , que cria e executa automaticamente uma consulta avançada de caça com base nas informações do incidente. Os analistas do SOC também podem usar informações específicas sobre ataques obtidas durante a busca para capturar lógicas e nuances ajustadas em uma detecção personalizada . As detecções personalizadas buscam continuamente novas atividades e puxam novas descobertas para o incidente relevante automaticamente, enriquecendo ainda mais sua visão do ataque.

Uma visão clara do status da correção
Quando sua organização está sendo atacada, é essencial agir com rapidez, mas com cuidado, por meio de um entendimento completo a qualquer momento do status de correção de todos os ativos e entidades afetados. Os incidentes de MTP desempenham um papel crítico na correção por:

Removendo parte da carga dos ombros dos analistas, lançando playbooks de autocorreção automatizados de investigação e resposta (AIR) que conduzem uma investigação aprofundada baseada em ativos e trabalham para encontrar e remediar todas as evidências maliciosas (ferramentas de ataque, malware), métodos de persistência (Aplicativos Oauth, ASEP em dispositivos), atividades de exfiltração (regras FWD por email, compartilhamentos de SPO),
Orquestrando invocações de guias de materiais e de vários domínios, rastreando a atividade do invasor em todo o ambiente
Fornecer uma visão abrangente do status da correção com base em ações executadas pelo AIR, além de ações manuais do analista
Quando a investigação é concluída, os incidentes do MTP capturam os comentários da investigação para manter registros e compartilhar conhecimentos com colegas, com informações fáceis e contextuais para referência.

O Microsoft Threat Protection fornece ao SOC uma imagem completa dos ataques em tempo real
A exibição de incidentes no Microsoft Threat Protection correlaciona alertas e todas as entidades afetadas em uma exibição coesa que permite ao seu SOC determinar o escopo completo das ameaças em seuMicrosoft 365Serviços. Armado com uma imagem completa dos ataques em tempo real, seus SOCs têm mais poder para defender sua organização contra ameaças.

O MTP oferece defesa coordenada, aproveitando o poder de vários Microsoft 365soluções de segurança. Por meio da automação, inteligência integrada e visibilidade de ponta a ponta de atividades maliciosas, o MTP detecta, correlaciona, bloqueia, corrige e evita ataques.

Existir Microsoft 365 licenças fornecem acesso aos recursos do Microsoft Threat Protection noMicrosoft 365segurança sem custo ou implantação adicional. Saiba como a Proteção contra ameaças da Microsoft pode ajudar sua organização a interromper ataques com defesa coordenada .


Fonte: Microsoft