Interrupção automática de ataques no Microsoft Defender

Microsoft Defender correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com elevada confiança. Enquanto um ataque está em curso, o Defender interrompe o ataque ao conter automaticamente recursos comprometidos que o atacante está a utilizar através da interrupção automática do ataque.

A interrupção automática de ataques limita o movimento lateral no início e reduz o impacto global de um ataque, desde os custos associados à perda de produtividade. Ao mesmo tempo, ele deixa as equipes de operações de segurança com controle total para investigar, remediar e colocar os ativos novamente online.

Essa visão geral explica a interrupção de ataque automatizada e links para as próximas etapas e recursos relacionados.

A interrupção de ataque dá suporte a ações de resposta em serviços Microsoft Defender e serviços de identidade integrados. Esse suporte inclui ações em Microsoft Entra ID e Active Directory e suporte de visualização para cenários integrados do Okta e do AWS.

Dica

Este artigo descreve como funciona a interrupção do ataque. Para configurar estas capacidades, veja Configurar capacidades de interrupção de ataques no Microsoft Defender.

Como funciona a interrupção automática de ataques

A interrupção automática de ataques foi concebida para conter ataques em curso, limitar o impacto nos recursos de uma organização e fornecer mais tempo para as equipas de segurança remediarem totalmente o ataque. A interrupção do ataque usa sinais XDR (detecção e resposta estendidas) e avalia todo o ataque para tomar medidas no nível do incidente. Essa funcionalidade difere dos métodos de proteção, como prevenção e bloqueio, com base em um único indicador de comprometimento.

Embora muitas plataformas de XDR e de orquestração, automação e resposta de segurança (SOAR) permitam que você crie ações de resposta automáticas, a interrupção automática de ataques já vem integrada e usa insights de pesquisadores de segurança da Microsoft e modelos de IA para detectar e conter ataques avançados. A interrupção automática de ataque considera sinais de diferentes fontes para determinar ativos comprometidos.

A interrupção automática de ataques funciona em três fases principais:

  • Utiliza a capacidade do Microsoft Defender de correlacionar sinais de muitas origens diferentes num único incidente de alta confiança através de informações de pontos finais, identidades, ferramentas de e-mail e colaboração e aplicações SaaS.
  • Identifica os recursos controlados pelo atacante e utilizados para espalhar o ataque.
  • Ele executa automaticamente ações de resposta em produtos Microsoft Defender relevantes para conter o ataque em tempo real, contendo e desabilitando ativos afetados.

Essa funcionalidade pode limitar o progresso de um ator de ameaça no início e reduzir o impacto geral de um ataque, incluindo custos associados e perda de produtividade.

Como o Defender estabelece confiança nas ações automáticas

As equipas de segurança podem hesitar quando os sistemas tomam medidas automáticas porque as ações de resposta podem afetar as operações empresariais. A interrupção automática de ataques aborda essa preocupação usando sinais de alta fidelidade e correlação em nível de incidente com base em dados reais de e-mails, identidades, aplicativos, documentos, dispositivos, redes e arquivos.

A confiança na interrupção automática do ataque refere-se à precisão do detetor, medida pela proporção sinal/ruído (SNR). Para ações de contenção, o Defender mantém um nível de confiança igual ou superior a 99% com base em dados de produção reais. O Defender avalia cada detecção do detector com base em um amplo conjunto de indicadores para classificar verdadeiros positivos e falsos positivos, combinando resultados de aprendizado de máquina, correlação entre cargas de trabalho e classificação de incidentes orientada por especialistas.

O Defender valida os detetores no modo de auditoria antes do lançamento amplo e implementa gradualmente apenas detetores que cumprem requisitos de qualidade rigorosos. Este processo tem como objetivo manter falsos positivos baixos e manter uma interrupção eficaz dos ataques ativos. Os detetores de interrupção são avaliados de forma contínua e dinâmica para manter a qualidade e a confiança da deteção.

Os especialistas em segurança da Microsoft analisam continuamente a atividade de interrupção, monitorizam anomalias e avaliam o impacto para preservar a alta qualidade de deteção ao longo do tempo.

Além disso, todas as ações automáticas podem ser anuladas pela sua equipa de segurança, pelo que mantém o controlo total sobre o seu ambiente. Para obter mais informações, veja Detalhes e resultados de uma ação de interrupção automática de ataques.

Se você tiver ativos críticos que não devem ser contidos automaticamente, poderá configurar exclusões para usuários, dispositivos e endereços IP com suporte. Para obter diretrizes, consulte Excluir ativos de ações de resposta automatizadas.

Como a interrupção do ataque utiliza a IA

A IA de interrupção de ataque usa um conjunto de modelos e detectores especializados desenvolvidos em todo o conjunto de Microsoft Defender. Estas capacidades são preparadas e otimizadas com várias origens de dados, incluindo:

  • Telemetria correlacionada da carga de trabalho do Defender
  • Informações sobre ameaças da Microsoft
  • Incidentes anteriores e aprendizagens de análise pós-incidente de clientes Microsoft

A plataforma utiliza várias abordagens de machine learning, incluindo modelos de grafos, árvores de decisões melhoradas, redes neurais e modelos de linguagem pequena (SLMs) dedicados, para melhorar a qualidade da deteção e a precisão de ação.

A qualidade do modelo e do detetor é mantida através de ciclos contínuos de engenharia e validação em vez de um único ponto de lançamento estático. Antes da implementação alargada, os novos detetores passam por uma validação rigorosa de pré-lançamento e implementação faseada. A qualidade contínua é suportada pela revisão das decisões de IA e da cobertura de resposta operacional 24x7 para comportamento anômalo.

Ações de resposta automatizadas

Para ações de contenção, o Defender for Endpoint aplica uma política de contenção em todos os dispositivos integrados ao serviço para impedir a comunicação com a entidade comprometida (usuário, endereço IP ou dispositivo).

Ação Capability Produto Description
Conter o dispositivo Interrupção do ataque Defender para Endpoint Isola automaticamente um dispositivo suspeito ao aplicar uma política a todos os dispositivos integrados ao Defender for Endpoint para bloquear a comunicação desse dispositivo suspeito.
Conter IP Interrupção do ataque Defender para Endpoint Contém um endereço IP associado a dispositivos não descobertos/não integrados, aplicando uma política em todos os dispositivos integrados ao Defender for Endpoint para bloquear a comunicação com esse endereço IP.
Isolar dispositivo Interrupção do ataque Defender para Endpoint Isola automaticamente um dispositivo comprometido da rede quando é identificado como um ponto de apoio ativo. A maior parte do tráfego de rede é bloqueada enquanto o dispositivo permanece conectado aos serviços de segurança necessários.
Desativar utilizador Interrupção do ataque Defender para Identidade Desabilita a conta de usuário para impedir a entrada e o acesso adicionais.
Conter o usuário Interrupção de ataque, blindagem preditiva Defender para Endpoint Contém temporariamente uma identidade suspeita ao aplicar uma política a todos os dispositivos integrados ao Defender for Endpoint para bloquear a comunicação desse usuário e reduzir o movimento lateral e o risco de criptografia remota.
Revogar sessão do usuário Interrupção do ataque Microsoft Entra ID Revoga sessões de usuário ativas para interromper o acesso.
Suspender usuário no Entra Interrupção do ataque Microsoft Entra ID Suspende a conta de usuário em Microsoft Entra ID para impedir o acesso adicional.
Comprometimento do aplicativo OAuth Interrupção do ataque Defender para Aplicativos de Nuvem (Proteção para Aplicativos de Nuvem) Executa medidas de proteção para um aplicativo OAuth potencialmente comprometido.
Reforço da segurança da inicialização Proteção preditiva Defender para Endpoint Aplica endurecimento preventivo para bloquear possível adulteração por meio de reinicializações em Modo de Segurança.
Endurecimento de GPO Proteção preditiva Defender para Endpoint Aplica proteção preventiva para bloquear possíveis abusos da Política de Grupo.
Contenção proativa do usuário Proteção preditiva Defender para Endpoint Restringe proativamente uma conta de usuário para evitar possível uso indevido antes que um incidente se agrave, com foco em usuários identificados como de alto risco com base na lógica preditiva.
Anexar política de negação ao usuário do AWS Interrupção do ataque Microsoft Sentinel (conector do AWS) Anexa uma política de negação a um usuário do IAM do AWS comprometido ou a uma função federada para revogar permissões e bloquear o acesso adicional aos recursos da AWS.
Suspender usuário no Okta Interrupção do ataque Microsoft Sentinel (conector Okta) Suspende uma conta de usuário do Okta comprometida para desativar temporariamente a conta e bloquear o logon e a atividade até que a suspensão seja suspensa.

Conter considerações do usuário

A ação “Conter usuário” aplica a contenção de usuário na camada de endpoint. O Defender para Endpoint aplica uma política de contenção a todos os dispositivos integrados ao serviço para bloquear as comunicações do usuário comprometido e limita o acesso com base em autenticação, o acesso ao sistema de arquivos e as vias de comunicação de rede.

Observação

Embora a ação do usuário de contenção seja usada tanto na interrupção de ataques quanto na proteção preditiva, ela é aplicada de maneira diferente em cada contexto. Na blindagem preditiva, a ação de contenção do usuário aplica restrições de forma mais seletiva, concentrando-se em usuários identificados como de alto risco por meio da lógica de previsão. Ele impede novas sessões em vez de encerrar as existentes.

Desativar considerações do usuário

  • Quando a conta de utilizador está alojada no Active Directory: o Defender para Identidade aciona a ação de desativar o utilizador nos controladores de domínio que executam o sensor do Defender para Identidade.
  • Quando a conta de utilizador está alojada no Active Directory e é sincronizada com Microsoft Entra ID: o Defender para Identidade aciona a ação de desativar o utilizador através de controladores de domínio integrados. A interrupção do ataque também desativa a conta de utilizador no Microsoft Entra ID.
  • Quando a conta de utilizador está alojada apenas no Microsoft Entra ID (conta nativa da cloud): o Defender para Identidade executa a ação de desativar o utilizador no Microsoft Entra ID através de uma aplicação empresarial gerida pela Microsoft. Esse aplicativo valida as funções e permissões atribuídas pelo usuário conectado por meio do RBAC (controle de acesso baseado em função) antes que a conta seja desabilitada.

A ação de desabilitar o usuário é uma suspensão automática de uma conta comprometida para evitar danos adicionais, como movimentação lateral, uso mal-intencionado da caixa de correio ou execução de malware.

O Defender para Identidade permite ações de remediação para utilizadores do Active Directory, Microsoft Entra ID e fornecedores de identidade integrados. A ação de desabilitar o usuário se comporta de forma diferente dependendo de como o usuário está hospedado em seu ambiente:

  • Quando a conta de utilizador está alojada no Active Directory: o Defender para Identidade aciona a ação de desativar o utilizador nos controladores de domínio que executam o sensor do Defender para Identidade.
  • Quando a conta de utilizador está alojada no Active Directory e é sincronizada com Microsoft Entra ID: o Defender para Identidade aciona a ação de desativar o utilizador através de controladores de domínio integrados. A interrupção do ataque também desativa a conta de utilizador no Microsoft Entra ID.
  • Quando a conta de utilizador está alojada apenas no Microsoft Entra ID (conta nativa da cloud): o Defender para Identidade executa a ação de desativar o utilizador no Microsoft Entra ID através de uma aplicação empresarial gerida pela Microsoft. Esse aplicativo valida as funções e permissões atribuídas pelo usuário conectado por meio do RBAC (controle de acesso baseado em função) antes que a conta seja desabilitada.

A aplicação empresarial tem o nome Microsoft Defender para Identidade e utiliza o ID 60ca1954‑583c‑4d1f‑86de‑39d835f3e452da aplicação . Em inquilinos mais antigos, esta aplicação pode aparecer como Radius Aad Syncer.

Observação

Desativar a conta de utilizador no Microsoft Entra ID não depende da implementação de Microsoft Defender para Identidade.

Serviços de identidade com suporte para ações de interrupção

Use a tabela a seguir para localizar onde cada serviço de identidade com suporte está configurado:

Serviço de identidade Disponibilidade Configuração e instalação
Microsoft Entra ID e Active Directory Disponível para o público geral Configurar a interrupção automática de ataque no Microsoft Defender
Okta Preview Habilitar ações de interrupção de ataque no Okta com Microsoft Sentinel
AWS IAM Preview Habilitar ações de interrupção de ataque no AWS com Microsoft Sentinel

Identificar quando ocorre uma interrupção de ataque no seu ambiente

A página Microsoft Defender incidente refletirá as ações de interrupção automática do ataque através da história do ataque e do status indicado por uma barra amarela (Figura 1). O incidente mostra um rótulo de interrupção específico, destaca o status dos ativos contidos no grafo do incidente e adiciona uma ação à Central de Ações.

Selecionando um incidente no portal do Microsoft Defender Figura 1. Exibição do incidente mostrando a barra amarela onde a interrupção automática de ataque entrou em ação

A experiência do usuário Microsoft Defender inclui indicações visuais para garantir a visibilidade dessas ações automáticas. Você pode encontrá-los nas seguintes experiências:

  1. Na fila de incidentes:

    • É apresentada uma etiqueta intitulada Interrupção do Ataque junto a incidentes afetados
  2. Na página do incidente:

    • Uma etiqueta intitulada Interrupção do Ataque
    • Uma faixa amarela na parte superior da página que realça a ação automática tomada
    • O status atual do ativo é exibido no gráfico de incidentes se uma ação for realizada em um ativo, por exemplo, conta desativada ou dispositivo isolado.
    • A coluna status Política (Pré-visualização) no separador Atividades mostra a status atual de todas as ações e políticas relevantes para o incidente. Filtrar por Fornecedor: Interrupção de ataques e status de Política: Ativo, Inativo, Sem status para ver os estados da política de interrupção.
  3. Através da API:

    Um texto (interrupção de ataque) é adicionado ao final dos títulos de incidentes com alta confiança de que provavelmente serão interrompidos automaticamente. Por exemplo:

    Ataque de fraude financeira por comprometimento de e-mail comercial (BEC) iniciado a partir de uma conta comprometida (interrupção do ataque)

Para obter mais informações, veja ver os detalhes e os resultados da interrupção do ataque.

Próximas etapas

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.