Investigação de Ameaças e Resposta na Segurança do Office 365

Tutoriais

Com o risco crescente de crimes cibernéticos, empresas ao redor do mundo lutam para proteger seu ativo mais valioso: seus dados. Felizmente, o Microsoft Defender para Office 365 oferece aos administradores de TI e analistas capacidades de investigação e resposta a ameaças, que lhes permitem proteger proativamente seus usuários e dados.

Usando esses recursos de segurança integrados do Office 365, você pode obter insights valiosos sobre ameaças comuns, coletar dados práticos e planejar ações de resposta eficazes. Sua equipe de segurança pode facilmente identificar, monitorar e repelir atividades maliciosas antes que causem danos irreparáveis ​​à sua organização.

Esta postagem detalha as várias ferramentas incluídas na investigação e resposta a ameaças da Microsoft. Continue lendo para obter uma visão geral dos diferentes recursos e como eles se combinam para criar um escudo infalível contra ataques baseados em arquivos e e-mails.

O que é Investigação e Resposta a Ameaças do Office 365?

A investigação e resposta a ameaças do Office 365 é um termo genérico que se refere a um conjunto de capacidades no Microsoft Defender para Office 365 plano 2. Essas ferramentas ajudam os administradores de TI e analistas a monitorar e coletar informações sobre ameaças potenciais. As equipes de segurança podem então usar as ações de resposta disponíveis no portal Microsoft 365 Defender para abordar riscos no SharePoint Online, OneDrive for Business, Exchange Online e Microsoft Teams.

Com esses recursos de segurança do Office 365, você pode reunir dados de várias fontes, como incidentes de segurança anteriores, atividade do usuário, autenticação, e-mails e computadores comprometidos. O fluxo de trabalho de investigação e resposta a ameaças inclui o seguinte:

  • Explorer (Detecções em tempo real no MS Defender for Office 365 Plano 1)
  • Incidentes (também conhecidos como Investigações)
  • Treinamento de simulação de ataque
  • Investigação e resposta automatizadas

É importante mencionar que todas essas capacidades fornecem a proteção necessária ao reunir dados dos rastreadores de ameaças integrados no Microsoft Defender, então vamos dar uma olhada mais de perto neles primeiro.

Rastreadores de Ameaças

Os rastreadores de ameaças são uma coleção de widgets informativos, gráficos e tabelas que fornecem monitoramento do Office 365. Eles exibem detalhes úteis sobre ameaças cibernéticas que podem afetar sua organização. As páginas de rastreadores contêm números atualizados periodicamente sobre riscos em alta, como malware e esquemas de phishing, para indicar quais problemas são atualmente os mais perigosos para sua organização. Além disso, você pode encontrar uma coluna Ações que o redireciona para o Explorador de Ameaças, onde você pode ver mais informações detalhadas.

Observação:

  • Os rastreadores de ameaças estão incluídos no Microsoft Defender for Office 365 Plano 2 e você precisa de permissão de administrador global, administrador de segurança ou leitor de segurança para usá-los.
  • Para acessar os Rastreadores de Ameaças para sua organização, vá para https://security.microsoft.com/, clique em Email & colaboração, depois em Rastreador de Ameaças. Você também pode ir diretamente para https://security.microsoft.com/threattrackerv2.

Há quatro recursos diferentes nos rastreadores de ameaças: Rastreadores Notáveis, Rastreadores em Tendência, Consultas Rastreadas e Consultas Salvas.

Rastreadores Notáveis

Este widget mostra ameaças novas ou existentes de gravidade variável e se elas existem ou não dentro do seu ambiente Microsoft 365. Se existirem, você também pode ver links para artigos úteis que detalham o problema e como ele pode impactar a segurança do Office 365 em sua organização.

Sua equipe de segurança deve verificar os rastreadores notáveis regularmente, pois eles são postados apenas por algumas semanas e depois substituídos por itens mais recentes. Isso mantém a lista atualizada para que você possa se manter informado sobre riscos mais relevantes.

Rastreadores em Tendência

Os rastreadores em tendência destacam as últimas ameaças enviadas para o e-mail da sua organização durante a última semana. Os administradores obtêm melhores insights visualizando avaliações dinâmicas das tendências de malware no nível do locatário e identificando o comportamento das famílias de malware.

Consultas Rastreadas

Consultas rastreadas são mais uma ferramenta de monitoramento do Office 365 que avalia periodicamente a atividade no seu ambiente Microsoft ao aproveitar as consultas salvas. Esse é um processo automático que fornece informações recentes sobre atividades suspeitas para ajudar a garantir proteção contra ameaças do Office 365.

Consultas salvas

As buscas comuns do Explorer ou as consultas do rastreador Noteworthy que você geralmente realiza podem ser armazenadas como Consultas salvas. Dessa forma, você não precisa criar uma nova busca toda vez e pode acessar facilmente consultas previamente salvas.

Explorer de Ameaças e Detecções em Tempo Real

No Microsoft Defender para Office 365, o Explorer, também conhecido como Explorer de Ameaças, permite que especialistas em segurança analisem ameaças potenciais que visam sua organização e monitorem o volume de ataques ao longo do tempo. Com esse recurso, você pode visualizar relatórios abrangentes e recomendações de políticas para aprender como pode responder eficientemente aos riscos que tentam infiltrar sua organização.

Nota:

  • O Explorer está incluído no plano 2 do Microsoft Defender para Office 365, enquanto o plano 1 oferece Detecções em Tempo Real.
  • Para acessar qualquer uma dessas ferramentas, vá até o Centro de Segurança & Conformidade e então Gestão de Ameaças.

O Threat Explorer fornece informações importantes sobre ameaças, como dados históricos básicos, métodos comuns de entrega e os possíveis danos que podem ser causados. Os analistas podem usar essa ferramenta como ponto de partida para suas investigações, examinando dados por infraestrutura de atacantes, famílias de ameaças e outros parâmetros.

Verifique malware detectado

Você pode usar o Explorer para visualizar malware descoberto no e-mail da sua organização. O relatório pode ser filtrado por diferentes tecnologias do Microsoft 365.

Visualize URL de phishing e dados de veredito de clique

Tentativas de phishing através de URLs em mensagens de e-mail também são mostradas no Threat Explorer. Este relatório inclui uma lista de URLs permitidas, bloqueadas e sobrepostas, classificadas em duas tabelas:

  • Principais URLs: Às vezes, os atacantes adicionam URLs legítimas ao lado dos links maliciosos para confundir o destinatário. Esta lista contém principalmente URLs legítimas encontradas nas mensagens que você filtrou e são classificadas por contagem total de e-mails.
  • Principais cliques: Estas são as URLs envolvidas em Safe Links que foram abertas e são classificadas por contagem total de cliques. Os links aqui são mais provavelmente maliciosos e você pode encontrar a contagem de veredito de clique de Safe Links ao lado de cada URL.

Nota: Ao configurar o filtro de phishing do Office 365, você deve configurar Safe Links e suas políticas para identificar quais URLs foram clicadas e se beneficiar da proteção no momento do clique e do registro dos vereditos de clique.

Os valores de veredito de clique exibidos no Explorer ajudam a entender a ação que foi tomada quando uma URL foi selecionada:

  • Permitido: O usuário conseguiu navegar até o URL.
  • Bloqueado: O usuário não conseguiu navegar até o URL.
  • Veredito pendente: A página de pendência de detonação foi mostrada quando o usuário clicou no URL.
  • Erro: A página de erro foi apresentada ao usuário, pois ocorreu um erro ao tentar capturar o veredito.
  • Falha: Uma exceção desconhecida ocorreu ao tentar capturar o veredito. É possível que o usuário tenha clicado no URL.
  • Nenhum: Não foi possível capturar o veredito. É possível que o usuário tenha clicado no URL.
  • Bloqueio anulado: O usuário anulou o bloqueio e navegou até o URL.
  • Bypass do veredito pendente: A página de detonação foi mostrada, mas o usuário anulou a mensagem para acessar o URL.

Revisar mensagens de e-mail relatadas pelos usuários

Este relatório mostra dados sobre mensagens que os usuários em sua organização relataram como lixo, não lixo ou phishing. Para obter melhores resultados, é recomendado que você configure proteção contra spam para o Office 365.

Encontrar e investigar e-mails maliciosos que foram entregues

As detecções em tempo real e o Explorador de Ameaças fornecem aos funcionários de segurança a capacidade de investigar atividades hostis que podem colocar sua organização em risco. As ações disponíveis são:

  • Localizar e identificar o endereço IP de um remetente de e-mail malicioso
  • Encontrando e deletando mensagens
  • Iniciando um incidente para realizar investigação adicional
  • Verifique a ação de entrega e localização
  • Visualize o cronograma do seu e-mail

Veja arquivos maliciosos detectados no SharePoint Online, OneDrive e Microsoft Teams

Os relatórios na lista do Explorer fornecem informações sobre arquivos identificados como maliciosos pelo Safe Attachments para o OneDrive, Microsoft Teams e SharePoint Online. Administradores também podem visualizar esses arquivos em quarentena.

Verifique o relatório de status de proteção contra ameaças

Este widget exibe o status da segurança do seu Office 365. Além da contagem de mensagens de e-mail que contêm conteúdo malicioso, você também pode encontrar:

  • Arquivos ou URLs que foram bloqueados
  • Purga automática de zero hora (ZAP)
  • Links Seguros
  • Anexos Seguros
  • Recursos de proteção de impersonação em políticas anti-phishing

Essas informações permitem analisar as tendências de segurança para determinar se suas políticas precisam de ajustes.

Treinamento de Simulação de Ataque

Configure e execute ciberataques realistas, mas benignos, em sua organização para testar suas políticas de segurança e identificar vulnerabilidades antes que ocorra um ataque real. Essas simulações fazem parte da proteção contra ameaças do Office 365, pois ajudam a treinar seus funcionários a permanecerem vigilantes contra esquemas de engenharia social, como ataques de phishing.

Nota: Você pode acessar este recurso indo para o portal Microsoft 365 Defender > Email & colaboração > Treinamento de simulação de ataque. Ou vá diretamente para a página de Treinamento de simulação de ataque.

O treinamento de simulação de ataque tem um fluxo de trabalho específico, consistindo em uma série de etapas que você precisa concluir antes de lançar o ataque simulado.

Escolha uma técnica de engenharia social

Primeiro, você precisa escolher um dos esquemas de engenharia social disponíveis:

  • Link para malware: Executa um código arbitrário de um arquivo hospedado em um serviço de compartilhamento de arquivos respeitável e, em seguida, envia uma mensagem contendo um link para este arquivo malicioso. Se o usuário abrir o arquivo, o dispositivo será comprometido.
  • Colheita de credenciais: Os usuários são redirecionados para o que parece ser um site conhecido onde podem inserir seu nome de usuário e senha.
  • Link em anexo: Um URL é adicionado a um anexo de email e se comporta de forma semelhante à colheita de credenciais.
  • Anexo de malware: Um anexo malicioso é adicionado a uma mensagem. Se o anexo for aberto, o dispositivo do alvo será comprometido.URL drive-by: Um URL redireciona o usuário para um site familiar que instala código malicioso em segundo plano. A proteção de endpoint do Office 365 pode não ser capaz de deter essas ameaças e, subsequentemente, o dispositivo é infectado.
  • URL de redirecionamento em drive-by: Uma URL redireciona o usuário para um site familiar que instala um código malicioso no fundo. A proteção de ponto de extremidade do Office 365 poderá não ser capaz de dissuadir tais ameaças, resultando na infecção do dispositivo.

Escolha um nome e descreva a simulação

O próximo passo é entrar com um nome único e descritivo para a simulação que você está criando. Uma descrição detalhada é opcional.

Selecione um Payload

Na página atual, você deve selecionar o payload que será apresentado aos usuários na simulação. Isso pode ser qualquer mensagem de email ou página web. Você pode escolher entre o catálogo integrado que contém os payloads disponíveis. Também é possível criar um payload personalizado que funcione melhor com sua organização.

Alvo de usuários

Aqui, você seleciona os usuários da sua empresa que receberão o treinamento de simulação de ataque. Você pode incluir todos os usuários ou escolher alvos específicos e grupos.

Atribuir treinamento

A Microsoft recomenda que você atribua treinamento para cada simulação que você cria, já que os funcionários que passam por ela são menos propensos a serem alvos de um ataque similar. Você pode visualizar as disciplinas e módulos sugeridos e escolher as que melhor se ajustam às suas necessidades com base nos resultados dos usuários.

Selecione notificação de usuário final

Esta aba permite que você configure suas configurações de notificação. Você pode adicionar uma notificação de reforço positivo se escolher Notificações de usuário final personalizadas para encorajar seus usuários depois que eles terminaram o treinamento.

Investigação Automatizada e Resposta (AIR)

Na segurança do Office 365, as capacidades de Investigação e Resposta Automatizada (AIR) disparam alertas automáticos quando uma ameaça conhecida direciona sua organização. Isso reduz o trabalho manual e permite que sua equipe de segurança opere de forma mais eficiente, revisando, priorizando e respondendo conforme necessário.

Uma investigação automatizada pode ser iniciada por um anexo suspeito que chegou em uma mensagem de email ou por um analista usando o Threat Explorer. O AIR reúne dados relacionados ao email em questão, como destinatários pretendidos, arquivos e URLs. Administradores e pessoal de segurança podem revisar os resultados da investigação e verificar as recomendações para aprovar ou rejeitar as ações de remediação.

O AIR pode ser acionado por um dos seguintes alertas:

  • A possibly malicious URL was clicked
  • A user reported an email as phishing or malware
  • Uma mensagem de email contendo malware ou URL de phishing foi removida após a entrega
  • A suspicious email sending pattern was detected
  • A user is restricted from sending messages

Conclusão

A investigação de ameaças do Office 365 oferece várias capacidades que ajudam a proteger seus dados. Com o plano 2 do Microsoft Defender para Office 365, você pode empregar recursos avançados como rastreadores de ameaças e o explorador de ameaças. Você também pode conduzir treinamento de simulação de ataques para manter seus usuários vigilantes e protegidos contra possíveis ciberataques. Além disso, você pode configurar a investigação e resposta automatizadas (AIR) para descarregar sua equipe de segurança para que possam se concentrar em ameaças mais prioritárias.

Dito isso, a única maneira de garantir proteção completa de um ambiente do Office 365 é implantar uma solução moderna de proteção de dados como o NAKIVO Backup & Replicação. A solução oferece poderosas capacidades de backup e recuperação para Exchange Online, Teams, OneDrive for Business e SharePoint Online.

Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/