Investigação de Ameaças e Resposta na Segurança do Office 365

Com o risco crescente de crimes cibernéticos, empresas ao redor do mundo lutam para proteger seu ativo mais valioso: seus dados. Felizmente, o Microsoft Defender for Office 365 fornece aos administradores de TI e analistas capacidades de investigação e resposta a ameaças, que lhes permitem proteger proativamente seus usuários e dados.

Usando esses recursos de segurança integrados do Office 365, você pode obter insights valiosos sobre ameaças comuns, coletar dados práticos e planejar ações de resposta eficazes. Sua equipe de segurança pode identificar, monitorar e repelir facilmente atividades maliciosas antes que causem danos irreparáveis à sua organização.

Este post detalha as várias ferramentas incluídas na investigação e resposta a ameaças da Microsoft. Continue lendo para ter uma visão geral dos diferentes recursos e como eles se combinam para criar um escudo infalível contra ataques baseados em arquivos e e-mails.

O que é Investigação e Resposta a Ameaças do Office 365?

A investigação e resposta a ameaças do Office 365 é um termo genérico que se refere a um conjunto de capacidades no Microsoft Defender for Office 365 plano 2. Essas ferramentas ajudam os administradores de TI e analistas a monitorar e coletar informações sobre ameaças potenciais. As equipes de segurança podem então usar as ações de resposta disponíveis no portal Microsoft 365 Defender para abordar os riscos no SharePoint Online, OneDrive for Business, Exchange Online e Microsoft Teams.

Com esses recursos de segurança do Office 365, você pode reunir dados de várias fontes, como incidentes de segurança anteriores, atividade do usuário, autenticação, e-mails e computadores comprometidos. O fluxo de trabalho de investigação e resposta a ameaças inclui o seguinte:

• Explorer (Detecções em tempo real no MS Defender para Office 365 Plano 1)
• Incidentes (também conhecidos como Investigações)
• Treinamento de simulação de ataque
• Investigação e resposta automatizadas

É importante mencionar que todas essas capacidades fornecem a proteção necessária reunindo dados dos rastreadores de ameaças incorporados no Microsoft Defender, então vamos dar uma olhada mais de perto neles primeiro.

Rastreadores de Ameaças

Os rastreadores de ameaças são uma coleção de widgets informativos, gráficos e tabelas que fornecem monitoramento do Office 365. Eles exibem detalhes úteis sobre ameaças cibernéticas que podem afetar sua organização. As páginas do rastreador contêm números atualizados periodicamente sobre riscos em tendência, como malware e esquemas de phishing, para indicar quais problemas são atualmente os mais perigosos para sua organização. Além disso, você pode encontrar uma coluna de Ações que o redireciona para o Explorador de Ameaças, onde você pode visualizar informações mais detalhadas.

Nota:

• Os rastreadores de ameaças estão incluídos no Microsoft Defender para Office 365 Plano 2 e você precisa de permissão de administrador global, administrador de segurança ou leitor de segurança para usá-los.
• Para acessar os Rastreadores de Ameaças para a sua organização, vá para https://security.microsoft.com/, clique em Email & colaboração, depois em Rastreador de Ameaças. Você também pode ir diretamente para https://security.microsoft.com/threattrackerv2.

Existem quatro recursos diferentes nos rastreadores de ameaças: Rastreadores Notáveis, Rastreadores em Tendência, Consultas Rastreadas e Consultas Salvas.

Rastreadores Notáveis

Este widget mostra ameaças novas ou existentes de gravidade variável e se elas existem ou não dentro do seu ambiente do Microsoft 365. Se existirem, você também pode ver links para artigos úteis que detalham o problema e como ele pode impactar a segurança do Office 365 em sua organização.

Sua equipe de segurança deve verificar os rastreadores notáveis regularmente, pois eles são postados apenas por algumas semanas e depois substituídos por itens mais recentes. Isso mantém a lista atualizada para que você possa ficar informado sobre riscos mais relevantes.

Rastreadores em Tendência

Rastreadores em Tendência destacam as últimas ameaças enviadas para o e-mail da sua organização durante a última semana. Os administradores obtêm melhores insights ao visualizar avaliações dinâmicas das tendências de malware no nível do locatário e identificar o comportamento das famílias de malware.

Consultas Rastreadas

As consultas rastreadas são outra ferramenta de monitoramento do Office 365 que avalia periodicamente a atividade em seu ambiente da Microsoft, aproveitando as consultas salvas. Este é um processo automático que fornece informações recentes sobre atividades suspeitas para ajudar a garantir a proteção contra ameaças do Office 365.

Consultas Salvas

As pesquisas comuns do Explorer ou as consultas do rastreador Noteworthy que você costuma realizar podem ser armazenadas como Consultas Salvas. Dessa forma, você não precisa criar uma nova pesquisa toda vez e pode acessar facilmente as consultas salvas anteriormente.

Explorador de Ameaças e Detecções em Tempo Real

No Microsoft Defender para Office 365, o Explorer, também conhecido como Explorador de Ameaças, permite que especialistas em segurança analisem ameaças potenciais que visam sua organização e monitorem o volume de ataques ao longo do tempo. Com esse recurso, você pode visualizar relatórios abrangentes e recomendações de políticas para aprender como responder eficientemente aos riscos que estão tentando infiltrar sua organização.

Observação:

• O Explorer está incluído no plano 2 do Microsoft Defender para Office 365, enquanto o plano 1 oferece Detecções em Tempo Real.
• Para acessar qualquer uma dessas ferramentas, vá para o Centro de Segurança e Conformidade e depois Gerenciamento de Ameaças.

O Threat Explorer fornece informações importantes sobre ameaças, como dados históricos básicos, métodos comuns de entrega e os possíveis danos que podem ser causados. Os analistas podem usar essa ferramenta como ponto de partida para suas investigações, examinando dados por infraestrutura do atacante, famílias de ameaças e outros parâmetros.

Verifique malware detectado

Você pode usar o Explorer para visualizar malware descoberto no email da sua organização. O relatório pode ser filtrado por diferentes tecnologias do Microsoft 365.

Visualize URL de phishing e dados de veredicto de clique

Tentativas de phishing por meio de URLs em mensagens de email também são mostradas no Threat Explorer. Este relatório inclui uma lista de URLs permitidos, bloqueados e substituídos, classificados em duas tabelas:

• Principais URLs: Às vezes, os atacantes adicionam URLs legítimas ao lado dos links maliciosos para confundir o destinatário. Esta lista contém principalmente URLs legítimas encontradas nas mensagens que você filtrou e são classificadas pelo total de contagem de emails.
• Principais cliques: Estas são as URLs envoltas em Safe Links que foram abertas e são classificadas pelo total de contagem de cliques. Os links aqui são muito provavelmente maliciosos e você pode encontrar a contagem de veredictos de clique de Safe Links ao lado de cada URL.

Observação: Ao configurar o filtro de phishing do Office 365, você deve configurar Safe Links e suas políticas para identificar quais URLs foram clicadas e se beneficiar da proteção no momento do clique e do registro dos veredictos de clique.

Os valores de veredicto de clique exibidos no Explorer ajudam você a entender a ação que foi tomada quando uma URL foi selecionada:

• Permitido: O usuário conseguiu navegar até o URL.
• Bloqueado: O usuário não conseguiu navegar até o URL.
• Veredito pendente: A página de pendência de detonação foi mostrada quando o usuário clicou no URL.
• Erro: A página de erro foi apresentada ao usuário, pois ocorreu um erro ao tentar capturar o veredito.
• Falha: Uma exceção desconhecida ocorreu ao tentar capturar o veredito. É possível que o usuário tenha clicado através do URL.
• Nenhum: Não foi possível capturar o veredito. É possível que o usuário tenha clicado através do URL.
• Bloqueio anulado: O usuário anulou o bloqueio e navegou até o URL.
• Pendência de veredito ignorada: A página de detonação foi mostrada, mas o usuário ignorou a mensagem para acessar o URL.

Revisar mensagens de email relatadas pelos usuários

Este relatório mostra dados sobre mensagens que os usuários em sua organização relataram como lixo, não lixo ou phishing. Para obter melhores resultados, é recomendável que você configure proteção contra spam para o Office 365.

Encontrar e investigar emails maliciosos que foram entregues

As detecções em tempo real e o Explorador de Ameaças dão aos profissionais de segurança a capacidade de investigar atividades hostis que podem colocar sua organização em risco. As ações disponíveis são:

• Localizar e identificar o endereço IP de um remetente de email malicioso
• Encontrar e excluir mensagens
• Iniciar um incidente para conduzir investigações adicionais
• Verificar a ação de entrega e localização
• Visualizar o cronograma do seu e-mail

Verificar arquivos maliciosos detectados no SharePoint Online, OneDrive e Microsoft Teams

Relatórios na lista Explorer fornecem informações sobre arquivos identificados como maliciosos pelo Safe Attachments para OneDrive, Microsoft Teams e SharePoint Online. Os administradores também podem visualizar esses arquivos em quarentena.

Verificar o relatório de status de proteção contra ameaças

Este widget exibe o status da segurança do seu Office 365. Além da contagem de mensagens de e-mail que contêm conteúdo malicioso, você também pode encontrar:

• Arquivos ou URLs que foram bloqueados
• Purga automática de hora zero (ZAP)
• Links seguros
• Anexos seguros
• Recursos de proteção contra impersonação em políticas anti-phishing

Essas informações permitem analisar tendências de segurança para determinar se suas políticas precisam de ajustes.

Treinamento de Simulação de Ataque

Configurar e executar ciberataques realistas, mas benignos, em sua organização para testar suas políticas de segurança e identificar vulnerabilidades antes que ocorra um ataque real. Essas simulações são parte da proteção contra ameaças do Office 365, pois ajudam a treinar seus funcionários a permanecerem vigilantes contra esquemas de engenharia social, como ataques de phishing.

Nota: Você pode acessar este recurso indo para o portal do Microsoft 365 Defender > Email & colaboração > Treinamento de simulação de ataque. Ou vá diretamente para a página de treinamento de simulação de ataque.

O treinamento de simulação de ataque tem um fluxo de trabalho específico, consistindo em uma série de etapas que você precisa completar antes de lançar o ataque simulado.

Escolha uma técnica de engenharia social

Primeiro, você precisa escolher um dos esquemas de engenharia social disponíveis:

• Link para malware: Executa um código arbitrário de um arquivo hospedado em um serviço de compartilhamento de arquivos respeitável e depois envia uma mensagem contendo um link para este arquivo malicioso. Se o usuário abrir o arquivo, o dispositivo será comprometido.
• Colheita de credenciais: Os usuários são redirecionados para o que parece ser um site conhecido onde podem inserir seu nome de usuário e senha.
• Link em anexo: Um URL é adicionado a um anexo de e-mail e se comporta de forma semelhante à colheita de credenciais.
• Anexo de malware: Um anexo malicioso é adicionado a uma mensagem. Se o anexo for aberto, o dispositivo do alvo será comprometido.URL de drive-by: Um URL redireciona o usuário para um site familiar que instala código malicioso em segundo plano. A proteção de endpoint do Office 365 pode não ser capaz de deter tais ameaças e, consequentemente, o dispositivo fica infectado.
• URL de drive-by: Um URL redireciona o usuário para um site familiar que instala código malicioso em segundo plano. A proteção de endpoint do Office 365 pode não ser capaz de deter tais ameaças e, consequentemente, o dispositivo fica infectado.

Escolha um nome e descreva a simulação

O próximo passo é inserir um nome único e descritivo para a simulação que você está criando. Uma descrição detalhada é opcional.

Selecione uma carga útil

Nesta página, você deve escolher a carga útil que será apresentada aos usuários na simulação. Isso pode ser uma mensagem de email ou uma página da web. Você pode escolher no catálogo embutido que contém as cargas úteis disponíveis. Também é possível criar uma carga útil personalizada que funcione melhor com sua organização.

Usuários-alvo

Aqui você seleciona os usuários em sua empresa que receberão o treinamento de simulação de ataque. Você pode incluir todos os usuários ou escolher alvos e grupos específicos.

Atribuir treinamento

A Microsoft recomenda que você atribua treinamento para cada simulação que criar, pois os funcionários que passam por ele têm menos probabilidade de cair em um ataque semelhante. Você pode visualizar os cursos e módulos sugeridos e escolher aqueles que melhor se adequam às suas necessidades com base nos resultados do usuário.

Selecione a notificação do usuário final

Esta aba permite configurar suas configurações de notificação. Você pode adicionar uma notificação de reforço positivo se escolher Notificações personalizadas para usuários finais para incentivar seus usuários quando terminarem o treinamento.

Investigação e resposta automatizada (AIR)

Na segurança do Office 365, as capacidades de Investigação e Resposta Automatizadas (AIR) acionam alertas automáticos quando uma ameaça conhecida direciona-se à sua organização. Isso reduz o trabalho manual e permite que a sua equipe de segurança opere de forma mais eficiente, revisando, priorizando e respondendo conforme necessário.

Uma investigação automatizada pode ser iniciada por um anexo suspeito que chegou em uma mensagem de email ou por um analista usando o Threat Explorer. O AIR reúne dados relacionados ao email em questão, como destinatários pretendidos, arquivos e URLs. Administradores e pessoal de segurança podem revisar os resultados da investigação e verificar as recomendações para aprovar ou rejeitar as ações de remediação.

O AIR pode ser acionado por um dos seguintes alertas:

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• Uma mensagem de email contendo malware ou URL de phishing foi removida após a entrega
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

Conclusão

A investigação de ameaças do Office 365 oferece diversas capacidades que ajudam a proteger seus dados. Com o plano 2 do Microsoft Defender para Office 365, você pode empregar recursos avançados como rastreadores de ameaças e o explorador de ameaças. Você também pode realizar treinamento de simulação de ataques para manter seus usuários vigilantes e protegidos contra possíveis ciberataques. Além disso, você pode configurar a investigação e resposta automatizadas (AIR) para aliviar sua equipe de segurança, para que eles possam se concentrar em ameaças mais prioritárias.

Dito isso, a única maneira de garantir uma proteção completa de um ambiente do Office 365 é implantando uma solução moderna de proteção de dados como o NAKIVO Backup & Replication. A solução oferece poderosas capacidades de backup e recuperação para Exchange Online, Teams, OneDrive for Business e SharePoint Online.