Interrupção automática de ataques no Microsoft Defender

Microsoft Defender correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com elevada confiança. Enquanto um ataque está em curso, o Defender interrompe o ataque ao conter automaticamente recursos comprometidos que o atacante está a utilizar através da interrupção automática do ataque.

A interrupção automática de ataques limita o movimento lateral no início e reduz o impacto global de um ataque, desde os custos associados à perda de produtividade. Ao mesmo tempo, deixa as equipas de operações de segurança em total controlo sobre a investigação, a remediação e a colocação de recursos novamente online.

Este artigo fornece uma descrição geral da interrupção automatizada de ataques e inclui ligações para os próximos passos e outros recursos.

Como funciona a interrupção automática de ataques

A interrupção automática de ataques foi concebida para conter ataques em curso, limitar o impacto nos recursos de uma organização e fornecer mais tempo para as equipas de segurança remediarem totalmente o ataque. A interrupção do ataque utiliza toda a amplitude dos nossos sinais de deteção e resposta alargadas (XDR), tendo em conta todo o ataque para agir ao nível do incidente. Esta capacidade é diferente dos métodos de proteção conhecidos, como prevenção e bloqueio, com base num único indicador de compromisso.

Embora muitas plataformas XDR e orquestração de segurança, automatização e resposta (SOAR) lhe permitam criar as suas ações de resposta automática, a interrupção automática de ataques é incorporada e utiliza informações de investigadores de segurança da Microsoft e modelos avançados de IA para contrariar as complexidades de ataques avançados. A interrupção automática do ataque considera todo o contexto de sinais de diferentes origens para determinar recursos comprometidos.

A interrupção automática de ataques funciona em três fases principais:

• Utiliza a capacidade do Microsoft Defender de correlacionar sinais de muitas origens diferentes num único incidente de alta confiança através de informações de pontos finais, identidades, ferramentas de e-mail e colaboração e aplicações SaaS.
• Identifica os recursos controlados pelo atacante e utilizados para espalhar o ataque.
• Executa automaticamente ações de resposta em produtos relevantes Microsoft Defender para conter o ataque em tempo real ao conter e desativar os recursos afetados.

Esta capacidade de mudança de jogo limita o progresso de um ator de ameaças desde o início e reduz drasticamente o impacto global de um ataque, desde os custos associados à perda de produtividade.

Como o Defender estabelece confiança para a ação automática

As equipas de segurança podem hesitar quando os sistemas tomam medidas automáticas porque as ações de resposta podem afetar as operações empresariais. A interrupção automática de ataques resolve esta preocupação ao utilizar sinais de alta fidelidade e correlação ao nível do incidente em dados reais a partir de e-mail, identidade, aplicações, documentos, dispositivos, redes e ficheiros.

A confiança na interrupção automática do ataque refere-se à precisão do detetor, medida pela proporção sinal/ruído (SNR). Para ações de contenção, o Defender mantém um nível de confiança igual ou superior a 99% com base em dados de produção reais. O Defender avalia cada detetor atingido num conjunto amplo de indicadores para classificar os verdadeiros positivos e falsos positivos ao combinar saídas de machine learning, correlação entre cargas de trabalho e classificação de incidentes liderados por especialistas.

O Defender valida os detetores no modo de auditoria antes do lançamento amplo e implementa gradualmente apenas detetores que cumprem requisitos de qualidade rigorosos. Este processo tem como objetivo manter falsos positivos baixos e manter uma interrupção eficaz dos ataques ativos. Os detetores de interrupção são avaliados de forma contínua e dinâmica para manter a qualidade e a confiança da deteção.

Os especialistas em segurança da Microsoft analisam continuamente a atividade de interrupção, monitorizam anomalias e avaliam o impacto para preservar a alta qualidade de deteção ao longo do tempo.

Além disso, todas as ações automáticas podem ser anuladas pela sua equipa de segurança, pelo que mantém o controlo total sobre o seu ambiente. Para obter mais informações, veja Detalhes e resultados de uma ação de interrupção automática de ataques.

Como a interrupção do ataque utiliza a IA

A IA de interrupção de ataques utiliza um conjunto de modelos e detectores criados de propósito desenvolvidos em todo o conjunto de Microsoft Defender. Estas capacidades são preparadas e otimizadas com várias origens de dados, incluindo:

• Telemetria da carga de trabalho do Defender correlacionada
• Informações sobre ameaças da Microsoft
• Incidentes anteriores e aprendizagens de análise pós-incidente de clientes Microsoft

A plataforma utiliza várias abordagens de machine learning, incluindo modelos de grafos, árvores de decisões melhoradas, redes neurais e modelos de linguagem pequena (SLMs) dedicados, para melhorar a qualidade da deteção e a precisão de ação.

A qualidade do modelo e do detetor é mantida através de ciclos contínuos de engenharia e validação em vez de um único ponto de lançamento estático. Antes da implementação alargada, os novos detetores passam por uma validação rigorosa de pré-lançamento e implementação faseada. A qualidade contínua é suportada pela revisão especializada das decisões de IA e pela cobertura de resposta operacional 24x7 para comportamentos anómalos.

Ações de resposta automatizadas

A interrupção automática de ataques utiliza ações de resposta XDR baseadas na Microsoft. Exemplos destas ações são:

• O dispositivo contém - com base na capacidade do Microsoft Defender para Endpoint, esta ação é uma contenção automática de um dispositivo suspeito para bloquear qualquer comunicação de entrada/saída com o referido dispositivo.

  • Além disso, o Defender para Endpoint contém automaticamente endereços IP maliciosos associados a dispositivos não detetados/não integrados para bloquear qualquer atividade de movimento lateral e encriptação para outros dispositivos do Defender para Endpoint integrados/detetados. Fá-lo através da política Conter IP (Pré-visualização). Além disso, os endereços IP dos recursos críticos comprometidos também são automaticamente contidos com mecanismos de bloqueio específicos para parar a propagação de um ataque, evitando a perda de produtividade.

• Desativar o utilizador – com base na capacidade do Microsoft Defender para Identidade, esta ação é uma suspensão automática de uma conta comprometida para evitar danos adicionais, como movimento lateral, utilização maliciosa da caixa de correio ou execução de software maligno. A ação de desativar utilizador comporta-se de forma diferente consoante a forma como o utilizador está alojado no seu ambiente.

  • Quando a conta de utilizador está alojada no Active Directory: o Defender para Identidade aciona a ação de desativar o utilizador nos controladores de domínio que executam o agente do Defender para Identidade.
  • Quando a conta de utilizador está alojada no Active Directory e é sincronizada no Microsoft Entra ID: o Defender para Identidade aciona a ação de desativar o utilizador através de controladores de domínio integrados. A interrupção do ataque também desativa a conta de utilizador na conta sincronizada Microsoft Entra ID.
  • Quando a conta de utilizador está alojada apenas no Microsoft Entra ID (conta nativa da cloud): a interrupção do ataque desativa a conta de utilizador no Microsoft Entra ID conta sincronizada.

  Nota

  Desativar a conta de utilizador no Microsoft Entra ID não depende da implementação de Microsoft Defender para Identidade.

• Contenham o utilizador - com base na capacidade do Microsoft Defender para Endpoint, esta ação de resposta contém automaticamente identidades suspeitas temporariamente para ajudar a bloquear qualquer movimento lateral e encriptação remota relacionada com a comunicação de entrada com os dispositivos integrados do Defender para Endpoint.

  O Defender para Endpoint impõe a contenção do utilizador na camada do ponto final e não desativa a conta no fornecedor de identidade. O Defender para Ponto Final bloqueia a utilização de identidades comprometidas por parte do atacante em dispositivos protegidos e limita o acesso baseado na autenticação, o acesso ao sistema de ficheiros e os caminhos de comunicação de rede.

  Esta ação aplica controlos a um nível granular, para que a Microsoft possa direcionar a atividade relacionada com ataques e preservar a comunicação comercial normal sempre que possível.

Para obter mais informações, veja Ações de remediação no Microsoft Defender.

Identificar quando ocorre uma interrupção de ataque no seu ambiente

A página Microsoft Defender incidente refletirá as ações de interrupção automática do ataque através da história do ataque e do estado indicado por uma barra amarela (Figura 1). O incidente mostra uma etiqueta de interrupção dedicada, realça o estado dos recursos contidos no gráfico de incidentes e adiciona uma ação ao Centro de Ação.

. Vista de incidente a mostrar a barra amarela onde a interrupção automática do ataque tomou medidas

A experiência Microsoft Defender utilizador inclui agora ajudas visuais adicionais para garantir a visibilidade destas ações automáticas. Pode encontrá-las nas seguintes experiências:

1. Na fila de incidentes:

   • É apresentada uma etiqueta intitulada Interrupção do Ataque junto a incidentes afetados

2. Na página do incidente:

   • Uma etiqueta intitulada Interrupção do Ataque
   • Uma faixa amarela na parte superior da página que realça a ação automática tomada
   • O estado do ativo atual é apresentado no gráfico de incidentes se for efetuada uma ação num recurso, por exemplo, conta desativada ou dispositivo contido

3. Através da API:

   Uma cadeia (interrupção de ataque) é adicionada ao fim dos títulos dos incidentes com elevada confiança susceptível de ser automaticamente interrompida. Por exemplo:

   Ataque de fraude financeira bec lançado a partir de uma conta comprometida (interrupção do ataque)

Para obter mais informações, veja ver os detalhes e os resultados da interrupção do ataque.

Passos seguintes

• Configurar a interrupção automática de ataques
• Ver detalhes e resultados
• Obter notificações por e-mail para ações de resposta