This is the Trace Id: 1c8ce51a3b5d05dc0828520e40db7037
Pular para o conteúdo principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Confira todos os produtos Segurança cibernética da plataforma AI Segurança da nuvem Segurança e governança de dados Identidade e acesso à rede Gerenciamento de riscos e privacidade Segurança para IA Pequenas e médias empresas Operações de segurança integradas Confiança Zero Preços Serviços Parceiros Por que a Segurança da Microsoft? Conscientização sobre segurança cibernética Histórias de clientes Introdução à segurança Avaliações de produtos Reconhecimento do setor Microsoft Security Insider Relatório de Defesa Digital da Microsoft Security Response Center Blog de Segurança da Microsoft Eventos de Segurança da Microsoft Tech Community da Microsoft Documentação Biblioteca de conteúdo técnico Treinamentos e certificações Programa de Conformidade para a Microsoft Cloud Central de Confiabilidade da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de soluções empresariais Entre em contato com o departamento de vendas Inicie uma avaliação gratuita Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 IA da Microsoft Espaço do Azure Realidade misturada Microsoft HoloLens Microsoft Viva Computação quântica Educação Automotivo Serviços financeiros Governo Saúde Manufatura Varejo Encontrar um parceiro Seja um parceiro Partner Network Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro do desenvolvedor Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
Aqui está o texto alternativo solicitado, sem mencionar o rosto desfocado: **Texto alternativo:** Uma pessoa segurando um tablet em uma sala de servidores, visualizando um painel com gráficos e métricas do sistema na tela.

O que são IOCs (indicadores de comprometimento)?

Aprenda como monitorar, identificar, usar e responder a indicadores de comprometimento.
Descubra as Informações sobre Ameaças do Microsoft Defender

Indicadores de comprometimento explicados

Um IOC (indicador de comprometimento) é uma evidência de que alguém pode ter violado a rede ou o ponto de extremidadede uma organização. Esses dados forenses não apenas indicam uma ameaça potencial, mas sinalizam que um ataque, como malware, credenciais comprometidas ou exfiltração de dados, já ocorreu. Profissionais de segurança pesquisam IOCs em registros de eventos, soluções de XDR (detecção e resposta estendida) e soluções de SIEM (gerenciamento de eventos e informações de segurança). Durante um ataque, a equipe usa IOCs para eliminar a ameaça e mitigar os danos. Após a recuperação, os IOCs ajudam uma organização a compreender melhor o que aconteceu, para que a equipe de segurança da organização possa reforçar a segurança e reduzir o risco de outro incidente semelhante.

Exemplos de IOCs

Na segurança do IOC, a TI monitora o ambiente em busca dos seguintes indícios de que um ataque está em andamento:

Anomalias de tráfego

Na maioria das organizações existem padrões consistentes para o tráfego que entra e sai do ambiente digital. Quando isso muda, como se houver significativamente mais dados saindo da organização ou se houver atividade proveniente de um local incomum na rede, pode ser um sinal de ataque.

Tentativas de entrada incomuns

Assim como o tráfego, os hábitos de trabalho das pessoas são previsíveis. Eles normalmente entram nos mesmos locais e aproximadamente nos mesmos horários durante a semana. Os profissionais de segurança podem detectar uma conta comprometida prestando atenção às entradas em horários estranhos do dia ou em regiões geográficas incomuns, como um país/região onde uma organização não tem escritório. Também é importante observar várias falhas de entradas na mesma conta. Embora as pessoas esqueçam periodicamente suas senhas ou tenham problemas para entrar, geralmente conseguem resolver o problema após algumas tentativas. Tentativas repetidas de entrada malsucedidas podem indicar que alguém está tentando acessar a organização usando uma conta roubada.

Irregularidades em contas privilegiadas

Muitos invasores, sejam eles internos ou externos, estão interessados em acessar contas administrativas e adquirir dados confidenciais. O comportamento atípico associado a essas contas, como alguém tentando aumentar seus privilégios, pode ser um sinal de violação.

Alterações nas configurações dos sistemas

O malware é frequentemente programado para fazer alterações nas configurações dos sistemas, como permitir acesso remoto ou desabilitar software de segurança. Ao monitorar essas alterações inesperadas de configuração, os profissionais de segurança podem identificar uma violação antes que ocorram muitos danos.

Instalações ou atualizações inesperadas de software

Muitos ataques começam com a instalação de software, como malware ou ransomware, projetado para tornar os arquivos inacessíveis ou para fornecer aos invasores acesso ao rede. Ao monitorar instalações e atualizações de software não planejadas, as organizações podem detectar esses IOCs rapidamente.

Numerosas solicitações para o mesmo arquivo

Várias solicitações para um único arquivo podem indicar que um agente mal-intencionado está tentando roubá-lo e tentou vários métodos para acessá-lo.

Solicitações Incomuns de Sistemas de Nomes de Domínio

Alguns agentes mal-intencionados usam uma chamada de método de ataque de comando e controle. Eles instalam malware no servidor de uma organização que cria uma conexão com um servidor de sua propriedade. Em seguida, eles enviam comandos do servidor para o computador infectado para tentar roubar dados ou interromper operações. Solicitações Incomuns de DNS (Sistemas de Nomes de Domínio) ajudam a TI a detectar esses ataques.

Como identificar IOCs

Os sinais de um ataque digital são registrados nos arquivos de log. Como parte da segurança cibernética do IOC, as equipes monitoram regularmente os sistemas digitais em busca de atividades suspeitas. As soluções modernas de SIEM e XDR simplificam esse processo com algoritmos de IA e aprendizado de máquina que estabelecem uma linha de base para o que é normal na organização e, em seguida, alertam a equipe sobre anomalias. Também é importante envolver funcionários fora da segurança, que podem receber emails suspeitos ou baixar acidentalmente um arquivo infectado. Bons programas de treinamento em segurança ajudam os funcionários a identificar melhor emails suspeitos e oferecem meios para que eles denunciem qualquer coisa que pareça estranha.

Por que os IOCs são importantes

Monitorar os IOCs é fundamental para reduzir o risco de segurança de uma organização. A detecção precoce de IOCs permite que as equipes de segurança respondam e resolvam ataques rapidamente, reduzindo o tempo de inatividade e as interrupções. O monitoramento regular também proporciona às equipes uma maior percepção das vulnerabilidades organizacionais, que podem então ser mitigadas.

Respondendo a indicadores de comprometimento

Depois que as equipes de segurança identificam um IOC, elas precisam responder de forma eficaz para garantir o menor dano possível à organização. As etapas a seguir ajudam as organizações a manter o foco e impedir ameaças o mais rápido possível:

Estabelecer um plano de resposta a incidentes

Responder a um incidente é estressante e exige rapidez porque, quanto mais tempo os invasores permanecerem indetectados, maior a chance de alcançarem seus objetivos. Muitas organizações desenvolvem um plano de resposta a incidentes para ajudar a orientar as equipes durante as fases críticas de uma resposta. O plano descreve como a organização define um incidente, funções e responsabilidades, as etapas necessárias para resolver um incidente e como a equipe deve se comunicar com funcionários e stakeholders externos.

Isolar sistemas e dispositivos comprometidos

Depois que a organização identifica uma ameaça, a equipe de segurança isola rapidamente os aplicativos ou sistemas sob ataque do restante das redes. Isso ajuda a impedir que os invasores acessem outras partes dos negócios.

Realizar análise forense

A análise forense ajuda as organizações a identificar todos os aspectos de uma violação, incluindo a origem, o tipo de ataque e os objetivos do invasor. A análise é feita durante o ataque para compreender a extensão do comprometimento. Depois que a organização se recupera do ataque, análises adicionais ajudam a equipe a entender possíveis vulnerabilidades e outros insights.

Eliminar a ameaça

A equipe remove o invasor e qualquer malware dos sistemas e recursos afetados, o que pode envolver colocar os sistemas offline.

Implementar melhorias de segurança e processo

Depois que a organização se recupera do incidente, é importante avaliar por que o ataque aconteceu e se havia algo que a organização poderia ter feito para evitá-lo. Pode haver melhorias simples de processo e política que reduzirão o risco de um ataque semelhante no futuro, ou a equipe pode identificar soluções de longo prazo para adicionar a um roteiro de segurança.



Soluções de IOC

A maioria das violações de segurança deixa um rastro forense em arquivos de log e sistemas. Aprender a identificar e monitorar esses IOCs ajuda as organizações a isolar e eliminar rapidamente os invasores. Muitas equipes recorrem a soluções SIEM, como o Microsoft Sentinel e o Microsoft Defender XDR, que usam IA e automação para revelar IOCs e correlacioná-los com outros eventos. Um plano de resposta a incidentes permite que as equipes se antecipem aos ataques e os encerrem rapidamente. Quando se trata de segurança cibernética, quanto mais rápido as empresas entenderem o que está acontecendo, maior será a probabilidade de interromperem um ataque antes que ele lhes custe dinheiro ou prejudique sua reputação. A segurança do IOC é fundamental para ajudar as organizações a reduzir o risco de uma violação dispendiosa.
Recursos

Saiba mais sobre a Segurança da Microsoft

  1.
Um homem e uma mulher sentados em uma mesa, com a mulher escrevendo em um livro e um laptop visível.

Proteção contra Ameaças da Microsoft

Identifique incidentes em toda a sua organização e responda a eles com o que há de mais recente em proteção contra ameaças.
Saiba mais
Pessoa sentada à mesa usando laptop.

Microsoft Sentinel

Unifique dados e contexto de segurança para potencializar uma defesa agente com uma plataforma SIEM & centrada em IA.
Saiba mais
Mulher olhando para o telefone celular.

Microsoft Defender XDR

Impeça ataques em pontos de extremidade, emails, identidades, aplicativos e dados com soluções XDR.
Saiba mais
Grupo de três pessoas em escritório iluminado, sorrindo e atentos enquanto olham para o laptop que uma delas segura.

Comunidade de Informações sobre ameaças

Obtenha as atualizações mais recentes da edição da comunidade de Informações sobre Ameaças do Microsoft Defender.
Saiba mais
Voltar à seção Produtos relacionados
Perguntas frequentes

Perguntas frequentes

  • Há vários tipos de IOCs. Alguns dos mais comuns são:
    • Anomalias de tráfego
    • Tentativas de entrada incomuns
    • Irregularidades em contas privilegiadas
    • Alterações nas configurações do sistema
    • Instalações ou atualizações inesperadas de software
    • Numerosas solicitações para o mesmo arquivo
    • Solicitações Incomuns de Sistemas de Nomes de Domínio
  • Um indicador de comprometimento é a evidência digital de que um ataque já ocorreu. Um indicador de um ataque é uma evidência de que é provável que um ataque ocorra. Por exemplo, uma campanha de phishing é um indicador de ataque porque não há provas de que o invasor tenha violado a empresa. No entanto, se alguém clicar num link de phishing e descarregar malware, a instalação do malware é um indicador de comprometimento.
  • Os indicadores de comprometimento no email incluem uma inundação repentina de spam, anexos ou links estranhos ou um email inesperado de uma pessoa conhecida. Por exemplo, se um funcionário enviar a um colega de trabalho um email com um anexo estranho, isso pode indicar que sua conta foi comprometida.
  • Há várias maneiras de identificar um sistema comprometido. Uma alteração no tráfego de rede de um determinado computador pode ser um indicador de que ele foi comprometido. Se uma pessoa que normalmente não precisa de um sistema começar a acessá-lo regularmente, isso é um sinal de alerta. Alterações nas configurações do sistema ou uma instalação inesperada de software também podem indicar que ele foi comprometido.
  • Três exemplos de IOCs são:
    • Uma conta de usuário baseada na América do Norte começa a entrar nos recursos da empresa na Europa.
    • Milhares de solicitações de acesso em diversas contas de usuários, indicando que a organização foi vítima de um ataque de força bruta.
    • Solicitações de novos Sistemas de Nomes de Domínio provenientes de um novo host ou de um país/região onde funcionários e clientes não residem.

Siga a Segurança da Microsoft

Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar os produtos da Microsoft Aplicativos do Windows 11 Perfil da conta Centro de Download Suporte da Microsoft Store Devoluções Acompanhamento de pedidos Microsoft Education Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Education Office Education Treinamento e desenvolvimento de educadores Ofertas para estudantes e pais Azure para estudantes
IA da Microsoft Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desenvolvedor Microsoft Microsoft Learn Suporte para aplicativos de marketplace de IA Comunidade Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Carreiras Sobre a Microsoft Notícias da empresa Privacidade na Microsoft Investidores Diversidade e inclusão Acessibilidade
Português (Brasil) Privacidade dos Dados de Saúde do Consumidor Entre em contato com a Microsoft Privacidade Gerenciar cookies Ética e Compliance Nota Legal Marcas Sobre os nossos anúncios

Microsoft do Brasil Importação e Comércio de Software e Vídeo Games Ltda., com sede na cidade de São Paulo, Estado de São Paulo, na Avenida Presidente Juscelino Kubitschek, nº 1.909, conjunto 181, localizado no 18º andar da Torre Sul SP Corporate Towers, Vila Nova Conceição, CEP 04543-907, inscrita no CNPJ sob o nº 04.712.500/0001-07.