This is the Trace Id: c3b1efe5466ec4cd02aff0fb974e3c01
Avançar para o conteúdo principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Ver todos os produtos Cibersegurança com tecnologia de IA Segurança da cloud Segurança e governação de dados Identidade e acesso à rede Gestão de privacidade e risco Segurança para IA Pequenas e médias empresas SecOps Unificadas Confiança Zero Preços Serviços Parceiros Porquê o Microsoft Security Sensibilização para a cibersegurança Histórias de clientes Noções Básicas de Segurança Avaliações de produtos Reconhecimento da indústria Microsoft Security Insider Relatório de Defesa Digital da Microsoft Centro de Resposta de Segurança Blogue do Microsoft Security Eventos do Microsoft Security Microsoft Tech Community Documentação Biblioteca de Conteúdos Técnicos Formação e certificados Programa de Conformidade para a Microsoft Cloud Centro de Confiança da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de Soluções Empresariais Contactar o Departamento de Vendas Iniciar avaliação gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidade mista Microsoft HoloLens Microsoft Viva Computação quântica Ensino Automóvel Serviços financeiros Administração Pública Cuidados de Saúde Indústria Comércio Localizar um parceiro Torne-se um parceiro Rede de Parceiros Microsoft Marketplace Empresas de software Blogue Microsoft Advertising Centro de Programadores Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
Segue-se o texto alternativo conforme pedido, sem mencionar o rosto desfocado: **Texto alternativo:** Uma pessoa segura um tablet numa sala de servidores e visualiza um dashboard com gráficos e métricas do sistema apresentados no ecrã.

O que são indicadores de comprometimento (ICs)?

Saiba como monitorizar, identificar, utilizar e responder a indicadores de comprometimento.
Descubra as Informações sobre Ameaças do Microsoft Defender

Indicadores de comprometimento explicados

Um indicador de comprometimento (IC) é uma prova de que alguém poderá ter violado a rede ou o ponto final de uma organização. Estes dados forenses não indicam apenas uma potencial ameaça, mas sinalizam que um ataque, como malware, credenciais comprometidas ou transferência de dados não autorizada, já ocorreu. Os profissionais de segurança procuram IOCs em registos de eventos, soluções de deteção e resposta alargada (XDR) e soluções de gestão de informações e eventos de segurança (SIEM). Durante um ataque, a equipa utiliza os IOCs para eliminar a ameaça e mitigar os danos. Após a recuperação, os ICs ajudam uma organização a compreender melhor o que aconteceu, para que a equipa de segurança da organização possa reforçar a segurança e reduzir o risco de outro incidente semelhante.

Exemplos de ICs

Na segurança de ICs, a TI monitoriza o ambiente em busca dos seguintes indícios de que está em curso um ataque:

Anomalias no tráfego de rede

Na maioria das organizações, existem padrões consistentes no tráfego de rede que entra e sai do ambiente digital. Quando isso muda, por exemplo, se existirem significativamente mais dados a sair da organização ou se existir atividade proveniente de uma localização invulgar na rede, poderá ser um sinal de ataque.

Tentativas de início de sessão invulgares

Tal como o tráfego de rede, os hábitos de trabalho das pessoas são previsíveis. Normalmente, iniciam sessão a partir das mesmas localizações e aproximadamente às mesmas horas durante a semana. Os profissionais de segurança podem detetar uma conta comprometida ao prestar atenção aos inícios de sessão a horas estranhas do dia ou a partir de localizações geográficas invulgares, como um país onde a organização não tem escritório. Também é importante tomar nota de vários inícios de sessão falhados a partir da mesma conta. Embora as pessoas se esqueçam periodicamente das suas palavras-passe ou tenham problemas em iniciar sessão, normalmente conseguem resolver o problema após algumas tentativas. Tentativas repetidas de início de sessão com falhas podem indicar que alguém está a tentar aceder à organização ao utilizar uma conta roubada.

Irregularidades em contas com privilégios

Muitos atacantes, sejam internos ou externos, estão interessados em aceder a contas administrativas e adquirir dados confidenciais. Comportamento atípico associado a estas contas, como uma tentativa de escalamento de privilégios, pode ser um sinal de falha de segurança.

Alterações às configurações dos sistemas

O malware é frequentemente programado para efetuar alterações às configurações dos sistemas, como ativar o acesso remoto ou desativar software de segurança. Ao monitorizar estas alterações de configuração inesperadas, os profissionais de segurança conseguem identificar uma falha de segurança antes que ocorram demasiados danos.

Instalações ou atualizações de software inesperadas

Muitos ataques começam com a instalação de software, como malware ou ransomware, concebido para tornar ficheiros inacessíveis ou conceder aos atacantes acesso à rede. Ao monitorizar instalações e atualizações de software não planeadas, as organizações conseguem detetar rapidamente estes ICs.

Vários pedidos para o mesmo ficheiro

Vários pedidos para um único ficheiro podem indicar que um agente malicioso está a tentar roubá-lo e tentou vários métodos para lhe aceder.

Pedidos invulgares do Sistema de Nomes de Domínio

Alguns agentes maliciosos utilizam um método de ataque denominado comando e controlo. Instalam malware no servidor de uma organização que cria uma ligação a um servidor que lhes pertence. Em seguida, enviam comandos do respetivo servidor para o computador infetado para tentar roubar dados ou perturbar as operações. Pedidos invulgares do Sistema de Nomes de Domínio (DNS) ajudam a TI a detetar estes ataques.

Como identificar ICs

Os sinais de um ataque digital são registados nos ficheiros de registo. Como parte da cibersegurança no quadro de IOCs, as equipas monitorizam regularmente os sistemas digitais para detetarem atividades suspeitas. As soluções SIEM e XDR modernas simplificam este processo com IA e algoritmos de aprendizagem automática que estabelecem uma linha de base para o que é normal na organização e, em seguida, alertam as equipas sobre anomalias. Também é importante envolver os colaboradores fora da equipa de segurança, que podem receber e-mails suspeitos ou transferir acidentalmente um ficheiro infetado. Bons programas de formação em segurança ajudam os trabalhadores a detetar melhor e-mails comprometidos e fornecem formas de comunicar qualquer elemento suspeito.

Por que motivo os ICs são importantes

A monitorização dos ICs é fundamental para reduzir o risco de segurança de uma organização. A deteção precoce de IOCs permite que as equipas de segurança respondam e resolvam os ataques rapidamente, reduzindo o tempo de inatividade e as interrupções. A monitorização regular também proporciona às equipas mais informações sobre as vulnerabilidades organizacionais, que podem, em seguida, ser mitigadas.

Responder a indicadores de comprometimento

Quando as equipas de segurança identificam um IC, têm de responder eficazmente para garantir o menor dano possível para a organização. Os passos seguintes ajudam as organizações a manterem-se focadas e a parar ameaças o mais rapidamente possível:

Estabeleça um plano de resposta a incidentes

A resposta a um incidente é stressante e exige uma resposta atempada, porque quanto mais tempo os atacantes permanecerem sem serem detetados, maior é a probabilidade de atingirem os seus objetivos. Muitas organizações desenvolvem um plano de resposta a incidentes para ajudar a orientar as equipas durante as fases críticas de uma resposta. O plano descreve como a organização define um incidente, funções e responsabilidades, os passos necessários para resolver um incidente e como a equipa deve comunicar com os colaboradores e intervenientes externos.

Isole os sistemas e dispositivos comprometidos

Assim que a organização tiver identificado uma ameaça, a equipa de segurança isola rapidamente as aplicações ou sistemas que estão a ser atacados do resto das redes. Esta ação ajuda a impedir que os atacantes acedam a outras partes da empresa.

Realizar análise forense

A análise forense ajuda as organizações a detetar todos os aspetos de uma falha de segurança, incluindo a origem, o tipo de ataque e os objetivos do atacante. A análise é efetuada durante o ataque para compreender a extensão do compromisso. Depois de a organização ter recuperado do ataque, a análise adicional ajuda a equipa a compreender possíveis vulnerabilidades e outras informações.

Elimine a ameaça

A equipa remove o atacante e qualquer malware dos sistemas e recursos afetados, o que pode implicar colocar os sistemas offline.

Implemente melhorias de segurança e de processos

Depois de a organização ter recuperado do incidente, é importante avaliar a razão pela qual o ataque aconteceu e se há algo que a organização poderia ter feito para o evitar. Poderá haver melhorias simples de processos e políticas que reduzam o risco de um ataque semelhante no futuro, ou a equipa poderá identificar soluções de longo prazo para adicionar a um mapa de objetivos de segurança.



Soluções de IC

A maioria das falhas de segurança deixa um rasto forense em ficheiros de registo e sistemas. Aprender a identificar e monitorizar estes IOCs ajuda as organizações a isolar e eliminar rapidamente os atacantes. Muitas equipas recorrem a soluções SIEM, como o Microsoft Sentinel e o Microsoft Defender XDR, que utilizam IA e automatização para detetar IOCs e correlacioná-los com outros eventos. Um plano de resposta a incidentes permite que as equipas se antecipem aos ataques e os eliminem rapidamente. No que diz respeito à cibersegurança, quanto mais rapidamente as empresas compreenderem o que está a acontecer, maior será a probabilidade de travarem um ataque antes que este lhes custe dinheiro ou prejudique a sua reputação. A segurança de ICs é essencial para ajudar as organizações a reduzir o risco de uma falha de segurança dispendiosa.
Recursos

Saiba mais sobre o Microsoft Security

  1.
Um homem e uma mulher sentados a uma mesa, com a mulher a escrever num livro e um portátil visível.

Proteção contra ameaças da Microsoft

Identifique e responda a incidentes em toda a sua organização com o que há de mais recente em proteção contra ameaças.
Saber mais
Uma pessoa sentada a uma secretária a utilizar um portátil.

Microsoft Sentinel

Unifique dados e contexto de segurança para impulsionar a defesa por meio de agentes com uma plataforma SIEM & centrada em IA.
Saber mais
Uma mulher a olhar para o telemóvel.

Microsoft Defender XDR

Pare ataques em pontos finais, e-mail, identidades, aplicações e dados com soluções XDR.
Saber mais
Um grupo de três pessoas num escritório luminoso, sorridentes e envolvidas, enquanto olham para um portátil que uma delas segura.

Comunidade de informações sobre ameaças

Obtenha as atualizações mais recentes da edição da comunidade das Informações sobre Ameaças do Microsoft Defender.
Saber mais
Voltar à secção Produtos relacionados
FAQ

Perguntas frequentes

  • Existem vários tipos de ICs. Alguns dos mais comuns são:
    • Anomalias no tráfego de rede
    • Tentativas invulgares de início de sessão
    • Irregularidades na conta de privilégios
    • Alterações nas configurações do sistema
    • Instalações ou atualizações inesperadas de software
    • Vários pedidos para o mesmo ficheiro
    • Pedidos invulgares do Sistema de Nomes de Domínio
  • Um indicador de comprometimento é um sinal digital de que já ocorreu um ataque. Um indicador de um ataque é uma prova de que é provável que ocorra um ataque. Por exemplo, uma campanha de phishing é um indicador de ataque porque não há provas de que o atacante tenha causado uma falha de segurança na empresa. No entanto, se alguém clicar numa ligação de phishing e transferir malware, a instalação do malware é um indicador de comprometimento.
  • Os indicadores de comprometimento no e-mail incluem um aumento súbito de spam, anexos ou ligações estranhos, ou um e-mail inesperado de uma pessoa conhecida. Por exemplo, se um colaborador enviar a um colega um e-mail com um anexo estranho, isso pode indicar que a respetiva conta foi comprometida.
  • Existem várias formas de identificar um sistema comprometido. Uma alteração no tráfego de rede de um determinado computador pode ser um indicador de que este foi comprometido. Se uma pessoa que normalmente não precisa de um sistema começar a aceder-lhe regularmente, isso é um sinal de alerta. Alterações às configurações no sistema ou uma instalação de software inesperada também podem indicar que foi comprometido.
  • Três exemplos de ICs são:
    • Uma conta de utilizador sediada na América do Norte começa a iniciar sessão nos recursos da empresa a partir da Europa.
    • Milhares de pedidos de acesso em várias contas de utilizador, indicando que a organização foi vítima de um ataque de força bruta.
    • Novos pedidos do Sistema de Nomes de Domínio provenientes de um novo anfitrião ou de um país/região onde os colaboradores e clientes não residem.

Siga o Microsoft Security

Surface Pro Surface Laptop Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar produtos Microsoft Aplicações do Windows 11 Perfil da conta Centro de Transferências Suporte da Microsoft Store Devoluções Controlo de encomendas Reciclagem Garantias Comercias Microsoft Educação Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Educação Office Educação Formação e desenvolvimento de educadores Promoções para estudantes e pais Azure para estudantes
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pequena Empresa Programador Microsoft Microsoft Learn Suporte para aplicações do marketplace de IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Carreiras Acerca da Microsoft Notícias da empresa Privacidade na Microsoft Investidores
Português (Portugal) Privacidade da Saúde do Consumidor Contactar a Microsoft Privacidade Gerir cookies Termos de utilização Marcas Registadas Acerca dos nossos anúncios EU Compliance DoCs