This is the Trace Id: e40da31c8f3d694d249c728c9912672a
Avançar para o conteúdo principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Ver todos os produtos Cibersegurança com tecnologia de IA Segurança da cloud Segurança e governação de dados Identidade e acesso à rede Gestão de privacidade e risco Segurança para IA Pequenas e médias empresas SecOps Unificadas Confiança Zero Preços Serviços Parceiros Porquê o Microsoft Security Sensibilização para a cibersegurança Histórias de clientes Noções Básicas de Segurança Avaliações de produtos Reconhecimento da indústria Microsoft Security Insider Relatório de Defesa Digital da Microsoft Centro de Resposta de Segurança Blogue do Microsoft Security Eventos do Microsoft Security Microsoft Tech Community Documentação Biblioteca de Conteúdos Técnicos Formação e certificados Programa de Conformidade para a Microsoft Cloud Centro de Confiança da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de Soluções Empresariais Contactar o Departamento de Vendas Iniciar avaliação gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidade mista Microsoft HoloLens Microsoft Viva Computação quântica Ensino Automóvel Serviços financeiros Administração Pública Cuidados de Saúde Indústria Comércio Localizar um parceiro Torne-se um parceiro Rede de Parceiros Microsoft Marketplace Empresas de software Blogue Microsoft Advertising Centro de Programadores Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
Um homem a trabalhar num portátil.

O que é a investigação de ciberameaças?

A investigação de ciberameaças é o processo de pesquisar proativamente ameaças desconhecidas ou não detetadas na rede, nos pontos finais e nos dados de uma organização.
Descubra o Microsoft Sentinel

Como funciona a investigação de ciberameaças

A investigação de ciberameaças utiliza investigadores de ameaças para pesquisar preventivamente potenciais ameaças e ataques num sistema ou numa rede. Isto permite respostas ágeis e eficientes a ciberataques cada vez mais complexos e operados por humanos. Enquanto os métodos tradicionais de cibersegurança identificam falhas de segurança após a ocorrência, a investigação de ciberameaças funciona com base no pressuposto de que ocorreu uma falha de segurança e consegue identificar, adaptar-se e responder a potenciais ameaças imediatamente após a deteção.

Os atacantes sofisticados conseguem violar uma organização e permanecer indetetados durante longos períodos de tempo: dias, semanas ou até mais. Adicionar a investigação de ciberameaças ao seu perfil existente de ferramentas de segurança, como a deteção e resposta de pontos finais (DRP) e a gestão de informações e eventos de segurança (SIEM), pode ajudar a prevenir e remediar ataques que, de outro modo, poderiam passar despercebidos às ferramentas de segurança automatizadas.

Investigação automatizada de ameaças

Os investigadores de ciberameaças podem automatizar determinados aspetos do processo através de aprendizagem automática, automatização e IA. Tirar partido de soluções como o SIEM e o EDR pode ajudar os caçadores de ameaças a simplificar os procedimentos de caça, monitorizando, detetando e respondendo a potenciais ameaças. Os investigadores de ameaças podem criar e automatizar diferentes manuais de procedimentos para responder a diferentes ameaças, o que alivia a carga das equipas de TI sempre que surgem ataques semelhantes.

Ferramentas e técnicas para investigação de ciberameaças

Os investigadores de ameaças têm numerosas ferramentas à sua disposição, incluindo soluções como SIEM e XDR, concebidas para funcionarem em conjunto.

  • SIEM: Uma solução que recolhe dados de várias fontes com análise em tempo real, o SIEM pode fornecer aos caçadores de ameaças pistas sobre potenciais ameaças.
  • Deteção e resposta alargadas (XDR): Os caçadores de ameaças podem utilizar o XDR, que fornece informações sobre ameaças e interrupção automatizada de ataques, para obter uma maior visibilidade das ameaças.
  • EDR: O EDR, que monitoriza os dispositivos dos utilizadores finais, também fornece aos caçadores de ameaças uma ferramenta poderosa, dando-lhes uma visão das potenciais ameaças em todos os terminais de uma organização.

Três tipos de investigação de ciberameaças

A investigação de ciberameaças assume normalmente uma das três formas seguintes:

Estruturada: numa investigação estruturada, os investigadores de ameaças pesquisam táticas, técnicas e procedimentos (TTPs) suspeitos que sugerem potenciais ameaças. Em vez de abordar os dados ou o sistema e procurar intrusos, o investigador de ameaças cria uma hipótese sobre o método de um potencial atacante e trabalha de forma metódica para identificar sintomas desse ataque. Uma vez que a investigação estruturada é uma abordagem mais proativa, os profissionais de TI que utilizam esta tática conseguem muitas vezes intercetar ou travar atacantes rapidamente.

Não Estruturada: numa investigação não estruturada, o investigador de ciberameaças pesquisa um indicador de comprometimento (IC) e conduz a pesquisa a partir deste ponto de partida. Uma vez que o investigador de ameaças pode regressar aos dados históricos e pesquisar padrões e pistas, as investigações não estruturadas conseguem por vezes identificar ameaças anteriormente não detetadas que ainda podem colocar a organização em risco.

Situacional: a investigação situacional de ameaças prioriza recursos ou dados específicos no ecossistema digital. Se uma organização avaliar que determinados colaboradores ou recursos representam os maiores riscos, pode orientar os investigadores de ciberameaças para concentrarem esforços na prevenção ou remediação de ataques contra estas pessoas, conjuntos de dados ou pontos finais vulneráveis.

Passos e implementação da investigação de ameaças

Os investigadores de ciberameaças seguem frequentemente estes passos básicos ao investigar e remediar ameaças e ataques:

  1. Criar uma teoria ou hipótese sobre uma potencial ameaça. Os investigadores de ameaças podem começar por identificar as TTPs comuns de um atacante.
  2. Realize investigação. Os investigadores de ameaças investigam os dados, os sistemas e as atividades da organização — uma solução SIEM pode ser uma ferramenta útil — e recolhem e processam informações relevantes.
  3. Identifique o acionador. Os resultados da investigação e outras ferramentas de segurança podem ajudar os caçadores de ameaças a distinguir um ponto de partida para a sua investigação.
  4. Investigue a ameaça. Os caçadores de ameaças utilizam as suas pesquisas e ferramentas de segurança para determinar se a ameaça é maliciosa.
  5. Responder e remediar. Os investigadores de ameaças tomam medidas para resolver a ameaça.

Tipos de ameaças que os investigadores podem detetar

A investigação de ciberameaças tem capacidade para identificar uma vasta gama de ameaças diferentes, incluindo as seguintes:

  • Malware e vírus: o malware impede a utilização de dispositivos normais ao obter acesso não autorizado a dispositivos de ponto final. Os ataques de phishing, spyware, adware, trojans, worms e ransomware são todos exemplos de malware. Os vírus, algumas das formas mais comuns de malware, foram concebidos para interferir com o funcionamento normal de um dispositivo, ao registar, danificar ou eliminar os respetivos dados antes de se propagarem para outros dispositivos numa rede.
  • Ameaças internas: as ameaças internas têm origem em pessoas com acesso autorizado à rede de uma organização. Seja através de ações maliciosas ou de comportamentos inadvertidos ou negligentes, estas pessoas com acesso interno fazem uma utilização indevida das redes, dados, sistemas ou instalações da organização ou causam-lhes danos.
  • Ameaças avançadas persistentes: os atores sofisticados que violam a rede de uma organização e permanecem indetetados durante um período de tempo representam ameaças avançadas persistentes. Estes atacantes são qualificados e, muitas vezes, têm muitos recursos.
    Ataques de engenharia social: os ciberatacantes podem utilizar manipulação e engano para induzir os colaboradores de uma organização a ceder acesso ou informações confidenciais. Os ataques comuns de engenharia social incluem phishing, aliciamento e scareware.

Melhores práticas de investigação de ciberameaças

Ao implementar um protocolo de investigação de ciberameaças na sua organização, tenha em atenção as seguintes melhores práticas:
 
  • Dê aos caçadores de ameaças visibilidade total da sua organização. Os investigadores de ameaças têm mais êxito quando compreendem o panorama geral.
  • Mantenha ferramentas de segurança complementares, como SIEM, XDR e DRP. Os investigadores de ciberameaças dependem das automatizações e dos dados fornecidos por estas ferramentas para identificar ameaças mais rapidamente e com maior contexto para uma resolução mais rápida.
  • Manter-se informado sobre as últimas ameaças e táticas emergentes. Os atacantes e as suas táticas estão em constante evolução - certifique-se de que os seus caçadores de ameaças têm os recursos mais atualizados sobre as tendências atuais.
  • Formar os empregados para identificar e comunicar comportamentos suspeitos. Reduza a possibilidade de ameaças internas ao manter o seu pessoal informado.
  • Implemente a gestão de vulnerabilidade para reduzir a exposição global ao risco da sua organização.

Porque é importante para as organizações investigar ameaças

À medida que os atores maliciosos se tornam cada vez mais sofisticados nos seus métodos de ataque, é vital que as organizações invistam em investigação proativa de ciberameaças. Complementar a formas mais passivas de proteção contra ameaças, a caça às ciberameaças colmata as lacunas de segurança, permitindo às organizações remediar ameaças que, de outra forma, não seriam detetadas. A intensificação das ameaças por parte de atacantes complexos significa que as organizações têm de reforçar as respetivas defesas para manter a confiança na sua capacidade de processar dados confidenciais e reduzir os custos associados a falhas de segurança.

Produtos como o Microsoft Sentinel podem ajudar a antecipar-se às ameaças através da recolha, armazenamento e acesso a dados históricos ao nível da cloud, simplificação das investigações e automatização de tarefas comuns. Estas soluções podem fornecer aos investigadores de ciberameaças ferramentas poderosas para ajudar a manter a sua organização protegida.
Recursos

Saiba mais sobre o Microsoft Security

  1.
Mulher a olhar para código num monitor

Microsoft Sentinel

Unifique dados e contexto de segurança para impulsionar a defesa por meio de agentes com uma plataforma SIEM & centrada em IA.
Saber mais
Pessoa a trabalhar num portátil com um grande plano do ecrã do computador.

Especialistas do Microsoft Defender para Procura

Alargue a investigação proativa de ameaças para além do ponto final.
Saber mais
Mulher a utilizar um portátil numa sala de conferências

Informações sobre Ameaças do Microsoft Defender

Ajude a proteger a sua organização contra adversários modernos e ameaças como ransomware.
Saber mais
Colegas olham em conjunto para um monitor numa sala cheia de tecnologia

SIEM e XDR

Detete, investigue e responda a ameaças em todo o seu património digital.
Saber mais
Voltar aos controlos de navegação do carrossel
FAQ

Perguntas frequentes

  • Um exemplo de investigação de ciberameaças é uma investigação baseada em hipóteses na qual o investigador de ameaças identifica táticas, técnicas e procedimentos suspeitos que um atacante poderá utilizar e, em seguida, pesquisa provas da sua presença na rede de uma organização.
  • A deteção de ameaças é uma abordagem ativa, frequentemente automatizada, à cibersegurança, enquanto a investigação de ameaças é uma abordagem proativa e não automatizada.
  • Um centro de operações de segurança (SOC) é uma função ou equipa centralizada, no local ou subcontratada, responsável por melhorar a postura de cibersegurança de uma organização e prevenir, detetar e responder a ameaças. A investigação de ciberameaças é uma das táticas que os SOCs utilizam para identificar e remediar ameaças.
  • As ferramentas de investigação de ciberameaças são recursos de software disponíveis para equipas de TI e investigadores de ameaças, para ajudar a detetar e remediar ameaças. Exemplos de ferramentas de investigação de ameaças incluem proteções antivírus e firewall, software de DRP, ferramentas SIEM e análise de dados.
  • O principal objetivo da investigação de ciberameaças é detetar e remediar proativamente ameaças e ataques sofisticados antes que prejudiquem a organização.
  • Informações sobre ciberameaças são as informações e os dados que o software de cibersegurança recolhe, muitas vezes automaticamente, como parte dos respetivos protocolos de segurança para proteger melhor contra ciberataques. A investigação de ameaças envolve utilizar informações recolhidas a partir de informações sobre ameaças para fundamentar hipóteses e ações destinadas a pesquisar e remediar ameaças.

Siga o Microsoft Security

Surface Pro Surface Laptop Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar produtos Microsoft Aplicações do Windows 11 Perfil da conta Centro de Transferências Suporte da Microsoft Store Devoluções Controlo de encomendas Reciclagem Garantias Comercias Microsoft Educação Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Educação Office Educação Formação e desenvolvimento de educadores Promoções para estudantes e pais Azure para estudantes
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pequena Empresa Programador Microsoft Microsoft Learn Suporte para aplicações do marketplace de IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Carreiras Acerca da Microsoft Notícias da empresa Privacidade na Microsoft Investidores
Português (Portugal) Privacidade da Saúde do Consumidor Contactar a Microsoft Privacidade Gerir cookies Termos de utilização Marcas Registadas Acerca dos nossos anúncios EU Compliance DoCs