Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Pré-requisitos
Antes de concluir este tutorial, consulte o artigo O que é a deteção? e Utilizar e gerir artigos de deteção para compreender os principais conceitos mencionados neste artigo.
Aceder à superfície de ataque automatizada
A Microsoft configurou preventivamente as superfícies de ataque de muitas organizações, mapeando a superfície de ataque inicial ao descobrir a infraestrutura ligada a recursos conhecidos. Recomendamos que todos os utilizadores procurem a superfície de ataque da sua organização antes de criarem uma superfície de ataque personalizada e executarem outras deteções. Este processo permite que os utilizadores acedam rapidamente ao respetivo inventário à medida que GSAE do Defender atualiza os dados, adicionando mais recursos e contexto recente à Superfície de Ataque.
Ao aceder pela primeira vez à instância do GSAE do Defender, selecione Introdução na secção Geral para procurar a sua organização na lista de superfícies de ataque automatizadas.
Em seguida, selecione a sua organização na lista e clique em Criar a Minha Superfície de Ataque.
Neste momento, a deteção é executada em segundo plano. Se tiver selecionado uma Superfície de Ataque pré-configurada na lista de organizações disponíveis, será redirecionado para o ecrã Descrição Geral do Dashboard, onde pode ver informações sobre a infraestrutura da sua organização no Modo de Pré-visualização. Reveja estas informações do dashboard para se familiarizar com o Surface de Ataque enquanto aguarda que sejam detetados e preenchidos mais recursos no seu inventário. Leia o artigo Noções básicas sobre dashboards para obter mais informações sobre como obter informações destes dashboards.
Se reparar em quaisquer recursos em falta ou tiver outras entidades para gerir que possam não ser detetadas através de uma infraestrutura claramente ligada à sua organização, pode optar por executar deteções personalizadas para detetar estes recursos atípicos.
Personalizar a deteção
As deteções personalizadas são ideais para organizações que exigem uma visibilidade mais profunda da infraestrutura que pode não estar imediatamente ligada aos respetivos recursos de seed primários. Ao submeter uma lista maior de recursos conhecidos para funcionarem como sementes de deteção, o motor de deteção devolve um conjunto mais amplo de recursos. A deteção personalizada também pode ajudar as organizações a encontrar infraestruturas diferentes que possam estar relacionadas com unidades empresariais independentes e empresas adquiridas.
Grupos de deteção
As deteções personalizadas estão organizadas em Grupos de Deteção. São clusters de sementes independentes que compõem uma única execução de deteção e operam nos seus próprios agendamentos de periodicidade. Os utilizadores podem optar por organizar os respetivos Grupos de Deteção para delinear recursos da forma que melhor beneficiar a empresa e os fluxos de trabalho. As opções comuns incluem organizar por uma equipa/unidade de negócio responsável, marcas ou subsidiárias.
Criar um grupo de deteção
Selecione o painel Deteção na secção Gerir na coluna de navegação do lado esquerdo.
Esta página de Deteção mostra a sua lista de Grupos de Deteção por predefinição. Esta lista estará vazia quando aceder pela primeira vez à plataforma. Para executar a sua primeira deteção, clique em Adicionar Grupo de Deteção.
Em primeiro lugar, dê um nome ao novo grupo de deteção e adicione uma descrição. O campo Frequência Periódica permite-lhe agendar execuções de deteção para este grupo, procurando novos recursos relacionados com as sementes designadas de forma contínua. A seleção de periodicidade predefinida é Semanal; A Microsoft recomenda esta cadência para garantir que os recursos da sua organização são monitorizados e atualizados de forma rotineira. Para uma única execução de deteção única, selecione Nunca. No entanto, recomendamos que os utilizadores mantenham a cadência predefinida semanal e, em vez disso, desativem a monitorização histórica nas definições do Grupo de Deteção se, posteriormente, decidirem descontinuar as execuções de deteção recorrentes.
Selecione Seguinte: Sementes >
Em seguida, selecione as sementes que pretende utilizar para este Grupo de Deteção. As sementes são recursos conhecidos que pertencem à sua organização; a plataforma GSAE do Defender analisa estas entidades, mapeando as respetivas ligações para outra infraestrutura online para criar o Surface de Ataque.
A opção Início Rápido permite-lhe procurar a sua organização numa lista de Superfícies de Ataque pré-preenchidas. Pode criar rapidamente um Grupo de Deteção com base nos recursos conhecidos que pertencem à sua organização.
Em alternativa, os utilizadores podem introduzir manualmente as suas sementes. GSAE do Defender aceita domínios, blocos IP, anfitriões, contactos de e-mail, ASNs e organizações WhoIs como valores de seed. Também pode especificar entidades a excluir da deteção de recursos para garantir que não são adicionadas ao inventário se forem detetadas. Por exemplo, isto é útil para organizações que têm subsidiárias que provavelmente estarão ligadas à respetiva infraestrutura central, mas que não pertencem à sua organização.
Depois de selecionar as sementes, selecione Rever + Criar.
Reveja as informações do grupo e a lista de sementes e, em seguida, selecione Criar & Executar.
Em seguida, é reenpachido para a página principal de Deteção que apresenta os Seus Grupos de Deteção. Assim que a execução da deteção estiver concluída, pode ver novos recursos adicionados ao Inventário Aprovado.