Trace Id is missing
Pular para o conteúdo principal
Segurança da Microsoft

O que é a busca de ameaças cibernéticas?

A busca de ameaças cibernéticas é o processo de pesquisar proativamente ameaças desconhecidas ou não detectadas na rede, nos pontos de extremidade e nos dados de uma organização.

Como funciona a busca de ameaças cibernéticas

A busca de ameaças cibernéticas utiliza exploradores de ameaças para pesquisar preventivamente possíveis ameaças e ataques dentro de um sistema ou rede. Isso permite respostas ágeis e eficientes a ataques cibernéticos cada vez mais complexos e operados por humanos. Embora os métodos tradicionais de segurança cibernética identifiquem violações de segurança que de fato ocorreram, a busca por ameaças cibernéticas opera sob a suposição de que ocorreu uma violação e pode identificar, adaptar e responder a possíveis ameaças imediatamente após a detecção.

Invasores sofisticados podem violar uma organização e permanecerem não detectados por longos períodos de tempo – dias, semanas ou até mais. Adicionar a busca de ameaças cibernéticas ao seu perfil existente de ferramentas de segurança, como a EDR (detecção e resposta de ponto de extremidade) e o SIEM (gerenciamento de eventos e informações de segurança), pode ajudá-lo a evitar e corrigir ataques que, de outra forma, podem não ser detectados pelas ferramentas de segurança automatizadas.

Busca automatizada de ameaças

Os exploradores de ameaças cibernéticas podem automatizar determinados aspectos do processo usando aprendizado de máquina, automação e IA. Aproveitar soluções como o SIEM e a EDR pode ajudar a simplificar os procedimentos de busca de ameaças monitorando, detectando e respondendo a possíveis ameaças. Os exploradores de ameaças podem criar e automatizar diferentes guias estratégicos para responder a diferentes ameaças, facilitando assim a carga de trabalho das equipes de TI sempre que ocorrerem ataques semelhantes.

Ferramentas e técnicas para a busca de ameaças cibernéticas

Os exploradores de ameaças têm várias ferramentas à sua disposição, incluindo soluções como o SIEM e a XDR, que foram projetadas para trabalhar em conjunto.

  • SIEM: Uma solução que coleta dados de várias fontes com análise em tempo real, o SIEM pode fornecer aos exploradores de ameaças pistas sobre possíveis ameaças.
  • XDR (detecção e resposta estendida): Os exploradores de ameaças podem usar a XDR, que fornece inteligência contra ameaças e interrupção automatizada de ataques, para obter maior visibilidade das ameaças.
  • EDR: A EDR, que monitora os dispositivos do usuário final, também fornece aos exploradores de ameaças uma ferramenta poderosa, fornecendo insights sobre possíveis ameaças em todos os pontos de extremidade de uma organização.

Três tipos de busca de ameaças cibernéticas

A busca de ameaças cibernéticas normalmente assume uma das três formas a seguir:

Estruturada: Em uma busca estruturada, os exploradores de ameaças pesquisam táticas, técnicas e procedimentos suspeitos (TTPs) que sugerem possíveis ameaças. Em vez de abordar os dados ou o sistema e procurar invasores, o explorador de ameaças cria uma hipótese sobre o método de um invasor em potencial e, metodicamente, trabalha para identificar os sintomas desse ataque. Como a busca estruturada é uma abordagem mais proativa, os profissionais de TI que empregam essa tática geralmente podem interceptar ou parar invasores rapidamente.

Não estruturado: Em uma busca não estruturada, o explorador de ameaças cibernéticas procura um indicador de comprometimento (IC) e realiza a pesquisa a partir desse ponto de partida. Como o explorador de ameaças pode voltar e pesquisar padrões e pistas nos dados históricos, às vezes, as buscas não estruturadas podem identificar ameaças não detectadas anteriormente que ainda podem colocar a organização em risco.

Situacional: A busca de ameaças situacional prioriza recursos ou dados específicos dentro do ecossistema digital. Se uma organização avaliar que determinados funcionários ou ativos são os maiores riscos, ela poderá direcionar os exploradores de ameaças cibernéticas para concentrar seus esforços neles ou impedir ou corrigir ataques contra essas pessoas, conjuntos de dados ou pontos de extremidade vulneráveis.

Etapas e implementação da busca de ameaças

Os exploradores de ameaças cibernéticas geralmente seguem estas etapas básicas ao investigar e corrigir as ameaças e os ataques:

  1. Criar uma teoria ou hipótese sobre uma possível ameaça. Os invasores podem começar identificando as TTPs comuns de um invasor.
  2. Realizar pesquisas. Os exploradores de ameaças investigam os dados, os sistemas e as atividades da organização — uma solução SIEM pode ser uma ferramenta útil — e coletam e processam as informações relevantes.
  3. Identificar o gatilho. As descobertas de pesquisa e outras ferramentas de segurança podem ajudar os exploradores de ameaças a distinguir um ponto de partida para sua investigação.
  4. Investigar a ameaça. Os exploradores de ameaças usam suas ferramentas de pesquisa e segurança para determinar se a ameaça é mal-intencionada.
  5. Responder e corrigir. Os exploradores de ameaças tomarão medidas para resolver a ameaça.

Tipos de ameaças que os exploradores de ameaças podem detectar

A busca de ameaças cibernéticas tem a capacidade de identificar uma ampla variedade de ameaças diferentes, incluindo as seguintes:

  • Malware e vírus: O malware impede o uso de dispositivos normais obtendo acesso não autorizado a dispositivos de ponto de extremidade. Ataques de phishing, spyware, adware, cavalos de troia, worms e Ransomware">

Melhores práticas da busca de ameaças cibernéticas

Ao implementar um protocolo de busca de ameaças cibernéticas em sua organização, as melhores práticas a serem consideradas são as seguintes:

  • Dar visibilidade total aos exploradores de ameaças em sua organização. Os exploradores de ameaças são mais bem-sucedidos quando entendem o panorama geral.
  • Manter ferramentas de segurança complementares como o SIEM, a XDR e a EDR. Os exploradores de ameaças cibernéticas contam com as automações e os dados fornecidos por essas ferramentas para identificar ameaças mais rapidamente e com um contexto maior para uma resolução mais rápida.
  • Manter-se informado sobre as últimas ameaças e táticas emergentes. Os invasores e suas táticas estão em constante evolução— verifique se os exploradores de ameaças têm os recursos mais atualizados sobre as tendências atuais.
  • Treinar os funcionários para identificar e relatar comportamentos suspeitos. Reduza a possibilidade de ameaças internas mantendo seu pessoal informado.
  • Implementar o gerenciamento de vulnerabilidades para reduzir a exposição geral de riscos da sua organização.

Por que a busca de ameaças é importante para as organizações

À medida que atores mal-intencionados se tornam cada vez mais sofisticados em seus métodos de ataque, é essencial que as organizações invistam na busca proativa de ameaças cibernéticas. Complementar às formas mais passivas de proteção contra ameaças, a busca por ameaças cibernéticas fecha lacunas de segurança, permitindo que as organizações corrijam ameaças que, de outra forma, não seriam detectadas. A intensidade das ameaças de invasores complexos significa que as organizações devem reforçar suas defesas para manter a confiança em sua capacidade de lidar com dados confidenciais e reduzir os custos associados a violações de segurança.

Produtos como o Microsoft Sentinel ">

Saiba mais sobre a Segurança da Microsoft

Microsoft Sentinel

Encontre e impeça ameaças em toda a organização com análises de segurança inteligentes.

Saiba mais

Especialistas do Microsoft Defender para Busca

Estenda a busca proativa de ameaças além do ponto de extremidade.

Saiba mais

Informações sobre Ameaças do Microsoft Defender

Ajude a proteger sua organização contra adversários e ameaças modernas, como ransomware.

Saiba mais

SIEM e XDR

Detecte, investigue e responda a ameaças em todo o seu acervo digital.

Saiba mais

Perguntas frequentes

  • Um exemplo de busca de ameaças cibernéticas é uma busca baseada em hipótese na qual o explorador de ameaças identifica as táticas, as técnicas e os procedimentos suspeitos que um invasor pode usar e, em seguida, procura evidências deles na rede de uma organização.

  • A detecção de ameaças é uma abordagem ativa, geralmente automatizada, de segurança cibernética, enquanto a busca de ameaças é uma abordagem proativa e não automatizada.

  • Um SOC (centro de operações de segurança) é uma função ou equipe centralizada, local ou terceirizada, responsável por melhorar a postura de segurança cibernética de uma organização e impedir, detectar e responder a ameaças. A busca de ameaças cibernéticas é uma das táticas que os SOCs usam para identificar e corrigir ameaças.

  • As ferramentas de busca de ameaças cibernéticas são recursos de software disponíveis para as equipes de TI e os exploradores de ameaças para ajudar a detectar e corrigir ameaças. Exemplos de ferramentas de busca de ameaças incluem itens como proteções de antivírus e firewall, software EDR, ferramentas de SIEM e análise de dados.

  • A principal finalidade da busca de ameaças cibernéticas é detectar e corrigir proativamente ameaças e ataques sofisticados antes que eles causem danos à organização.

  • A inteligência contra ameaças cibernéticas consiste nas informações e nos dados que o software de segurança cibernética coleta, geralmente automaticamente, como parte de seus protocolos de segurança para proteger melhor contra ataques cibernéticos. A busca de ameaças envolve obter informações coletadas da inteligência contra ameaças e usá-las para informar hipóteses e ações para pesquisar e corrigir ameaças.

Siga a Segurança da Microsoft