This is the Trace Id: 602dc1838e6696a3989f09d259edc077
Pular para o conteúdo principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Confira todos os produtos Segurança cibernética da plataforma AI Segurança da nuvem Segurança e governança de dados Identidade e acesso à rede Gerenciamento de riscos e privacidade Segurança para IA Pequenas e médias empresas Operações de segurança integradas Confiança Zero Preços Serviços Parceiros Por que a Segurança da Microsoft? Conscientização sobre segurança cibernética Histórias de clientes Introdução à segurança Avaliações de produtos Reconhecimento do setor Microsoft Security Insider Relatório de Defesa Digital da Microsoft Security Response Center Blog de Segurança da Microsoft Eventos de Segurança da Microsoft Tech Community da Microsoft Documentação Biblioteca de conteúdo técnico Treinamentos e certificações Programa de Conformidade para a Microsoft Cloud Central de Confiabilidade da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de soluções empresariais Entre em contato com o departamento de vendas Inicie uma avaliação gratuita Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 IA da Microsoft Espaço do Azure Realidade misturada Microsoft HoloLens Microsoft Viva Computação quântica Sustentabilidade Educação Automotivo Serviços financeiros Governo Saúde Manufatura Varejo Encontrar um parceiro Seja um parceiro Partner Network Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro do desenvolvedor Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
pessoa interagindo com uma tela sensível ao toque grande

O que é resposta a incidentes?

Explore como a resposta a incidentes efetiva ajuda as organizações a detectar, abordar e impedir ataques cibernéticos.
Saiba mais sobre o Microsoft Sentinel

Resposta a incidentes definida

Antes de definir resposta a incidentes, é importante deixar claro o que é um incidente. Em TI, há três termos que às vezes são usados como sinônimos, mas significam coisas diferentes:
 

  1. Um evento é uma ação inofensiva que acontece com frequência, como criar um arquivo, excluir uma pasta ou abrir um email. Sozinho, um evento normalmente não indica uma violação, mas, quando combinado com outros eventos, pode sinalizar uma ameaça. 
  2. Um alerta é uma notificação disparada por um evento, que pode ou não ser uma ameaça.
  3. Um incidente é um grupo de alertas correlacionados que pessoas ou ferramentas de automação consideraram provavelmente uma ameaça genuína. Individualmente, cada alerta pode não parecer uma ameaça importante, mas, quando combinados, eles indicam uma possível violação.

A resposta a incidentes são as ações que uma organização realiza quando acredita que sistemas de TI ou dados podem ter sido violados. Por exemplo, profissionais de segurança agirão se virem evidências de um usuário não autorizado, malware ou falha das medidas de segurança.

Os objetivos da resposta são eliminar um ataque cibernético o mais rápido possível, recuperar, notificar clientes ou órgãos governamentais, conforme exigido pelas leis regionais, e aprender como reduzir o risco de uma violação semelhante no futuro.

Como funciona a resposta a incidentes?

A resposta a incidentes normalmente começa quando a equipe de segurança recebe um alerta confiável de um sistema de gerenciamento de eventos e informações de segurança (SIEM).

Os membros da equipe precisam verificar se o evento se qualifica como um incidente e, em seguida, isolar os sistemas infectados e remover a ameaça. Se o incidente for grave ou levar muito tempo para ser resolvido, talvez a organização precise restaurar os dados de backup, lidar com um resgate ou notificar clientes de que seus dados foram comprometidos.

Por esse motivo, outras pessoas além da equipe de cibersegurança normalmente participam da resposta. Especialistas em privacidade, advogados e pessoas responsáveis por decisões de negócios ajudarão a determinar a abordagem da organização para um incidente e suas consequências.

Tipos de incidentes de segurança

Há várias maneiras pelas quais os atacantes tentam acessar os dados de uma empresa ou comprometer seus sistemas e operações de negócios. Aqui estão algumas das mais comuns:

Phishing

Phishing é um tipo de engenharia social em que um invasor usa email, mensagem de texto ou uma chamada telefônica para se passar por uma marca ou pessoa confiável. Um ataque de phishing típico tenta persuadir os destinatários a baixar malware ou fornecer a senha. Esses ataques exploram a confiança das pessoas e implantam técnicas psicológicas para fazer as pessoas agirem, como medo. Muitos desses ataques não são direcionados, atingindo milhares de pessoas na esperança de que apenas uma responda. No entanto, uma versão mais sofisticada chamada spear phishing usa investigação deep para criar uma mensagem com a intenção de ser persuasiva para uma única pessoa.

Malware

Malware refere-se a qualquer software criado para causar danos a um sistema de computador ou exfiltrar dados. Ele vem em várias formas diferentes, incluindo vírus, ransomware, spyware e cavalos de troia. Pessoas mal-intencionadas instalam malware aproveitando vulnerabilidades de hardware e software ou convencendo um funcionário a fazer isso usando uma técnica de engenharia social.

Ransomware

Em um ataque de ransomware, pessoas mal-intencionadas usam malware para criptografar dados e sistemas críticos e depois ameaçam tornar os dados públicos ou destruí-los se a vítima não pagar um resgate.

Negação de serviço

Em um ataque de negação de serviço (ataque DDoS), um ator da ameaça sobrecarrega uma rede ou sistema com tráfego até que ele fique lento ou pare de funcionar. Normalmente, os invasores têm como alvo empresas de alto perfil, como bancos ou governos, com o objetivo de fazê-las perder tempo e dinheiro. Mas organizações de todos os portes podem ser vítimas desse tipo de ataque.

Man in the middle

Outro método que cibercriminosos usam para roubar dados pessoais é se colocar no meio de uma conversa online entre pessoas que acreditam estar se comunicando em particular. Ao interceptar mensagens e copiá-las ou alterá-las antes de enviá-las ao destinatário pretendido, eles tentam manipular um dos participantes para que forneça dados valiosos.

Ameaça interna

Embora a maioria dos ataques seja conduzida por pessoas de fora de uma organização, as equipes de segurança também precisam ficar atentas a ameaças internas. Funcionários e outras pessoas que têm acesso legítimo a recursos restritos podem, sem querer ou, em alguns casos, intencionalmente, vazar dados confidenciais.

Acesso não autorizado

Muitas violações de segurança começam com credenciais de conta roubadas. Se pessoas mal-intencionadas obtêm senhas por meio de uma campanha de phishing ou adivinhando uma senha comum, depois que conseguem acesso a um sistema, poderão instalar malware, fazer reconhecimento de rede ou escalonar seus privilégios para permitir acesso a sistemas e dados mais confidenciais.

O que é um plano de resposta a incidentes?

Responder a um incidente exige que uma equipe trabalhe em conjunto de forma eficiente e eficaz para eliminar a ameaça e atender aos requisitos regulatórios. Nessas situações de alto estresse, é fácil ficar confuso e cometer erros. Por isso que muitas empresas desenvolvem um plano de resposta a incidentes. O plano define funções e responsabilidades e inclui as etapas necessárias para resolver, documentar e comunicar corretamente um incidente.

Importância de um plano de resposta a incidentes

Um ataque significativo não causa apenas danos às operações de uma organização; ele também afeta a reputação dos negócios entre clientes e a comunidade, e pode ter implicações legais também. Tudo influencia o custo geral, incluindo a rapidez com que a equipe de segurança responde ao ataque e como os executivos se comunicam sobre o incidente.

As empresas que escondem danos de clientes e governos ou que não levam uma ameaça a sério o suficiente podem entrar em conflito com os regulamentos. Esses tipos de erros são mais comuns quando os participantes não têm um plano. No calor do momento, há um risco de que as pessoas tomem decisões precipitadas movidas por medo, o que acaba prejudicando a organização.

Um plano bem elaborado permite que as pessoas saibam o que devem fazer em cada fase de um ataque, para que não precisem descobrir na hora. E, após a recuperação, se houver perguntas do público, a organização poderá mostrar exatamente como respondeu e dar aos clientes a tranquilidade de que tratou o incidente com seriedade e implementou as etapas necessárias para evitar um resultado pior.

Etapas da resposta a incidentes

Há mais de uma maneira de abordar a resposta a incidentes, e muitas organizações contam com uma organização de padrões de segurança para orientar sua abordagem. SysAdmin Audit Network Security (SANS) é uma organização privada que oferece uma estrutura de resposta em seis etapas, descrita abaixo. Muitas organizações também adotam a estrutura de recuperação de incidentes do Instituto Nacional de Padrões e Tecnologia (NIST).
 
  • Preparação - Antes que um incidente ocorra, é importante reduzir vulnerabilidades e definir políticas e procedimentos de segurança. Na fase de preparação, as organizações realizam uma avaliação de risco para determinar onde há fragilidades e priorizam os ativos. Esta fase inclui escrever e refinar procedimentos de segurança, definir funções e responsabilidades e atualizar sistemas para reduzir riscos. A maioria das organizações revisita regularmente essa etapa e faz melhorias em políticas, procedimentos e sistemas à medida que aprende lições ou as tecnologias mudam.
  • Identificação de ameaças - Em qualquer dia, uma equipe de segurança pode receber milhares de alertas que indicam atividade suspeita. Alguns deles são falsos positivos ou podem não atingir o nível de um incidente. Depois que um incidente é identificado, a equipe investiga a natureza da violação e documenta as descobertas, incluindo a origem da violação, o tipo de ataque e os objetivos do invasor. Nesta etapa, a equipe também precisa informar os stakeholders e comunicar as próximas etapas.
  • Contenção da ameaça - Conter uma ameaça o mais rápido possível é a próxima prioridade. Quanto mais tempo os invasores tiverem acesso, maior será o dano que poderão causar. A equipe de segurança trabalha para isolar rapidamente aplicativos ou sistemas sob ataque do resto das redes. Isso ajuda a impedir que os invasores acessem outras partes dos negócios.
  • Eliminação da ameaça - Quando a contenção estiver concluída, a equipe removerá o invasor e qualquer malware dos sistemas e recursos afetados. Isso pode envolver colocar sistemas offline. A equipe também continua mantendo os stakeholders informados sobre o progresso.
  • Recuperação e restauração - A recuperação de um incidente pode levar várias horas. Quando a ameaça desaparecer, a equipe restaurará os sistemas, recuperará os dados do backup e monitorará as áreas afetadas para garantir que o invasor não retorne.
  • Feedback e refinamento - Quando o incidente é resolvido, a equipe analisa o que aconteceu e identifica melhorias que podem ser feitas no processo. Aprender com esta fase ajuda a equipe a aprimorar as defesas da organização.

O que é uma equipe de resposta a incidentes?

Uma equipe de resposta a incidentes, também chamada de equipe de resposta a incidentes de segurança do computador (CSIRT), equipe de resposta a incidentes cibernéticos (CIRT) ou equipe de resposta a emergências de computador (CERT), inclui um grupo multifuncional de pessoas na organização responsáveis por executar o plano de resposta a incidentes. Isso inclui não apenas as pessoas que removem a ameaça, mas também aquelas que tomam decisões comerciais ou legais relacionadas a um incidente. Uma equipe típica inclui os seguintes membros:
 
  • Um gerente de resposta a incidentes, geralmente o diretor de TI, supervisiona todas as fases da resposta e mantém as partes interessadas internas informadas. 
     
  • Analistas de segurança pesquisam o incidente para tentar entender o que está acontecendo. Eles também documentam suas descobertas e coletam evidências forenses.
     
  • Os pesquisadores de ameaças procuram coletar fora da organização informações que forneçam contexto adicional. 
     
  • Alguém da administração, como um responsável pela segurança da informação ou um diretor de informações, fornece orientação e serve como um elo de ligação com outros executivos.
     
  • Especialistas em recursos humanos ajudam a gerenciar ameaças internas.
     
  • O conselho geral ajuda a equipe a lidar com questões de responsabilidade e garante que as evidências forenses sejam coletadas.
     
  • Especialistas em relações públicas coordenam a comunicação externa precisa com a mídia, os clientes e outros stakeholders.
Uma equipe de resposta a incidentes pode ser um subconjunto de um centro de operações de segurança (SOC), que lida com operações de segurança além da resposta a incidentes.



Automação da resposta a incidentes

Na maioria das organizações, as redes e soluções de segurança geram muito mais alertas de segurança do que a equipe de resposta a incidentes consegue gerenciar de forma realista. Para ajudar a focar em ameaças legítimas, muitas empresas implementam uma automação de resposta a incidentes. A automação usa IA e aprendizado de máquina para fazer a triagem de alertas, identificar incidentes e eliminar ameaças executando um playbook de resposta com base em scripts programáticos.

Orquestração, automação e resposta de segurança (SOAR) é uma categoria de ferramentas de segurança que as empresas usam para automatizar a resposta a incidentes. Essas soluções oferecem os seguintes recursos:
 
  • Correlacione dados em vários pontos de extremidade e soluções de segurança para identificar incidentes para os humanos acompanharem.
     
  • Execute um guia estratégico pré-programado para isolar e abordar tipos de incidentes conhecidos.
     
  • Gere uma linha do tempo investigativa que inclua ações, decisões e evidências forenses que podem ser usadas para análise.
     
  • Traga inteligência externa relevante para análise humana.



Como implementar um plano de resposta a incidentes

Desenvolver um plano de resposta a incidentes pode parecer intimidador, mas pode reduzir significativamente o risco de sua empresa não estar preparada durante um incidente grave. Veja como começar:

Identificar e priorizar ativos

A primeira etapa de um plano de resposta a incidentes é saber o que você está protegendo. Documente os dados críticos da sua organização, incluindo onde eles estão armazenados e seu nível de importância para os negócios.

Determinar riscos potenciais

Cada organização tem riscos diferentes. Familiarize-se com as maiores vulnerabilidades da sua organização e avalie as formas como um invasor poderia explorá-las. 

Desenvolver procedimentos de resposta

Durante um incidente estressante, procedimentos claros farão muita diferença para garantir que o incidente seja tratado com rapidez e eficiência. Comece definindo o que se qualifica como um incidente e, então, determine as etapas que sua equipe deve seguir para detectar, isolar e recuperar-se do incidente, incluindo procedimentos para documentar decisões e coletar evidências.

Criar uma equipe de resposta a incidentes

Crie uma equipe multifuncional responsável por entender os procedimentos de resposta e se mobilizar caso haja um incidente. Defina claramente as funções e crie funções não técnicas que podem ajudar a tomar decisões relacionadas à comunicação e responsabilidade. Inclua alguém da equipe executiva que defenda a equipe e suas necessidades nos mais altos níveis da empresa. 

Definir seu plano de comunicação

Um plano de comunicação elimina as suposições sobre quando e como informar outras pessoas dentro e fora da organização sobre o que está acontecendo. Considere vários cenários para ajudar você a determinar em quais circunstâncias é necessário informar executivos, toda a organização, clientes e a mídia ou outros stakeholders externas.

Treinar funcionários

Agentes mal-intencionados têm como alvo funcionários de todos os níveis da organização, por isso é tão importante que todas as pessoas entendam seu plano de resposta e saibam o que fazer se suspeitarem que foram vítimas de um ataque. Periodicamente, teste seus funcionários para confirmar se eles conseguem reconhecer emails de phishing e facilite para que notifiquem a equipe de resposta a incidentes caso cliquem acidentalmente em um link mal-intencionado ou abram um anexo infectado.

Soluções de resposta a incidentes

Estar preparado para um incidente grave é uma parte importante para manter sua organização protegida contra ameaças. A criação de uma equipe de resposta a incidentes interna dará a confiança de que você estará pronto se for vítima de um agente mal intencionado.

Aproveite as soluções SIEM e SOAR, como o Microsoft Sentinel, que usam automação para ajudar a identificar e responder automaticamente a incidentes. Organizações com menos recursos podem aumentar suas equipes com um provedor de serviços que pode lidar com várias fases de resposta a incidentes. Mas, independentemente de a equipe de resposta a incidentes ser interna ou externa, garanta que você tenha um plano.



Pessoa trabalhando em um laptop com monitores exibindo código

Proteção contra Ameaças da Microsoft

Identifique incidentes em toda a sua organização e responda a eles com o que há de mais recente em proteção contra ameaças.
Explorar
Duas pessoas usando computadores em um escritório

Resposta a Incidentes da Microsoft

Obtenha ajuda antes, durante e após um incidente cibernético com serviços de resposta a incidentes proativos e reativos de ponta a ponta.
Explorar
smartphone ao lado de laptop sobre a mesa

Microsoft Sentinel

Unifique os dados e o contexto de segurança para potencializar a defesa baseada em agentes com a plataforma SIEM & centrada em IA.
Explorar
duas pessoas revisando dados em um laptop sobre uma mesa.

Microsoft Defender XDR

Interrompa ataques em pontos de extremidade, email, identidades, aplicativos e dados.
Explorar
Voltar à seção Produtos relacionados
Perguntas frequentes

Perguntas frequentes

  • A resposta a incidentes é o conjunto de atividades que uma organização realiza quando suspeita de uma violação de segurança. O objetivo é isolar e remover os invasores o mais rápido possível, cumprir as normas de privacidade de dados e se recuperar com segurança, causando o mínimo possível de danos à organização.
  • Uma equipe multifuncional é responsável pela resposta a incidentes. O departamento de TI normalmente será responsável por identificar, isolar e se recuperar de ameaças. No entanto, há mais na resposta a incidentes do que apenas localizar e se livrar de agentes mal intencionados. Dependendo do tipo de ataque, alguém precisar tomar uma decisão comercial, como lidar com um resgate. Profissionais de aconselhamento jurídico e relações públicas ajudam a garantir que a organização cumpra as leis de privacidade de dados, incluindo notificação apropriada de clientes e governos. Se a ameaça for cometida por um funcionário, o departamento de Recursos Humanos orientará sobre a ação apropriada.
  • CSIRT é outro nome para uma equipe de resposta a incidentes. Ela inclui uma equipe multifuncional de pessoas responsáveis por gerenciar todos os aspectos da resposta a incidentes, incluindo detectar, isolar e eliminar a ameaça, recuperação, comunicação interna e externa, documentação e análise forense.
  • A maioria das organizações usa uma solução SIEM ou uma solução SOAR para ajudá-las a identificar e responder a ameaças. Essas soluções normalmente agregam dados de vários sistemas e usam aprendizado de máquina para ajudar a identificar ameaças reais. Elas também podem automatizar a resposta para determinados tipos de ameaça com base em guias estratégicos pré-escritos.
  • O ciclo de vida da resposta a incidentes inclui seis etapas:
     
    1. A preparação ocorre antes que um incidente seja identificado e inclui uma definição do que a organização considera um incidente e todas as políticas e procedimentos necessários para prevenir, detectar, eliminar e se recuperar de um ataque.
    2. A identificação de ameaças é um processo que usa analistas humanos e automação para identificar quais eventos são ameaças reais que precisam ser abordadas.
    3. Contenção de ameaças são as ações que a equipe realiza para isolar a ameaça e impedir que ela afete outras áreas do negócio. 
    4. A eliminação de ameaças inclui etapas para remover malware e invasores de uma organização.
    5. Recuperação e restauração incluem a reinicialização de sistemas e máquinas e a restauração de todos os dados perdidos. 
    6. Comentários e refinamento é o processo que a equipe usa para identificar lições do incidente e aplicar esses aprendizados a políticas e procedimentos. 

Siga a Segurança da Microsoft

Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar os produtos da Microsoft Aplicativos do Windows 11 Perfil da conta Centro de Download Suporte da Microsoft Store Devoluções Acompanhamento de pedidos Microsoft Education Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Education Office Education Treinamento e desenvolvimento de educadores Ofertas para estudantes e pais Azure para estudantes
IA da Microsoft Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desenvolvedor Microsoft Microsoft Learn Suporte para aplicativos de marketplace de IA Comunidade Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Carreiras Sobre a Microsoft Notícias da empresa Privacidade na Microsoft Investidores Diversidade e inclusão Acessibilidade
Português (Brasil) Privacidade dos Dados de Saúde do Consumidor Entre em contato com a Microsoft Privacidade Gerenciar cookies Ética e Compliance Nota Legal Marcas Sobre os nossos anúncios

Microsoft do Brasil Importação e Comércio de Software e Vídeo Games Ltda., com sede na cidade de São Paulo, Estado de São Paulo, na Avenida Presidente Juscelino Kubitschek, nº 1.909, conjunto 181, localizado no 18º andar da Torre Sul SP Corporate Towers, Vila Nova Conceição, CEP 04543-907, inscrita no CNPJ sob o nº 04.712.500/0001-07.