Trace Id is missing
Avançar para o conteúdo principal
Microsoft Security

O que é a deteção e resposta a ameaças (TDR)?

Saiba como proteger os recursos da sua organização identificando e mitigando proativamente riscos de cibersegurança com a deteção e resposta a ameaças.

Descubra o plano da solução XDR da Microsoft

Definição de deteção e resposta a ameaças (TDR)

A deteção e resposta a ameaças é um processo de cibersegurança para identificar ameaças cibernéticas aos recursos digitais de uma organização e tomar medidas para os mitigar o mais rapidamente possível.

Como funciona a deteção e resposta a ameaças?

Para abordarem ciberameaças e outros problemas de segurança, muitas organizações configuram um centro de operações de segurança (SOC), que é uma função ou equipa centralizada responsável por melhorar a postura de cibersegurança de uma organização e prevenir, detetar e responder a ameaças. Além de monitorizar e responder a ciberataques contínuos, um SOC também faz um trabalho proativo para identificar ciberameaças emergentes e vulnerabilidades organizacionais. A maioria das equipas de SOC, que podem ser externas ou internas, operam 24 horas por dia, sete dias por semana.

O SOC utiliza informações sobre ameaças e tecnologia para descobrir tentativas de falhas, falhas levadas a cabo ou em curso. Assim que for identificada uma ciberameaça, a equipa de segurança irá utilizar ferramentas de deteção e resposta a ameaças para eliminar ou mitigar o problema.

Normalmente, a deteção e resposta a ameaças inclui as seguintes fases:

  • Deteção. As ferramentas de segurança que monitorizam pontos finais, identidades, redes, aplicações e clouds contribuem para a existência de riscos e potenciais falhas de segurança. Os profissionais de segurança também utilizam técnicas de investigação cibernética para descobrir ciberameaças sofisticadas que contornam a deteção.
  • Investigação. Assim que um risco é identificado, o SOC utiliza IA e outras ferramentas para confirmar que a ciberameaça é real, determinar como aconteceu e avaliar que recursos da empresa são afetados.
  • Contenção. Para impedirem a propagação de um ciberataque, as equipas de cibersegurança e as ferramentas automatizadas isolam os dispositivos, identidades e redes infetados dos restantes recursos da organização.
  • Erradicação. As equipas eliminam a causa principal de um incidente de segurança com o objetivo de expulsar completamente o ator malicioso do ambiente. Também mitigam vulnerabilidades que possam colocar a organização em risco de um ciberataque semelhante.
  • Recuperação. Depois de as equipas estarem razoavelmente confiantes da remoção de uma ciberameaça ou vulnerabilidade, colocam todos os sistemas isolados novamente online.
  • Comunicação. Dependendo da gravidade do incidente, as equipas de segurança irão documentar e informar os líderes, os executivos e/ou administradores sobre o que aconteceu e como foi resolvido.
  • Mitigação de riscos. Para impedirem que uma falha semelhante aconteça novamente e melhorarem respostas futuras, as equipas irão estudar o incidente e identificar as alterações a fazer ao ambiente e aos processos.

O que é a deteção de ameaças?

A identificação de ciberameaças tornou-se cada vez mais difícil, uma vez que as organizações expandiram a sua pegada na cloud, ligaram mais dispositivos à Internet e transitaram para uma área de trabalho híbrida. Os atores maliciosos aproveitam esta área de superfície alargada e a fragmentação nas ferramentas de segurança com os seguintes tipos de táticas:

  • Campanhas de phishing. Uma das formas mais comuns de os atores maliciosos infiltrarem uma empresa é ao enviarem e-mails que uma empresa é ao enviar e-mails enganadores que levam os funcionários a transferir código malicioso ou a fornecer as suas credenciais.
  • Malware. Muitos ciberataques implementam software concebido para danificar computadores e sistemas ou recolher informações confidenciais.
  • Ransomware. Sendo um tipo de malware, os atacantes de ransomware fazem de sistemas e dados críticos reféns, ameaçando divulgar dados privados ou roubar recursos na cloud para minerar bitcoin até que seja paga um resgate. Recentemente, o ransomware operado por humanos, no qual um grupo de ciberatacantes ganha acesso a toda a rede de uma organização, é um problema cada vez maior para as equipas de segurança.
  • Ataques denial-of-service (DDoS) distribuído. Ao utilizar uma série de bots, os atores maliciosos perturbam um site ou serviço ao inundá-lo com tráfego.
  • Ameaça interna. Nem todos os ciberataques vêm de fora de uma organização. Também existe o risco de pessoas de confiança com acesso a dados confidenciais poderem prejudicar inadvertida ou maliciosamente a organização.
  • Ataques baseados em identidade. A maioria das falhas envolve o comprometimento de identidades, ou seja, quando os ciberatacantes roubam ou adivinham credenciais de utilizador e as utilizam para obter acesso aos sistemas e dados de uma organização.
  • Ataques de Internet das Coisas (IoT). Os dispositivos IoT também são vulneráveis a ciberataques, especialmente os dispositivos legados que não possuem os mesmos controlos de segurança integrados que os dispositivos modernos.
  • Ataques à cadeia de fornecimento. Por vezes, um ator malicioso visa uma organização ao adulterar software ou hardware fornecido por um fornecedor terceiro.
  • Injeção de código. Ao explorar vulnerabilidades na forma como o código de origem lida com dados externos, os cibercriminosos injetam código malicioso numa aplicação.

Deteção de ameaças
Para anteciparem o aumento dos ataques de cibersegurança, as organizações utilizam a modelação de ameaças para definir requisitos de segurança, identificar vulnerabilidades e riscos e priorizar a remediação. Com cenários hipotéticos, o SOC tenta entrar na mente dos cibercriminosos para poder melhorar a capacidade da organização de prevenir ou mitigar incidentes de segurança. A estrutura MITRE ATT&CK® é um modelo útil para compreender técnicas e táticas de ciberataque comuns.

A defesa multicamada requer ferramentas que forneçam monitorização contínua em tempo real do ambiente e de potenciais problemas de segurança. As soluções também têm de se sobrepor, para que, se um método de deteção for comprometido, um segundo detete o problema e notifique a equipa de segurança. As soluções de deteção de ciberataques utilizam vários métodos para identificar ameaças, incluindo:

  • Deteção baseada em assinatura. Muitas soluções de segurança analisam software e tráfego para identificar assinaturas exclusivas associadas a um tipo específico de malware.
  • Deteção baseada no comportamento. Para ajudar a capturar ameaças cibernéticas novas e emergentes, as soluções de segurança também procuram ações e comportamentos comuns em ciberataques.
  • Deteção baseada em anomalias. A IA e a análise ajudam as equipas a compreender os comportamentos típicos dos utilizadores, dispositivos e software, para que possam identificar algo invulgar que possa indicar uma ciberameaça.

Embora o software seja crítico, as pessoas desempenham um papel igualmente importante na deteção de ciberataques. Para além de triarem e investigarem alertas gerados pelo sistema, os analistas utilizam técnicas de investigação de ciberameaças para procurarem proativamente indicadores de comprometimento, ou investigam táticas, técnicas e procedimentos que sugiram uma potencial ameaça. Estas abordagens ajudam o SOC a descobrir e parar rapidamente ataques sofisticados e de difícil deteção

O que é a resposta a ameaças?

Após a identificação de uma ciberameaça credível, a resposta a ameaças inclui todas as ações que o SOC toma para a conter e eliminar, recuperar e reduzir as hipóteses de um ataque semelhante ocorrer novamente. Muitas empresas desenvolvem um plano de resposta a incidentes que lhe permite orientar-se durante uma potencial falha de segurança, momento no qual a rápida tomada de ações organizadas é fundamental. Um bom plano de resposta a incidentes inclui manuais de procedimentos com documentação de orientação passo a passo para tipos específicos de ameaças, funções e responsabilidades, bem como um plano de comunicação.

Componentes da deteção e resposta a ameaças

As organizações utilizam uma variedade de ferramentas e processos para detetar e responder eficazmente a ameaças.

  • Deteção e resposta alargada

    Os produtos de deteção e resposta alargada (XDR) ajudam os SOCs a simplificar todo o ciclo de vida de prevenção, deteção e resposta a ciberameaças. Estas soluções monitorizam pontos finais, aplicações na cloud, e-mails e identidades. Se uma solução de XDR detetar uma ciberameaça, alerta as equipas de segurança e responde automaticamente a determinados incidentes com base nos critérios definidos pelo SOC.

  • Deteção e resposta a ameaças de identidade

    Uma vez que os atores maliciosos visam frequentemente os colaboradores, é importante implementar ferramentas e processos para identificar e responder a ameaças às identidades de uma organização. Normalmente, estas soluções utilizam a análise comportamental de entidades e utilizadores (UEBA) para definir o comportamento de linha de base do utilizador e descobrir anomalias que representem uma potencial ameaça.

  • Gestão de informações e eventos de segurança

    Obter visibilidade sobre todo o ambiente digital é o primeiro passo para compreender o panorama das ameaças. A maioria das equipas SOC utiliza soluções de gestão de informações e eventos de segurança (SIEM) que agregam e correlacionam dados entre pontos finais, cloud, e-mails, aplicações e identidades. Estas soluções utilizam regras de deteção e manuais de procedimentos para detetar potenciais ciberameaças ao correlacionar registos e alertas. A SIEM moderna também utilizam IA para descobrir ciberameaças de forma mais eficaz e incorpora feeds de informações sobre ameaças externas para poder identificar ciberameaças novas e emergentes.

  • Informações sobre ameaças

    Para obter uma visão abrangente do panorama das ciberameaças, os SOC utilizam ferramentas que sintetizam e analisam dados de várias origens, incluindo de pontos finais, e-mails, aplicações na cloud e origens de informações sobre ameaças externas. As informações destes dados ajudam as equipas de segurança a prepararem-se para um ciberataque, detetam ciberataques ativos, investigam incidentes de segurança contínuos e respondem eficazmente aos mesmos.

  • Deteção e resposta de pontos finais

    As soluções de resposta e deteção de pontos finais (DRP) são uma versão anterior das soluções de XDR, focada apenas em pontos finais, como computadores, servidores, dispositivos móveis e IoT. Tal como acontece com as soluções de XDR, quando é detetado um potencial ataque, estas soluções geram um alerta e, para determinados ataques bem compreendidos, respondem automaticamente. Uma vez que as soluções de DRP focam-se apenas em pontos finais, a maioria das organizações está a migrar para soluções de XDR.

  • Gestão de vulnerabilidades

    A gestão de vulnerabilidades é um processo contínuo, proativo e frequentemente automatizado que monitoriza as fragilidades de segurança de sistemas informáticos, redes e aplicações empresariais. As soluções de gestão de vulnerabilidades avaliam a gravidade e o nível de risco de vulnerabilidades e fornecem relatórios que o SOC utiliza para remediar problemas.

  • Orquestração, automatização e resposta de segurança

    As soluções de orquestração, automatização e resposta de segurança (SOAR) ajudam a simplificar a deteção de e a resposta a ciberameaças ao reunir ferramentas e dados internos e externos num único local centralizado. Também automatizam as respostas a ciberameaças com base num conjunto de regras predefinidas.

  • Deteção e resposta geridas

    Nem todas as organizações possuem recursos para detetar e responder eficazmente a ciberameaças. Os serviços de deteção e resposta geridos ajudam estas organizações a aumentar as suas equipas de segurança com as ferramentas e as pessoas necessárias para procurarem ameaças e responderem adequadamente.

Benefícios principais da deteção e resposta a ameaças

A deteção e resposta a ameaças eficaz pode ajudar as organizações a melhorarem a sua resiliência e a minimizarem o impacto das falhas de segurança de várias formas.

  • Deteção de ameaças antecipada

    Parar uma ciberameaça antes de esta se tornar uma falha total é uma forma importante de reduzir drasticamente o impacto de um incidente. Com as modernas ferramentas de deteção e resposta a ameaças e uma equipa dedicada, os SOC aumentam a probabilidade de detetarem ameaças antecipadamente, quando são mais fáceis de resolver.

  • Conformidade regulamentar

    Os países e regiões continuam a aprovar leis de privacidade rigorosas que exigem que as organizações tenham em vigor medidas robustas de segurança de dados e um processo detalhado para responderem a incidentes de segurança. As empresas que não cumprirem estas regras enfrentam grandes problemas. Um programa de deteção e resposta a ameaças ajuda as organizações a cumprirem os requisitos destas leis.

  • Tempo de permanência reduzido

    Normalmente, os ciberataques mais prejudiciais têm origem em incidentes nos quais os ciberataques passaram mais tempo despercebidos num ambiente digital. Reduzir o tempo passado despercebido, ou tempo de permanência, é fundamental para limitar os danos. Os processos de deteção e resposta a ameaças, como a investigação de ameaças, ajudam os SOC a detetá-las rapidamente e a limitar o seu impacto.

  • Visibilidade aumentada

    As ferramentas de deteção e resposta a ameaças, como a SIEM e a XDR, ajudam a dar às equipas de operações de segurança uma maior visibilidade sobre o seu ambiente, para que não só identifiquem ameaças rapidamente, como também descubram potenciais vulnerabilidades, como software desatualizado, que têm de ser resolvidas.

  • Proteção de dados confidenciais

    Para muitas organizações, os dados são um dos seus recursos mais importantes. As ferramentas e os procedimentos de resposta e deteção de ameaças certos ajudam as equipas de segurança a detetar atores maliciosos antes de estes obterem acesso a dados confidenciais, reduzindo a probabilidade de estas informações se tornarem públicas ou serem vendidas na dark Web.

  • Postura de segurança proativa

    A deteção e resposta a ameaças também destaca as ameaças emergentes e revela a forma como atores maliciosos podem obter acesso ao ambiente digital de uma empresa. Com esta informação, os SOC podem fortalecer a organização e impedir ataques futuros.

  • Poupança de custos

    Um ciberataque bem-sucedido pode ser muito dispendioso para uma organização em termos do dinheiro real gasto em resgates, taxas regulamentares ou esforços de recuperação. Também pode levar à perda de produtividade e vendas. Ao detetarem e responderem rapidamente às ameaças nas fases iniciais de um ciberataque, as organizações podem reduzir os custos de incidentes de segurança.

  • Gestão de reputação

    Uma falha de segurança de dados de grande escala pode causar grandes danos à reputação de uma empresa ou governo. As pessoas deixam de confiar em instituições que consideram que não guardam corretamente informações pessoais. A deteção e resposta a ameaças pode ajudar a reduzir a probabilidade de ocorrência de um incidente relevante e a garantir a clientes, cidadãos e outros intervenientes de que as informações pessoais estão a ser protegidas.

Melhores práticas de deteção e resposta a ameaças

As organizações que detetam e respondem a ameaças eficazmente adotam práticas que ajudam as equipas a trabalhar em conjunto e a melhorar a sua abordagem, resultando em ciberataques em menor número e menos dispendiosos.

  • Realizar formações regularmente

    Embora a equipa do SOC seja a principal responsável pela proteção de uma organização, todas as pessoas da empresa têm um papel a desempenhar. A maioria dos incidentes de segurança começa com um funcionário que cai numa campanha de phishing ou que utiliza um dispositivo não aprovado. A formação regular ajuda a força de trabalho a manter-se atenta a possíveis ameaças, para que possam notificar a sua equipa de segurança. Um bom programa de formação também garante que os profissionais de segurança se mantêm a par das mais recentes ferramentas, políticas e procedimentos de resposta a ameaças.

  • Desenvolver um plano de resposta a incidentes

    Normalmente, um incidente de segurança é um evento extremamente rápido que exige que as pessoas atuem rapidamente para não só resolverem o problema e recuperarem, mas também para fornecerem atualizações precisas a intervenientes relevantes. Um plano de resposta a incidentes remove algumas dúvidas ao definir os passos adequados de contenção, eliminação e recuperação. Também fornece orientações pertinentes para os recursos humanos, comunicações empresariais, as relações públicas, os advogados e a liderança, que precisam de garantir que os funcionários e outros intervenientes sabem o que se está a passar e que a organização está a cumprir os regulamentos relevantes.

  • Promover uma colaboração forte

    Antecipar-se a ameaças emergentes e coordenar uma resposta eficaz requer uma boa colaboração e comunicação entre os membros da equipa de segurança. As pessoas precisam de compreender como as outras pessoas da equipa avaliam ameaças, comparam notas e trabalham em conjunto sobre potenciais problemas. A colaboração também se estende a outros departamentos da empresa, que podem ajudar a detetar ou a responder a ameaças.

  • Implementar IA

    A IA para cibersegurança sintetiza dados de toda a organização, fornecendo informações que ajudam as equipas a concentrarem o seu tempo e a abordarem rapidamente incidentes. As modernas soluções de SIEM e XDR utilizam IA para correlacionar alertas individuais em incidentes, ajudando as organizações a detetar ciberameaças mais rapidamente. Algumas soluções, como o Microsoft Defender XDR, utilizam IA para interromper automaticamente ciberataques em curso. A IA generativa em soluções como o Copilot para Security, ajudam as equipas do SOC a investigarem e a responderem rapidamente a incidentes.

Soluções de deteção e resposta a ameaças

A deteção e resposta a ameaças é uma função crítica que todas as organizações podem utilizar para ajudar a encontrar e abordar ameaças cibernéticas antes que causem danos. A Microsoft Security oferece várias soluções de proteção contra ameaças para ajudar as equipas de segurança a monitorizar, detetar e responder a ciberameaças. Para organizações com recursos limitados, os Especialistas do Microsoft Defender disponibilizam serviços geridos para aumentar o pessoal e as ferramentas existentes.

Saiba mais sobre o Microsoft Security

Plataforma de operações de segurança unificada

Proteja todo o seu património digital com uma experiência unificada de deteção, investigação e resposta.

Saber mais

Microsoft Defender XDR

Acelere a sua resposta com visibilidade ao nível do incidente e interrupção automática de ataques.

Saiba mais

Microsoft Sentinel

Visualize e impeça ciberameaças em toda a sua empresa com a análise de segurança inteligente.

Saber mais

Especialistas do Microsoft Defender para XDR

Obtenha ajuda para parar atacantes e impedir futuros comprometimentos com um serviço de XDR gerido.

Saber mais

Gestão de vulnerabilidades do Microsoft Defender

Reduza as ciberameaças com avaliação contínua de vulnerabilidades, priorização baseada no risco e remediação.

Saber mais

Microsoft Defender para Empresas

Proteja a sua pequena ou média empresa contra ciberataques, como malware e ransomware.

Saber mais

Perguntas mais frequentes

  • A deteção de ameaças avançada inclui técnicas e ferramentas utilizadas por profissionais de segurança para descobrirem ameaças persistentes avançadas, ou seja, ameaças sofisticadas concebidas para permanecerem despercebidas durante um longo período de tempo. Estas ameaças são, muitas vezes, mais graves e podem incluir espionagem ou roubo de dados.

  • Os principais métodos de deteção de ameaças são soluções de segurança, como a SIEM ou a XDR, que analisam a atividade em todo o ambiente para detetarem indícios de comprometimento ou comportamento que se desvie do esperado. As pessoas trabalham com estas ferramentas para triarem e responderem a potenciais ameaças. Também utilizam a XDR e a SIEM para procurarem atacantes sofisticados que possam contornar a deteção.

  • A deteção de ameaças é o processo de deteção de potenciais riscos de segurança, incluindo de atividade que possa indicar o comprometimento de um dispositivo, software, rede ou identidade. A resposta a incidentes inclui os passos que a equipa de segurança e as ferramentas automatizadas tomam para conter e eliminar uma ciberameaça.

  • O processo de deteção e resposta a ameaças inclui:

    • Deteção. As ferramentas de segurança que monitorizam pontos finais, identidades, redes, aplicações e clouds contribuem para a existência de riscos e potenciais falhas de segurança. Os profissionais de segurança também utilizam técnicas de investigação de ciberameaças para tentarem descobrir ciberameaças emergentes.
    • Investigação. Assim que um risco é identificado, as pessoas utilizam IA e outras ferramentas para confirmar que a ciberameaça é real, determinar como aconteceu e avaliar que recursos da empresa foram afetados.
    • Contenção. Para impedirem a propagação de um ciberataque, as equipas de cibersegurança isolam os dispositivos, identidades e redes infetados dos restantes recursos da organização.
    • Erradicação. As equipas eliminam a causa principal de um incidente de segurança com o objetivo de expulsar completamente o adversário do ambiente e mitigar vulnerabilidades que possam colocar a organização em risco de um ciberataque semelhante.
    • Recuperação. Depois de as equipas estarem razoavelmente confiantes da remoção de uma ciberameaça ou vulnerabilidade, colocam todos os sistemas isolados novamente online.
    • Comunicação. Dependendo da gravidade do incidente, as equipas de segurança irão documentar e informar os líderes, os executivos e/ou administradores sobre o que aconteceu e como foi resolvido.
    • Mitigação de riscos. Para impedirem que uma falha semelhante aconteça novamente e melhorarem respostas futuras, as equipas irão estudar o incidente e identificar as alterações a fazer ao ambiente e aos processos.

  • TDR significa deteção e resposta a ameaças, que é um processo que inclui a identificação de ameaças de cibersegurança a uma organização e a tomada de medidas para mitigar essas ameaças antes de causarem danos reais. DRP significa deteção e resposta de pontos finais, que é uma categoria de produtos de software que monitorizam os pontos finais de uma organização em termos de potenciais ciberataques, detetam esses ciberataques e informam a equipa de segurança, e respondem automaticamente a determinados tipos de ciberataques.

Siga o Microsoft 365