microsoft-defender-endpoint

# Microsoft Defender for Endpoint > EDR · Vendor: [[_microsoft|Microsoft]] > [!latam] Presença no Brasil e LATAM > O Microsoft Defender for Endpoint é o EDR mais implantado no Brasil, incluído nas licenças **Microsoft 365 E3/E5** amplamente adotadas em organizações brasileiras do setor financeiro, governo federal e saúde. A capacidade de **Vulnerability Management (TVM)** é utilizada por times de segurança brasileiros para triagem de CVEs críticos como **CVE-2021-44228** (Log4j) e **CVE-2023-23397** (Outlook), com inventário automático de software vulnerável sem agente adicional. O MDE é integrado nativamente ao **Microsoft Sentinel**, padrão de SIEM no ecossistema Microsoft brasileiro. ## Visão Geral **Microsoft Defender for Endpoint (MDE)** é o EDR (Endpoint Detection and Response) corporativo da Microsoft, nativamente integrado ao Windows e parte da plataforma **Microsoft Defender XDR** (anteriormente Microsoft 365 Defender). É a solução EDR mais amplamente implantada globalmente - especialmente em organizações que já operam no ecossistema Microsoft, como a maioria das empresas brasileiras do [[financial]], [[government]] e [[healthcare|saúde]]. **Principais capacidades:** - **Advanced Hunting** - consultas KQL sobre 30 dias de eventos brutos de endpoint (processo, rede, arquivo, registro, login) - **Attack Surface Reduction (ASR)** - regras que bloqueiam vetores de ataque comuns antes da execução (pre-breach) - **Vulnerability Management (TVM)** - inventário de software + correlação com CVEs + priorização por risco (Threat and Vulnerability Management) - **Automated Investigation & Remediation (AIR)** - investigação e contenção automatizada de alertas de baixa/média severidade - **Device Isolation** - isolar endpoint da rede via console ou API (crítico para resposta a ransomware) **Dados do produto:** - Categoria: EDR - Vendor: [[_microsoft|Microsoft]] - Plataforma: Windows (nativo), macOS, Linux (agente), iOS/Android (via Intune) - Linguagem de consulta: KQL (mesma sintaxe do [[microsoft-sentinel]]) - Presença no Brasil/LATAM: Dominante - incluso em licenças Microsoft 365 E5 ## Advanced Hunting (KQL) O Advanced Hunting permite consultas sobre **30 dias de eventos brutos** de todos os endpoints MDE, sem necessidade de configuração adicional. A linguagem é KQL - idêntica ao [[microsoft-sentinel]], tornando o conhecimento transferível. **Tabelas principais do Advanced Hunting:** | Tabela | Dados | |--------|-------| | `DeviceProcessEvents` | Criação de processos - filename, linha de comando, processo pai | | `DeviceNetworkEvents` | Conexões de rede - IP, porta, protocolo, processo de origem | | `DeviceFileEvents` | Operações de arquivo - criação, modificação, deleção, renomeação | | `DeviceRegistryEvents` | Alterações no registro do Windows | | `DeviceLogonEvents` | Autenticações locais e remotas | | `DeviceAlertEvents` | Alertas gerados pelo próprio MDE | | `DeviceTvmSoftwareInventory` | Inventário de software instalado (crítico para triagem Log4j - [[cve-2021-44228\|CVE-2021-44228]]) | **Exemplo - Detectar cmd.exe ou PowerShell filho de winword.exe** (indicador de [[cve-2021-40444|CVE-2021-40444]] e exploração de macros Office): ```kql // cmd.exe filho de winword.exe - CVE-2021-40444 / macro exploitation DeviceProcessEvents | where InitiatingProcessFileName =~ "winword.exe" | where FileName in~ ("cmd.exe", "powershell.exe", "mshta.exe", "wscript.exe") | project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine ``` **Exemplo - Detecção de Cobalt Strike via named pipes** (indicador de [[s0154-cobalt-strike]] beaconing): ```kql // Named pipes comuns do Cobalt Strike DeviceEvents | where ActionType == "NamedPipeEvent" | where AdditionalFields has_any ("msagent_", "status_", "mojo.", "wkssvc", "ntsvcs") | project Timestamp, DeviceName, AccountName, AdditionalFields | order by Timestamp desc ``` **Exemplo - Inventário de Log4j para triagem** ([[cve-2021-44228|CVE-2021-44228]]): ```kql // Encontrar dispositivos com Log4j instalado DeviceTvmSoftwareInventory | where SoftwareName contains "log4j" or SoftwareName contains "log4shell" | project DeviceName, SoftwareName, SoftwareVersion, OSPlatform | order by SoftwareVersion asc ``` ## Attack Surface Reduction As **regras ASR (Attack Surface Reduction)** bloqueiam vetores de ataque específicos comumente usados por malware - operando em modo pre-breach, antes da execução do payload. São configuráveis via Intune, Group Policy ou Microsoft Defender for Endpoint console. **Regras mais relevantes para CTI:** | Regra ASR | GUID | Relevância CTI | |-----------|------|----------------| | Block Office from creating child processes | `d4f940ab-...` | [[cve-2021-40444\|CVE-2021-40444]], [[t1059-005-visual-basic\|T1059.005 - Visual Basic]] | | Block credential stealing from LSASS | `9e6c4e1f-...` | [[g0032-lazarus-group\|Lazarus Group]], [[g0007-apt28\|APT28 / Fancy Bear]], mimikatz | | Block ransomware based on behavior | `c1db55ab-...` | [[lockbit]], [[s0368-notpetya]] | | Block execution of potentially obfuscated scripts | `5beb7efe-...` | [[s0154-cobalt-strike]] staging, loaders | | Block untrusted and unsigned processes from USB | `b2b3f03d-...` | Ataques físicos com mídia removível | **Importante:** Regras ASR devem ser testadas em modo "Audit" antes de "Block" para evitar falsos positivos em ambientes de produção. ## Integração com Ameaças O MDE é particularmente eficaz na detecção de TTPs de atores que operam em endpoints Windows: | Ator / Ferramenta | Detecção via MDE | |-------------------|-----------------| | [[g0016-apt29\|APT29 / Cozy Bear]] | [[t1567-002-exfiltration-cloud-storage\|T1567.002]] - exfiltração via cloud storage detectável em `DeviceNetworkEvents` | | [[g0032-lazarus-group\|Lazarus Group]] | [[t1021-002-smb-windows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] - lateral movement detectável em `DeviceNetworkEvents` + `DeviceLogonEvents` | | [[s0154-cobalt-strike]] | Beaconing (conexões regulares), named pipes, process injection via `DeviceEvents` | | [[lockbit]] | Deleção de VSS (`vssadmin delete shadows`), cifração em massa - detecção por `DeviceFileEvents` + regra ASR | | [[s0368-notpetya]] | Propagação lateral via `EternalBlue` - `DeviceNetworkEvents` porta 445 | **CVEs detectáveis via Advanced Hunting:** - [[cve-2023-23397|CVE-2023-23397]] - Outlook NTLM relay: conexão SMB para UNC path externo após abertura de e-mail - [[cve-2021-44228|CVE-2021-44228]] - Log4j: inventário via TVM + `DeviceNetworkEvents` para JNDI lookups (porta 1389, 389) - [[cve-2024-3400|CVE-2024-3400]] - PAN-OS pós-exploração: IoCs no endpoint (beacons, lateral movement para Windows) - [[cve-2021-40444|CVE-2021-40444]] - MSHTML: processo filho de winword/excel com download de payload **Técnicas MITRE correlacionadas:** [[t1112-modify-registry|T1112 - Modify Registry]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] ## Notas Relacionadas **Produtos:** [[microsoft-sentinel]] · [[_microsoft|Microsoft]] **CVEs:** [[cve-2023-23397|CVE-2023-23397]] · [[cve-2021-44228|CVE-2021-44228]] · [[cve-2021-40444|CVE-2021-40444]] · [[cve-2024-3400|CVE-2024-3400]] **Atores:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[g0032-lazarus-group|Lazarus Group]] **Malware:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0368-notpetya]] **TTPs:** [[t1112-modify-registry|T1112 - Modify Registry]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]]