Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como navegar e executar a triagem básica em seus incidentes no portal do Azure.
Pré-requisitos
A atribuição de função do Respondente do Microsoft Sentinel é necessária para investigar incidentes.
Saiba mais sobre as funções no Microsoft Sentinel.
Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Usuários regulares (não convidados) têm essa função atribuída por padrão.
Navegar e fazer triagem de incidentes
No menu de navegação do Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes.
A página Incidentes fornece informações básicas sobre todos os incidentes abertos. Por exemplo:
Na parte superior da tela, você tem uma barra de ferramentas com ações que podem ser executadas fora de um incidente específico, seja na grade como um todo ou em vários incidentes selecionados. Você também tem as contagens de incidentes em aberto, sejam novos, sejam ativos, e as contagens de incidentes em aberto de acordo com a gravidade.
No painel central, você tem uma grade de incidentes, que é uma lista de incidentes, conforme filtrado pelos controles de filtragem na parte superior da lista, e uma barra de pesquisa para localizar incidentes específicos.
Ao lado, você tem um painel de detalhes que mostra informações importantes sobre o incidente realçadas na lista central, juntamente com botões para executar determinadas ações específicas em relação a esse incidente.
Sua equipe de operações de segurança pode ter regras de automação em vigor para executar a triagem básica em novos incidentes e atribuí-los ao pessoal adequado.
Nesse caso, filtre a lista de incidentes por Proprietário para limitar a lista aos incidentes atribuídos a você ou à sua equipe. Esse conjunto filtrado representa sua carga de trabalho pessoal.
Você pode, alternativamente, executar a triagem básica por conta própria. Comece filtrando a lista de incidentes por critérios de filtragem disponíveis, por exemplo, status, gravidade ou nome do produto. Para obter mais informações, consulte Pesquisar incidentes.
Faça a triagem de um incidente específico e tome uma ação inicial nele imediatamente, diretamente da aba de detalhes na página de Incidentes, sem precisar acessar a página completa de detalhes do incidente. Por exemplo:
Investigar incidentes do Microsoft Defender XDR no Microsoft Defender XDR: Siga o link Investigar no Microsoft Defender XDR para acessar o incidente paralelo no portal do Defender. Todas as alterações que você faz no incidente no Microsoft Defender XDR são sincronizadas com o mesmo incidente no Microsoft Sentinel.
Abra a lista de tarefas atribuídas: Incidentes que têm tarefas atribuídas exibem uma contagem de tarefas concluídas e totais e um link exibir detalhes completos . Siga o link para abrir a página Tarefas de incidente para ver a lista de tarefas deste incidente.
Atribua a propriedade do incidente a um usuário ou grupo pela escolha na lista suspensa Proprietário.
Usuários e grupos selecionados recentemente aparecem na parte superior da lista suspensa exibida.
Atualize o status do incidente (por exemplo, de Novo para Ativo ou Fechado) selecionando na lista suspensa Status . Ao fechar um incidente, você precisa especificar um motivo. Para obter mais informações, consulte Fechar um incidente.
Mude a gravidade do incidente com a escolha na lista suspensa Severidade.
Adicione marcas para categorizar seus incidentes. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar marcas.
Adicione comentários para registrar suas ações, ideias, perguntas e muito mais. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar comentários.
Se as informações no painel de detalhes forem suficientes para solicitar mais ações de correção ou mitigação, selecione o botão Ações na parte inferior para fazer um dos seguintes procedimentos:
Ação Descrição Investigar Use a ferramenta de investigação gráfica para descobrir relações entre alertas, entidades e atividades, dentro desse incidente e em outros incidentes. Executar guia estratégico Execute um guia estratégico sobre esse incidente para executar ações específicas de enriquecimento, colaboração ou resposta, como as que podem ter sido disponibilizadas pelos seus engenheiros do SOC. Criar regra de automação Crie uma regra de automação que seja executada somente em incidentes como este (gerado pela mesma regra de análise) no futuro, a fim de reduzir sua carga de trabalho futura ou para considerar uma alteração temporária nos requisitos (como para um teste de penetração). Criar equipe (versão prévia) Crie uma equipe no Microsoft Teams para colaborar com outras pessoas ou equipes entre departamentos no tratamento do incidente. Por exemplo:
Se mais informações sobre o incidente forem necessárias, selecione Exibir detalhes completos no painel de detalhes para abrir e ver os detalhes do incidente em sua totalidade, incluindo os alertas e entidades no incidente, uma lista de incidentes semelhantes e as principais informações selecionadas.
Procurar incidentes
Para encontrar um incidente específico rapidamente, insira uma cadeia de caracteres de pesquisa na caixa de pesquisa acima da grade de incidentes e pressione Enter para modificar a lista de incidentes mostrados adequadamente. Se o incidente não estiver incluído nos resultados, talvez você queira restringir sua pesquisa usando opções avançadas de pesquisa .
Para modificar os parâmetros de pesquisa, selecione o botão Pesquisar e selecione os parâmetros nos quais você deseja executar a pesquisa.
Por exemplo:
Por padrão, as pesquisas de incidentes são executadas somente nos valores de ID de Incidente, Título, Marcas, Proprietário e Nome do Produto . No painel de pesquisa, role para baixo na lista para selecionar um ou mais outros parâmetros a serem pesquisados e selecione Aplicar para atualizar os parâmetros de pesquisa. Selecione Definir como padrão redefinir os parâmetros selecionados para a opção padrão.
Observação
As pesquisas no campo Proprietário dão suporte a nomes e endereços de email.
O uso de opções de pesquisa avançada altera o comportamento da pesquisa desta forma:
| Comportamento de pesquisa | Descrição |
|---|---|
| Cor do botão Pesquisar | A cor do botão de pesquisa é alterada dependendo dos tipos de parâmetros usados na pesquisa no momento.
|
| Atualização automática | O uso de parâmetros de pesquisa avançada impede que você selecione a atualização automática dos resultados. |
| Parâmetros de entidade | Há suporte para todos os parâmetros de entidade nas pesquisas avançadas. Quando a pesquisa é feita em um dos parâmetros de entidade, ela abrange todos os parâmetros de entidade. |
| Cadeias de caracteres de pesquisa | A pesquisa de uma cadeia de caracteres de palavras inclui todas as palavras na consulta de pesquisa. As cadeias de caracteres de pesquisa diferenciam maiúsculas de minúsculas. |
| Suporte entre workspaces | Não há suporte para pesquisas avançadas em exibições entre workspaces. |
| Número de resultados da pesquisa exibidos | Quando você está usando parâmetros de pesquisa avançada, apenas 50 resultados são mostrados por vez. |
Dica
Se você não conseguir encontrar o incidente que está procurando, remova os parâmetros de pesquisa para expandir a pesquisa. Se a pesquisa resultar em muitos itens, adicione mais filtros para restringir os resultados.
Fechar um incidente
Depois de resolver um incidente específico (por exemplo, quando sua investigação chegar à conclusão), defina o status do incidente como Fechado. Ao fazer isso, você é solicitado a classificar o incidente especificando o motivo pelo qual está fechando-o. Essa etapa é obrigatória.
Clique em Selecionar classificação e escolha uma das opções a seguir na lista suspensa:
- Verdadeiro Positivo – atividade suspeita
- Benigno Positivo – suspeito, mas esperado
- False Positive – lógica de alerta incorreta
- False Positive – dados incorretos
- Indeterminado
Para obter mais informações sobre falsos positivos e positivos benignos, consulte Manipular falsos positivos no Microsoft Sentinel.
Depois de escolher a classificação apropriada, adicione um texto descritivo no campo Comentário . Isso é útil no caso de você precise voltar a esse incidente. Selecione Aplicar quando terminar e o incidente for fechado.
Próxima etapa
Para obter mais informações, consulte Investigar incidentes do Microsoft Sentinel detalhadamente no portal do Azure