Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O portal Microsoft Defender aplica análises de correlação e agrega alertas relacionados e investigações automatizadas de diferentes produtos num incidente. Microsoft Sentinel e Defender XDR também acionam alertas exclusivos sobre atividades que só podem ser identificadas como maliciosas dada a visibilidade ponto a ponto na plataforma unificada em todo o conjunto de produtos. Esta vista fornece aos seus analistas de segurança a história de ataque mais abrangente, que os ajuda a compreender melhor e a lidar com ameaças complexas em toda a sua organização.
Importante
Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, com ou sem Microsoft Defender XDR ou uma licença E5. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Fila de incidentes
A fila Incidente mostra uma fila de incidentes que foram criados entre dispositivos, utilizadores, caixas de correio e outros recursos. Ajuda-o a fazer a triagem dos incidentes, a priorizar e a criar uma decisão de resposta de cibersegurança informada.
Localize a fila de incidentes em Incidentes & alerta Incidentes > na iniciação rápida do portal do Microsoft Defender.
Selecione Incidentes e alertas mais recentes para ativar o linha do tempo gráfico do número de alertas recebidos e incidentes criados nas últimas 24 horas.
A fila de incidentes inclui o Assistente de Fila do Defender que ajuda as equipas de segurança a reduzir o grande número de incidentes e a focar-se nos incidentes mais importantes. Com um algoritmo de atribuição de prioridades de machine learning, o Assistente de Fila apresenta os incidentes de prioridade mais alta, explica o raciocínio subjacente à atribuição de prioridades e fornece ferramentas intuitivas para ordenar e filtrar a fila de incidentes. O algoritmo é executado para todos os alertas, alertas nativos da Microsoft, deteções personalizadas ou sinais de terceiros. O algoritmo é preparado em dados anonimizados do mundo real e considera, entre outras coisas, os seguintes pontos de dados ao calcular a classificação de prioridade:
- Sinais de interrupção do ataque
- Análise de ameaças
- Severity
- SnR
- Técnicas MITRE
- Criticidade do recurso
- Tipos de alerta e raridade
- Ameaças de alto nível, como ransomware e ataques do estado-nação.
Aos incidentes é atribuída automaticamente uma classificação de prioridade de 0 a 100, sendo 100 a prioridade mais alta. Os intervalos de classificações são codificados por cores da seguinte forma:
- Vermelho: prioridade máxima (pontuação > 85)
- Laranja: Prioridade média (15–85)
- Cinzento: Baixa prioridade (<15)
Selecione a linha do incidente em qualquer lugar, exceto o nome do incidente, para apresentar um painel de resumo com informações importantes sobre o incidente. O painel inclui a avaliação de prioridade, os fatores que influenciam a classificação de prioridade, os detalhes do incidente, as ações recomendadas e as ameaças relacionadas. Utilize as setas para cima e para baixo na parte superior do painel para navegar para o incidente anterior ou seguinte na fila de incidentes. Para obter mais informações sobre como investigar o incidente, veja Investigar incidentes.
Por predefinição, a fila de incidentes mostra os incidentes criados na última semana. Escolha um intervalo de tempo diferente ao selecionar o menu pendente do seletor de tempo acima da fila.
O número total de incidentes na fila é apresentado junto ao seletor de tempo. O número de incidentes varia consoante os filtros em utilização. Pode procurar incidentes por nome ou ID de incidente
Selecione Personalizar colunas para selecionar colunas apresentadas na fila. Verifique ou desmarque as colunas que pretende ver na fila de incidentes. Disponha a ordem das colunas ao arrastá-las para cima e para baixo.
O botão Exportar permite-lhe exportar os dados filtrados na fila de incidentes para um ficheiro CSV. O número máximo de registos que pode exportar para um ficheiro CSV é 10 000.
Nomes de incidentes
Para obter mais visibilidade de relance, Microsoft Defender XDR gera nomes de incidentes automaticamente, com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Esta nomenclatura específica permite-lhe compreender rapidamente o âmbito do incidente.
Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Se tiver integrado Microsoft Sentinel no portal do Defender, é provável que quaisquer alertas e incidentes provenientes de Microsoft Sentinel tenham os respetivos nomes alterados (independentemente de terem sido criados antes ou depois da integração).
Recomendamos que evite utilizar o nome do incidente como uma condição para acionar regras de automatização. Se o nome do incidente for uma condição e o nome do incidente for alterado, a regra não será acionada.
Filtros
A fila de incidentes também fornece várias opções de filtragem, que, quando aplicadas, permitem-lhe realizar uma vasta escala de todos os incidentes existentes no seu ambiente ou decidir focar-se num cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar qual incidente exige atenção imediata.
A lista Filtros acima da fila de incidentes mostra os filtros atuais atualmente aplicados à fila. Selecione Adicionar filtro para aplicar mais filtros para limitar o conjunto de incidentes apresentado.
Selecione os filtros que pretende utilizar e, em seguida, selecione Adicionar. Os filtros selecionados são apresentados juntamente com os filtros aplicados existentes. Selecione o novo filtro para especificar as condições. Por exemplo, se escolher o filtro "Origens de serviço/deteção", selecione-o para escolher as origens através das quais pretende filtrar a lista.
Pode remover um filtro ao selecionar o X no nome do filtro na lista de filtros.
A tabela seguinte lista os filtros disponíveis.
| Nome do filtro | Descrição/Condições |
|---|---|
| Status | Selecione Novo, Em curso ou Resolvido. |
|
Gravidade do alerta Gravidade do incidente |
A gravidade de um alerta ou incidente é indicativa do impacto que pode ter nos seus recursos. Quanto maior for a gravidade, maior será o impacto e, normalmente, requer a atenção mais imediata. Selecione Alto, Médio, Baixo ou Informativo. |
| Atribuição de incidentes | Selecione o utilizador ou utilizadores atribuídos. |
| Várias fontes de serviço | Especifique se o filtro é para mais do que uma origem de serviço. |
| Origens de serviço/deteção | Especifique os incidentes que contêm alertas de um ou mais dos seguintes: Muitos destes serviços podem ser expandidos no menu para revelar mais opções de origens de deteção num determinado serviço. |
| Marcas | Selecione um ou vários nomes de etiquetas na lista. |
| Várias categorias | Especifique se o filtro é para mais do que uma categoria. |
| Categories | Escolha categorias para se concentrar em táticas, técnicas ou componentes de ataque específicos vistos. |
| Entities | Especifique o nome de um recurso, como um utilizador, dispositivo, caixa de correio ou nome da aplicação. |
| Rótulo de confidencialidade | Filtre incidentes com base na etiqueta de confidencialidade aplicada aos dados. Alguns ataques focam-se na transferência de dados confidenciais ou valiosos. Ao aplicar um filtro para etiquetas de confidencialidade específicas, pode determinar rapidamente se as informações confidenciais estão potencialmente comprometidas e priorizar a resolução desses incidentes. |
| Grupos de dispositivos | Especifique um nome de grupo de dispositivos . |
| Plataforma do SO | Especifique os sistemas operativos do dispositivo. |
| Classificação | Especifique o conjunto de classificações dos alertas relacionados. |
| Estado de investigação automatizada | Especifique a status de investigação automatizada. |
| Ameaça associada | Especifique uma ameaça nomeada. |
| Regra de política/política | Filtrar incidentes com base na política ou regra de política. |
| Nomes de produtos | Filtrar incidentes com base no nome do produto. |
| Fluxo de dados | Filtre incidentes com base na localização ou na carga de trabalho. |
Observação
Se tiver acesso aprovisionado a Gerenciamento de Risco Interno do Microsoft Purview, pode ver e gerir alertas de gestão de riscos internos e procurar eventos de gestão de riscos internos no portal do Microsoft Defender. Para obter mais informações, veja Investigar ameaças de risco interno no portal do Microsoft Defender.
O filtro predefinido é mostrar todos os alertas e incidentes com uma status de Novo e Em curso e com uma gravidade de Alto, Médio ou Baixo.
Também pode criar conjuntos de filtros na página de incidentes ao selecionar Consultas > de filtro guardadas Criar conjunto de filtros. Se não tiverem sido criados conjuntos de filtros, selecione Guardar para criar um.
Observação
Microsoft Defender XDR clientes podem agora filtrar incidentes com alertas em que um dispositivo comprometido comunicava com dispositivos de tecnologia operacional (OT) ligados à rede empresarial através da integração de deteção de dispositivos do Microsoft Defender para IoT e Microsoft Defender para Ponto de Extremidade. Para filtrar estes incidentes, selecione Qualquer nas Origens de serviço/deteção e, em seguida, selecione Microsoft Defender para IoT no Nome do produto ou veja Investigar incidentes e alertas no Microsoft Defender para IoT no portal do Defender. Também pode utilizar grupos de dispositivos para filtrar alertas específicos do site. Para obter mais informações sobre os pré-requisitos do Defender para IoT, veja Introdução à monitorização de IoT empresarial no Microsoft Defender XDR.
Guardar filtros personalizados como URLs
Depois de configurar um filtro útil na fila de incidentes, pode marcar o URL do separador do browser ou guardá-lo como uma ligação numa página Web, num documento Word ou num local à sua escolha. Os marcadores dão-lhe acesso de clique único às principais vistas da fila de incidentes, tais como:
- Novos incidentes
- Incidentes de alta gravidade
- Incidentes não atribuídos
- Incidentes de elevada gravidade e não atribuídos
- Incidentes atribuídos a mim
- Incidentes atribuídos a mim e a Microsoft Defender para Ponto de Extremidade
- Incidentes com uma etiqueta ou etiquetas específicas
- Incidentes com uma categoria de ameaça específica
- Incidentes com uma ameaça associada específica
- Incidentes com um ator específico
Depois de compilar e armazenar a sua lista de vistas de filtro úteis como URLs, utilize-a para processar e priorizar rapidamente os incidentes na sua fila e geri-los para a atribuição e análise subsequentes.
Pesquisar
Na caixa Procurar nome ou ID acima da lista de incidentes, pode procurar incidentes de várias formas para encontrar rapidamente o que procura.
Procurar por nome ou ID do incidente
Procure diretamente um incidente ao escrever o ID do incidente ou o nome do incidente. Quando seleciona um incidente na lista de resultados da pesquisa, o portal Microsoft Defender abre um novo separador com as propriedades do incidente, a partir do qual pode iniciar a investigação.
Procurar por recursos afetados
Pode atribuir um nome a um recurso ( como um utilizador, dispositivo, caixa de correio, nome da aplicação ou recurso na cloud) e encontrar todos os incidentes relacionados com esse recurso.
Especificar um intervalo de tempo
A lista predefinida de incidentes é para aqueles que ocorreram nos últimos seis meses. Pode especificar um novo intervalo de tempo a partir da caixa pendente junto ao ícone de calendário ao selecionar:
- Um dia
- Três dias
- Uma semana
- 30 dias
- 30 dias
- Seis meses
- Um intervalo personalizado no qual pode especificar datas e horas
Próximas etapas
Depois de determinar qual o incidente que requer a prioridade mais alta, selecione-o e:
- Faça a gestão das propriedades do incidente para etiquetas, atribuição, resolução imediata para incidentes falsos positivos e comentários.
- Inicie as suas investigações.
Defender em Caixa
Durante um período de tempo limitado durante janeiro e julho de cada ano, o Defender Boxed é apresentado automaticamente quando abre a fila de incidentes pela primeira vez. O Defender Boxed destaca o sucesso, melhorias e ações de resposta de segurança da sua organização durante os seis meses ou ano civil anteriores.
Observação
O Defender Boxed só está disponível para utilizadores que realizaram atividades aplicáveis no portal Microsoft Defender.
Pode efetuar as seguintes ações na série de cartões que aparecem no Defender Boxed:
Transfira um resumo detalhado das suas conquistas que podem ser partilhadas com outras pessoas na sua organização.
Altere a frequência com que o Defender Boxed será apresentado. Pode escolher entre uma (a cada janeiro) ou duas vezes (a cada janeiro e julho) por ano.
Partilhe o seu feito com as suas redes sociais, e-mail e outros fóruns ao guardar o diapositivo como uma imagem.
Para reabrir o Defender Boxed, aceda à fila Incidentes e, em seguida, selecione O Seu Defender Em Caixa no lado direito do painel.
Confira também
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.