Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Pode ver a lista de regras de deteção personalizadas existentes, verificar as execuções anteriores e rever os alertas que foram acionados. Também pode executar uma regra a pedido e modificá-la.
Sugestão
Os alertas gerados por deteções personalizadas estão disponíveis através de alertas e APIs de incidentes. Para obter mais informações, veja ApIs de Microsoft Defender XDR suportadas.
Para os utilizadores que integraram uma área de trabalho Microsoft Sentinel no portal de Microsoft Defender unificado, a lista de regras de deteção personalizadas inclui regras de análise. As secções seguintes também se aplicam às regras de análise, salvo indicação em contrário.
Ver regras existentes
Para ver as regras de deteção personalizadas e as regras de análise existentes, navegue paraRegras de deteção personalizadas de investigação>.
Pode filtrar por qualquer coluna ao aceder a Adicionar filtro, selecionar as colunas que pretende filtrar e selecionar Adicionar. Para cada uma das colunas escolhidas, selecione o comprimido correspondente junto a Filtros:, selecione as colunas e, em seguida, Aplicar.
Para procurar regras específicas, aceda à caixa de pesquisa no canto superior direito da página e introduza o nome ou ID da regra que procura.
Para organizações de várias áreas de trabalho que integraram várias áreas de trabalho para Microsoft Defender, pode filtrar por áreas de trabalho com as colunas ID da Área de Trabalho ou nome da Área de Trabalho.
A página lista todas as regras com as seguintes informações de execução:
- Última execução - Quando uma regra foi executada pela última vez para verificar a existência de correspondências de consultas e gerar alertas
- Estado da última execução – se uma regra foi executada com êxito (apenas para regras de deteção personalizadas)
- Próxima execução - A próxima execução agendada
- Estado – se uma regra foi ativada ou desativada
Ver detalhes da regra, modificar regra e executar regra
Para ver informações abrangentes sobre uma regra de deteção personalizada ou uma regra de análise, aceda a Regras> dedeteção personalizadas de investigação e, em seguida, selecione o nome da regra. Em seguida, pode ver informações gerais sobre a regra, incluindo informações, o respetivo estado de execução e âmbito. A página também fornece a lista de ações e alertas acionados.
Também pode efetuar as seguintes ações na regra a partir desta página:
- Abrir página de regra de deteção – abre a página da regra de deteção para ver os alertas acionados e rever as ações (apenas para regras de deteção personalizadas)
- Executar - executa a regra imediatamente; esta ação também repõe o intervalo para a próxima execução (apenas para regras de deteção personalizadas)
- Editar – permite-lhe modificar a regra sem alterar a consulta
- Modificar consulta – permite-lhe editar a consulta na investigação avançada
- Ativar / Desativar – permite-lhe ativar a regra ou impedi-la de ser executada
- Eliminar – permite-lhe desativar a regra e removê-la
- Excluir da correlação – permite-lhe excluir uma regra de análise da correlação. Esta ação está em pré-visualização e destina-se apenas a regras de análise. Veja Excluir regras de análise da correlação no Microsoft Defender XDR (pré-visualização) para obter mais informações.
Ver e gerir alertas acionados
No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Alertas acionados, que lista os alertas gerados por correspondências com a regra. Selecione um alerta para ver informações detalhadas sobre o mesmo e efetue as seguintes ações:
- Gerir o alerta ao definir o respetivo estado e classificação (alerta verdadeiro ou falso)
- Ligar o alerta a um incidente
- Executar a consulta que acionou o alerta na investigação avançada
Rever ações
No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Ações acionadas, que lista as ações executadas com base em correspondências com a regra.
Sugestão
Para ver rapidamente as informações e tomar medidas num item numa tabela, utilize a coluna de seleção [✓] à esquerda da tabela.
Consulte também
- Descrição geral das deteções personalizadas
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta de investigação avançada
- Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint
- API de segurança do Microsoft Graph para deteções personalizadas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.