Defender para alertas de segurança de Identidade no Microsoft 365 Defender

  • Artigo
  • 2 minutos para ler

Aplica-se a:

  • Microsoft 365 Defender
  • Defender para Identidade

Este artigo explica as noções básicas sobre como trabalhar com o Microsoft Defender para alertas de segurança de identidade Microsoft 365 Defender.

O Defender para alertas de Identidade está integrado nativamente numa Microsoft 365 Defender com um formato de página de alerta de Identidade dedicado. Esta ação assinala o primeiro passo na jornada para introduzir a experiência de identidade completa do Microsoft Defender em Microsoft 365 Defender.

A nova página de alerta de Identidade dá melhor enriquecimento entre domínios ao Microsoft Defender para clientes de Identidade e novas capacidades de resposta de identidade automática. Garante que se mantém seguro e ajuda a melhorar a eficiência das operações de segurança.

Uma das vantagens da investigação de alertas através do Microsoft 365 Defender é que os alertas do Microsoft Defender para Identidade estão mais correlacionados com as informações obtidas de cada um dos outros produtos no conjunto de ações. Estes alertas melhorados são consistentes com os outros formatos de alerta Microsoft 365 Defender com origem no Microsoft Defender para Office 365 e Microsoft Defender para Endpoint. A nova página elimina a necessidade de navegar para outro portal de produtos para investigar alertas associados a identidades.

Os alertas provenientes do Defender para Identidade podem agora ativar as capacidades de investigação e resposta (AIR) automatizadas da Microsoft 365 Defender, incluindo a remediação automática de alertas e a mitigação de ferramentas e processos que podem contribuir para a atividade suspeita.

Importante

Como parte da convergência com o Microsoft 365 Defender, algumas opções e detalhes mudaram a partir da respetiva localização no portal do Defender para Identidade. Leia os detalhes abaixo para descobrir onde pode encontrar as funcionalidades familiares e novas.

Rever alertas de segurança

Pode aceder aos alertas a partir de múltiplas localizações, incluindo a página Alertas, a página Incidentes, as páginas de Dispositivos individuais e a partir da página de procura Avançadas. Neste exemplo, iremos rever a página Alertas.

Na Microsoft 365 Defender, vá a Incidentes e & alertas e, em seguida, a Alertas.

Vá para Incidentes e Alertas e, em seguida, Alertas.

Para ver os alertas do Defender para Identidade, no canto superior direito selecione Filtro e, em seguida, em Origens de serviço, selecione Microsoft Defender para Identidade e selecione Aplicar:

Filtrar pelo Defender para eventos de Identidade.

Os alertas são apresentados com informações nas seguintes colunas : Nome do alerta, Etiquetas**, Estado** da Investigação, Estado**, Categoria****, Origem** de deteção , Ativos afetados , Primeira atividade e Última Atividade.

Defender para eventos de Identidade.

Gerir alertas

Se clicar no Nome do alerta de um dos alertas, irá para a página com detalhes sobre o alerta. No painel esquerdo, verá um resumo do que aconteceu:

O que aconteceu em alerta.

Acima da caixa O que aconteceu são os botões para Contas, Anfitrião de Destino e Anfitrião de Origem do alerta. Para outros alertas, poderá ver botões para obter detalhes sobre anfitriões, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione uma destas entidades para obter mais detalhes sobre as entidades envolvidas.

No painel direito, verá os detalhes do Alerta. Aqui pode ver mais detalhes e realizar várias tarefas:

  • Classificar este alerta – aqui pode designar este alerta como um alerta verdadeiro ou um alerta Falso

    Classificar alerta.

  • Estado do alerta - Em Definir Classificação, pode classificar o alerta como Verdadeiro ou Falso. Em Atribuído a, pode atribuir o alerta a si próprio ou reassiná-lo.

    Estado do alerta.

  • Detalhes do alerta - Em Detalhes do alerta, pode encontrar mais informações sobre o alerta específico, seguir uma ligação para a documentação sobre o tipo de alerta, ver o incidente ao qual o alerta está associado, rever quaisquer investigações automatizadas ligadas a este tipo de alerta e ver os dispositivos e utilizadores afetados.

    Detalhes do alerta.

  • Comentários & histórico - Aqui pode adicionar os seus comentários ao alerta e ver o histórico de todas as ações associadas ao alerta.

    Comentários e histórico.

  • Gerir alerta – se selecionar Gerir alerta, irá para um painel que lhe permitirá editar o:

    • Estado – pode selecionar Novo, Resolvido ou Em curso.

    • Classificação – pode selecionar Alerta de verdadeiro ou Alerta falso.

    • Comentário - Pode adicionar um comentário sobre o alerta.

      Se selecionar as retas junto a Gerir alerta, pode Consultar um especialista em ameaças , Exportar o alerta para um ficheiro de Excel ou Ligar a outro incidente.

      Gerir alertas.

      Nota

      No Excel, agora tem duas ligações disponíveis: Ver no Microsoft Defender para Identidade e Ver no Microsoft 365 Defender. Cada ligação irá direcrá-lo para o portal relevante e fornecerá informações sobre o alerta aí.

Consulte também