Gerenciar incidentes no Microsoft Defender
Observação
Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender plataforma do SOC (Centro unificado de operações de segurança)
O gerenciamento de incidentes é fundamental para garantir que os incidentes sejam nomeados, atribuídos e marcados para otimizar o tempo no fluxo de trabalho de incidentes e conter e resolver ameaças mais rapidamente.
Dica
Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.
Você pode gerenciar incidentes de Incidentes & alertas Incidentes > no lançamento rápido do portal de Microsoft Defender (security.microsoft.com). Veja um exemplo.
Aqui estão as maneiras pelas quais você pode gerenciar seus incidentes:
- Editar o nome do incidente
- Atribuir ou alterar a gravidade
- Adicionar marcas de incidente
- Atribuir o incidente a uma conta de usuário
- Resolvê-los
- Especificar sua classificação
- Adicionar comentários
- Avaliar a auditoria de atividades e adicionar comentários no log de atividades
- Exportar dados de incidentes para PDF
Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.
Você pode exibir este painel no link Gerenciar incidentes no:
- Página de história de alerta .
- Painel de propriedades de um incidente na fila de incidentes.
- Página resumo de um incidente.
- Gerenciar a opção de incidente localizada no lado superior direito da página Incidente.
Nos casos em que você deseja mover alertas de um incidente para outro, você também pode fazê-lo na guia Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.
Editar o nome do incidente
Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de detecção ou categorias. O nome do incidente permite que você entenda rapidamente o escopo do incidente. Por exemplo: incidente em vários estágios em vários pontos de extremidade relatados por várias fontes.
Você pode editar o nome do incidente no campo Nome do incidente no painel Gerenciar incidentes .
Observação
Incidentes que existiam antes da distribuição do recurso automático de nomenclatura de incidentes manterão seu nome.
Atribuir ou alterar a gravidade do incidente
Você pode atribuir ou alterar a gravidade de um incidente do campo Severity no painel Gerenciar incidentes . A gravidade de um incidente é determinada pela maior gravidade dos alertas associados a ele. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.
Adicionar marcas de incidente
Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.
A opção de selecionar em uma lista de marcas usadas e selecionadas anteriormente é exibida após você começar a digitar.
Atribuir um incidente
Você pode selecionar a caixa Atribuir à caixa e especificar a conta de usuário para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual selecionando o "x" ao lado do nome da conta e selecione a caixa Atribuir. Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados a ele.
Você pode obter uma lista de incidentes atribuídos a você filtrando a fila de incidentes.
- Na fila de incidentes, selecione Filtros.
- Na seção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro usuário ou Atribuído a um grupo de usuários.
- Selecione Aplicar e feche o painel Filtros .
Em seguida, você pode salvar a URL resultante em seu navegador como um indicador para ver rapidamente a lista de incidentes atribuídos a você.
Resolver um incidente
Selecione Resolver incidente para mover o alternância para a direita quando um incidente for corrigido. Resolver um incidente também resolve todos os alertas vinculados e ativos relacionados ao incidente.
Um incidente que não é resolvido é exibido como Ativo.
Especificar a classificação
No campo Classificação , você especifica se o incidente é:
- Não definido (o padrão).
- Verdadeiro positivo com um tipo de ameaça. Use essa classificação para incidentes que indicam com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
- Atividade informativa e esperada com um tipo de atividade. Use as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipe vermelha e comportamento incomum esperado de aplicativos confiáveis e usuários.
- Falso positivo para tipos de incidentes que você determina podem ser ignorados porque são tecnicamente imprecisos ou enganosos.
Classificar incidentes e especificar seus status e tipo ajuda a ajustar Microsoft Defender XDR para fornecer melhor determinação de detecção ao longo do tempo.
Adicionar comentários
Você pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentários dá suporte a texto e formatação, links e imagens. Cada comentário é limitado a 30.000 caracteres.
Todos os comentários são adicionados aos eventos históricos do incidente. Você pode ver os comentários e o histórico de um incidente no link Comentários e histórico na página Resumo .
Log de atividades
O log de atividades exibe uma lista de todos os comentários e ações executados no incidente, conhecido como Auditorias e comentários. Todas as alterações feitas no incidente, seja por um usuário ou pelo sistema, são registradas no log de atividades. O log de atividades está disponível na opção Log de atividades na página de incidentes ou no painel do lado do incidente.
Você pode filtrar as atividades no log por comentários e ações. Clique no Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.
Você também pode adicionar seus próprios comentários usando a caixa de comentários disponível no log de atividades. A caixa de comentários aceita texto e formatação, links e imagens.
Exportar dados de incidentes para PDF
Importante
Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O recurso de dados de incidentes de exportação está atualmente disponível para Microsoft Defender XDR e Microsoft Defender clientes da plataforma soc (central de operações de segurança unificada) com o Microsoft Copilot para licença de segurança.
Você pode exportar dados de um incidente para PDF por meio da função Exportar incidente como PDF e salvá-los no formato PDF. Essa função permite que as equipes de segurança examinem os detalhes de um incidente offline a qualquer momento.
Os dados de incidente exportados incluem as seguintes informações:
- Uma visão geral que contém os detalhes do incidente
- As categorias de grafo de história de ataque e ameaça
- Os ativos afetados, abrangendo até 10 ativos para cada tipo de ativo
- A lista de evidências que abrange até 100 itens
- Suporte a dados, incluindo todos os alertas e atividades relacionados registrados no log de atividades
Aqui está um exemplo do PDF exportado:
Se você tiver a licença Copilot para Segurança, o PDF exportado contém os seguintes dados adicionais de incidentes:
A função exportar para PDF também está disponível no painel lateral copilot de um relatório de incidente gerado.
Para gerar o PDF, execute as seguintes etapas:
Abra uma página de incidentes. Selecione as reticências Mais ações (...) no canto superior direito e escolha Exportar incidente como PDF. A função fica acinzureada enquanto o PDF está sendo gerado.
Uma caixa de diálogo é exibida, indicando que o PDF está sendo gerado. Selecione Consegui-lo para fechar a caixa de diálogo. Além disso, uma mensagem status indicando o estado atual do download aparece abaixo do título do incidente. O processo de exportação pode levar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a serem exportados.
Depois que o PDF estiver pronto, a mensagem status indicará que o PDF está pronto e outra caixa de diálogo será exibida. Selecione Baixar na caixa de diálogo para salvar o PDF em seu dispositivo.
O relatório é armazenado em cache por alguns minutos. O sistema fornece o PDF gerado anteriormente se você tentar exportar o mesmo incidente novamente em um curto período de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos para que o cache expire.
Próximas etapas
Para novos incidentes, inicie sua investigação.
Para incidentes em processo, continue sua investigação.
Para incidentes resolvidos, execute uma revisão pós-incidente.
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de