Gerenciar incidentes no Microsoft Defender

  • Artigo

Observação

Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender plataforma do SOC (Centro unificado de operações de segurança)

O gerenciamento de incidentes é fundamental para garantir que os incidentes sejam nomeados, atribuídos e marcados para otimizar o tempo no fluxo de trabalho de incidentes e conter e resolver ameaças mais rapidamente.

Dica

Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.

Você pode gerenciar incidentes de Incidentes & alertas Incidentes > no lançamento rápido do portal de Microsoft Defender (security.microsoft.com). Veja um exemplo.

Realçando a opção gerenciar incidentes na fila de incidentes e no painel de lançamento rápido no portal Microsoft Defender

Aqui estão as maneiras pelas quais você pode gerenciar seus incidentes:

Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.

O painel Gerenciar incidentes no portal Microsoft Defender

Você pode exibir este painel no link Gerenciar incidentes no:

  • Página de história de alerta .
  • Painel de propriedades de um incidente na fila de incidentes.
  • Página resumo de um incidente.
  • Gerenciar a opção de incidente localizada no lado superior direito da página Incidente.

Nos casos em que você deseja mover alertas de um incidente para outro, você também pode fazê-lo na guia Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.

Editar o nome do incidente

Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de detecção ou categorias. O nome do incidente permite que você entenda rapidamente o escopo do incidente. Por exemplo: incidente em vários estágios em vários pontos de extremidade relatados por várias fontes.

Você pode editar o nome do incidente no campo Nome do incidente no painel Gerenciar incidentes .

Observação

Incidentes que existiam antes da distribuição do recurso automático de nomenclatura de incidentes manterão seu nome.

Atribuir ou alterar a gravidade do incidente

Você pode atribuir ou alterar a gravidade de um incidente do campo Severity no painel Gerenciar incidentes . A gravidade de um incidente é determinada pela maior gravidade dos alertas associados a ele. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Adicionar marcas de incidente

Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.

A opção de selecionar em uma lista de marcas usadas e selecionadas anteriormente é exibida após você começar a digitar.

Atribuir um incidente

Você pode selecionar a caixa Atribuir à caixa e especificar a conta de usuário para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual selecionando o "x" ao lado do nome da conta e selecione a caixa Atribuir. Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados a ele.

Você pode obter uma lista de incidentes atribuídos a você filtrando a fila de incidentes.

  1. Na fila de incidentes, selecione Filtros.
  2. Na seção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro usuário ou Atribuído a um grupo de usuários.
  3. Selecione Aplicar e feche o painel Filtros .

Em seguida, você pode salvar a URL resultante em seu navegador como um indicador para ver rapidamente a lista de incidentes atribuídos a você.

Resolver um incidente

Selecione Resolver incidente para mover o alternância para a direita quando um incidente for corrigido. Resolver um incidente também resolve todos os alertas vinculados e ativos relacionados ao incidente.

Um incidente que não é resolvido é exibido como Ativo.

Especificar a classificação

No campo Classificação , você especifica se o incidente é:

  • Não definido (o padrão).
  • Verdadeiro positivo com um tipo de ameaça. Use essa classificação para incidentes que indicam com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
  • Atividade informativa e esperada com um tipo de atividade. Use as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipe vermelha e comportamento incomum esperado de aplicativos confiáveis e usuários.
  • Falso positivo para tipos de incidentes que você determina podem ser ignorados porque são tecnicamente imprecisos ou enganosos.

Classificar incidentes e especificar seus status e tipo ajuda a ajustar Microsoft Defender XDR para fornecer melhor determinação de detecção ao longo do tempo.

Adicionar comentários

Você pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentários dá suporte a texto e formatação, links e imagens. Cada comentário é limitado a 30.000 caracteres.

Todos os comentários são adicionados aos eventos históricos do incidente. Você pode ver os comentários e o histórico de um incidente no link Comentários e histórico na página Resumo .

Log de atividades

O log de atividades exibe uma lista de todos os comentários e ações executados no incidente, conhecido como Auditorias e comentários. Todas as alterações feitas no incidente, seja por um usuário ou pelo sistema, são registradas no log de atividades. O log de atividades está disponível na opção Log de atividades na página de incidentes ou no painel do lado do incidente.

Realçando a opção de log de atividades na página de incidentes no portal Microsoft Defender

Você pode filtrar as atividades no log por comentários e ações. Clique no Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.

Realçando as opções de filtro no painel de log de atividades da página de incidentes no portal Microsoft Defender

Você também pode adicionar seus próprios comentários usando a caixa de comentários disponível no log de atividades. A caixa de comentários aceita texto e formatação, links e imagens.

Realçando a caixa de comentários da página de incidentes no portal do Microsoft Defender

Exportar dados de incidentes para PDF

Importante

Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

O recurso de dados de incidentes de exportação está atualmente disponível para Microsoft Defender XDR e Microsoft Defender clientes da plataforma soc (central de operações de segurança unificada) com o Microsoft Copilot para licença de segurança.

Você pode exportar dados de um incidente para PDF por meio da função Exportar incidente como PDF e salvá-los no formato PDF. Essa função permite que as equipes de segurança examinem os detalhes de um incidente offline a qualquer momento.

Os dados de incidente exportados incluem as seguintes informações:

Aqui está um exemplo do PDF exportado:

Captura de tela da primeira página do PDF exportado.

Se você tiver a licença Copilot para Segurança, o PDF exportado contém os seguintes dados adicionais de incidentes:

A função exportar para PDF também está disponível no painel lateral copilot de um relatório de incidente gerado.

Captura de tela de ações adicionais nos resultados do relatório de incidentes cartão.

Para gerar o PDF, execute as seguintes etapas:

  1. Abra uma página de incidentes. Selecione as reticências Mais ações (...) no canto superior direito e escolha Exportar incidente como PDF. A função fica acinzureada enquanto o PDF está sendo gerado.

    Captura de tela destacando a opção exportar incidente para PDF.

  2. Uma caixa de diálogo é exibida, indicando que o PDF está sendo gerado. Selecione Consegui-lo para fechar a caixa de diálogo. Além disso, uma mensagem status indicando o estado atual do download aparece abaixo do título do incidente. O processo de exportação pode levar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a serem exportados.

    Captura de tela destacando a mensagem de exportação e status antes do download.

  3. Depois que o PDF estiver pronto, a mensagem status indicará que o PDF está pronto e outra caixa de diálogo será exibida. Selecione Baixar na caixa de diálogo para salvar o PDF em seu dispositivo.

    Captura de tela destacando a mensagem de exportação e status quando o download estiver disponível.

O relatório é armazenado em cache por alguns minutos. O sistema fornece o PDF gerado anteriormente se você tentar exportar o mesmo incidente novamente em um curto período de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos para que o cache expire.

Próximas etapas

Para novos incidentes, inicie sua investigação.

Para incidentes em processo, continue sua investigação.

Para incidentes resolvidos, execute uma revisão pós-incidente.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.