Ver e organizar a fila Microsoft Defender para Endpoint Alertas
Aplica-se a:
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A fila alertas mostra uma lista de alertas que foram sinalizados a partir de dispositivos na sua rede. Por predefinição, a fila apresenta alertas vistos nos últimos 30 dias numa vista agrupada. Os alertas mais recentes são apresentados no topo da lista, ajudando-o a ver primeiro os alertas mais recentes.
Nota
Os alertas foram significativamente reduzidos com investigações e remediação automatizadas, permitindo que os especialistas em operações de segurança se concentrem em ameaças mais sofisticadas e noutras iniciativas de valor elevado. Quando um alerta contém uma entidade suportada para investigação automatizada (por exemplo, um ficheiro) num dispositivo que tenha um sistema operativo suportado para o mesmo, pode ser iniciada uma investigação e remediação automatizadas. Para obter mais informações sobre investigações automatizadas, consulte Resumo das investigações automáticas.
Pode escolher várias opções para personalizar a vista de alertas.
Na navegação superior, pode:
- Personalizar colunas para adicionar ou remover colunas
- Aplicar filtros
- Apresentar os alertas para uma duração específica como 1 Dia, 3 Dias, 1 Semana, 30 Dias e 6 Meses
- Exportar a lista de alertas para o Excel
- Gerir Alertas
Ordenar e filtrar alertas
Pode aplicar os seguintes filtros para limitar a lista de alertas e obter uma vista mais focada dos alertas.
Severidade
| Gravidade do alerta | Descrição |
|---|---|
| High (Vermelho) |
Os alertas mais frequentemente vistos associados a ameaças persistentes avançadas (APT). Estes alertas indicam um alto risco devido à gravidade dos danos que podem infligir nos dispositivos. Alguns exemplos são: atividades de ferramentas de roubo de credenciais, atividades de ransomware não associadas a grupos, adulteração com sensores de segurança ou atividades maliciosas indicativas de um anúncio humano. |
| Médio (Orange) |
Alertas de comportamentos pós-violação e de deteção de pontos finais que possam fazer parte de uma ameaça persistente (APT) avançada. Estes comportamentos incluem comportamentos observados típicos de fases de ataque, alterações de registo anómalos, execução de ficheiros suspeitos, entre outros. Embora algumas possam fazer parte de testes de segurança internos, requer investigação, uma vez que também pode fazer parte de um ataque avançado. |
| Baixa (Amarelo) |
Alertas sobre ameaças associadas a software malicento predominante. Por exemplo, ferramentas informáticos, ferramentas não-software malitórias, tais como executar comandos de exploração, limpar registos, etc., que muitas vezes não indicam uma ameaça avançada que procura na organização. Também pode ser de uma ferramenta de segurança isolada testada por um utilizador na sua organização. |
| Informacional (Cinzento) |
Alertas que podem não ser considerados prejudiciais para a rede, mas que podem incidir sobre potenciais problemas de segurança da organização. |
Compreender a gravidade dos alertas
O Antivírus do Microsoft Defender (Microsoft Defender AV) e o Defender para gravidades dos alertas de Ponto final são diferentes porque representam âmbitos diferentes.
A gravidade da ameaça do Antivírus do Microsoft Defender representa a gravidade absoluta da ameaça detetada (software malicioso) e é atribuída com base no potencial risco para o dispositivo individual, se infetado.
A gravidade dos alertas do Defender para Ponto Final representa a gravidade do comportamento detetado, o risco real para o dispositivo mas, mais importante ainda, o risco potencial para a organização.
Por exemplo:
- A gravidade de um alerta do Defender para Ponto Final sobre um Antivírus do Microsoft Defender detetou uma ameaça que foi impedida e não infetou o dispositivo é categorizada como "Informativo" por não haver danos reais.
- Um alerta sobre software malicioso comercial foi detetado durante a execução, mas bloqueado e remediado pelo Microsoft Defender AV, é categorizado como "Baixo" porque pode ter causado alguns danos no dispositivo individual mas não representa uma ameaça organizacional.
- Um alerta sobre software malictado detetado durante a execução, que pode representar uma ameaça não só no dispositivo individual como na organização, independentemente de ter sido bloqueado, poderá ser classificado como "Médio" ou "Alto".
- Os alertas comportamentais suspeitos, que não foram bloqueados ou remediados, serão classificados como "Baixo", "Médio" ou "Elevado" ao seguir as mesmas considerações de ameaças organizacionais.
Estado
Pode optar por filtrar a lista de alertas com base no respetivos Estado.
Nota
Se vir um estado de alerta de tipo de alerta não suportado, significa que as capacidades de investigação automáticas não podem ser atentas a esse alerta para executar uma investigação automática. No entanto, pode investigar estes alertas manualmente.
Categorias
Redefinímos as categorias de alertas para se alinharem com as táticas de ataque empresarial na matriz MTT&CK. Os novos nomes de categorias aplicam-se a todos os novos alertas. Os alertas existentes irão manter os nomes das categorias anteriores.
Origens de serviço
Grupo de Peritos em Ameaças da Microsoft de pré-visualização, os participantes já podem filtrar e ver as deteções do novo serviço de procura gerido por especialistas contra ameaças.
Filtro os alertas com base nas seguintes Origens de serviço:
- Microsoft Defender para Identidade
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Endpoint
- Microsoft 365 Defender
- Microsoft Defender para Office 365
- Governação da Aplicação
- Proteção de Identidade do AAD
Nota
O filtro Antivírus só será apresentado se os dispositivos estiverem a utilizar o Antivírus do Microsoft Defender como o produto antimalware de proteção em tempo real predefinido.
Etiquetas
Pode filtrar os alertas com base em Etiquetas atribuídas a alertas.
Política
Pode filtrar os alertas com base nas seguintes políticas:
| Origem de deteção | Valor da API |
|---|---|
| Sensores de terceiros | ThirdPartySensors |
| Antivírus | WindowsDefenderAv |
| Investigação automatizada | AutomatedInvestigation |
| Deteção personalizada | CustomDetection |
| TI personalizado | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft 365 Defender | MTP |
| Microsoft Defender para Office 365 | OfficeATP |
| Grupo de Peritos em Ameaças da Microsoft | ThreatExperts |
| SmartScreen | WindowsDefenderSmartScreen |
Entidades
Pode filtrar os alertas com base no nome ou ID da Entidade.
Estado de investigação automatizado
Pode optar por filtrar os alertas com base no seu estado de Investigação automática.
Tópicos relacionados
- Gerir Microsoft Defender para Endpoint alertas
- Investigar Microsoft Defender para Endpoint alertas
- Investigar um ficheiro associado a um alerta de Microsoft Defender para Endpoint Contactos
- Investigar dispositivos na lista Microsoft Defender para Endpoint Dispositivos
- Investigar um endereço IP associado a um alerta de Microsoft Defender para Endpoint ID
- Investigar um domínio associado a um alerta de Microsoft Defender para Endpoint Contactos
- Investigar uma conta de utilizador no Microsoft Defender para Endpoint