Investigar alertas no Microsoft Defender para Endpoint

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Investigue os alertas que estão a afetar a sua rede, compreenda o que significam e como resolvê-los.

Selecione um alerta na fila de alertas para aceder à página de alertas. Esta vista contém o título do alerta, os recursos afetados, o painel lateral de detalhes e o histórico de alertas.

Na página de alerta, inicie a investigação ao selecionar os recursos afetados ou qualquer uma das entidades na vista de árvore do bloco de alertas. O painel de detalhes é preenchido automaticamente com mais informações sobre o que selecionou. Para ver o tipo de informações que pode ver aqui, leia Rever alertas no Microsoft Defender para Endpoint.

Investigar com a história do alerta

A história do alerta detalha o motivo pelo qual o alerta foi acionado, eventos relacionados que ocorreram antes e depois, bem como outras entidades relacionadas.

As entidades são clicáveis e todas as entidades que não são alertas são expansíveis com o ícone expandir no lado direito do cartão dessa entidade. A entidade em foco será indicada por uma faixa azul no lado esquerdo do cartão dessa entidade, com o alerta no título em foco inicialmente.

Expanda as entidades para ver os detalhes rapidamente. Selecionar uma entidade irá mudar o contexto do painel de detalhes para esta entidade e permitir-lhe-á rever mais informações, bem como gerir essa entidade. Selecionar ... à direita do cartão de entidade irá revelar todas as ações disponíveis para essa entidade. Estas mesmas ações aparecem no painel de detalhes quando essa entidade está em foco.

Nota

A secção do bloco de alertas pode conter mais do que um alerta, com alertas adicionais relacionados com a mesma árvore de execução a aparecer antes ou depois do alerta que selecionou.

Tomar medidas a partir do painel de detalhes

Depois de selecionar uma entidade de interesse, o painel de detalhes será alterado para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando estiver disponível e oferecer controlos para tomar medidas nesta entidade diretamente a partir da página de alerta.

Quando terminar de investigar, volte ao alerta com o qual começou, marque o estado do alerta como Resolvido e classifique-o como alerta Falso ou Verdadeiro. Classificar alertas ajuda a otimizar esta capacidade para fornecer alertas mais verdadeiros e menos alertas falsos.

Se o classificar como um verdadeiro alerta, também pode selecionar uma determinação, conforme mostrado na imagem abaixo.

Se estiver a receber um alerta falso com uma aplicação de linha de negócio, crie uma regra de supressão para evitar este tipo de alerta no futuro.

Sugestão

Se estiver a ter problemas não descritos acima, utilize o 🙂 botão para fornecer feedback ou abrir um pedido de suporte.

Tópicos relacionados

• Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
• Gerir alertas de Microsoft Defender para Endpoint
• Investigar um ficheiro associado a um alerta do Defender para Endpoint
• Investigar dispositivos na lista de Dispositivos do Defender para Endpoint
• Investigar um endereço IP associado a um alerta do Defender para Endpoint
• Investigar um domínio associado a um alerta do Defender para Endpoint
• Investigar uma conta de utilizador no Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.