Gerir incidentes no Microsoft Defender

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR
  • Plataforma do centro de operações de segurança (SOC) unificado do Microsoft Defender

A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.

Sugestão

Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.

Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Eis um exemplo.

Realçar a opção gerir incidentes na fila de incidentes e no painel de iniciação rápida no portal do Microsoft Defender

Eis as formas de gerir os incidentes:

Pode gerir incidentes a partir do painel Gerir incidentes para um incidente. Eis um exemplo.

O painel Gerir incidentes no portal do Microsoft Defender

Pode apresentar este painel a partir da ligação Gerir incidente no:

  • Página do bloco de alertas .
  • Painel propriedades de um incidente na fila de incidentes.
  • Página de resumo de um incidente.
  • Opção Gerir incidente localizada no canto superior direito da página Incidente.

Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.

Editar o nome do incidente

Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .

Nota

Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.

Atribuir ou alterar a gravidade do incidente

Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Adicionar etiquetas de incidentes

Pode adicionar etiquetas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com uma característica comum. Mais tarde, pode filtrar a fila de incidentes para todos os incidentes que contenham uma etiqueta específica.

A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.

Atribuir um incidente

Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.

Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.

  1. Na fila de incidentes, selecione Filtros.
  2. Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
  3. Selecione Aplicar e, em seguida, feche o painel Filtros .

Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.

Resolver um incidente

Selecione Resolver incidente para mover o botão de alternar para a direita quando um incidente é remediado. Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.

Um incidente que não é resolvido é apresentado como Ativo.

Especificar a classificação

No campo Classificação , especifique se o incidente é:

  • Não definido (a predefinição).
  • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda a sua equipa de segurança a ver padrões de ameaças e a agir para defender a sua organização dos mesmos.
  • Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
  • Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.

Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.

Adicionar comentários

Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.

Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .

Registo de atividades

O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.

Realçar a opção do registo de atividades a partir da página de incidentes no portal do Microsoft Defender

Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Eis um exemplo.

Realçar as opções de filtro no painel do registo de atividades a partir da página de incidentes no portal do Microsoft Defender

Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.

Realçar a caixa de comentário a partir da página do incidente no portal do Microsoft Defender

Exportar dados de incidentes para PDF

Importante

Algumas informações neste artigo estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

A funcionalidade exportar dados de incidentes está atualmente disponível para Microsoft Defender XDR e Microsoft Defender clientes da plataforma do Centro de Operações de Segurança Unificadas (SOC) com a licença microsoft Copilot para segurança.

Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.

Os dados do incidente exportados incluem as seguintes informações:

Eis um exemplo do PDF exportado:

Captura de ecrã da primeira página do PDF exportado.

Se tiver a licença Copilot para Security, o PDF exportado contém os seguintes dados adicionais de incidentes:

A função exportar para PDF também está disponível no painel lateral Copilot de um relatório de incidente gerado.

Captura de ecrã de ações adicionais no cartão de resultados do relatório de incidente.

Para gerar o PDF, execute os seguintes passos:

  1. Abra uma página de incidente. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF. A função fica desativada enquanto o PDF está a ser gerado.

    Captura de ecrã a realçar a opção exportar incidente para PDF.

  2. É apresentada uma caixa de diálogo que indica que o PDF está a ser gerado. Selecione Obteve-o para fechar a caixa de diálogo. Além disso, é apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.

    Captura de ecrã a realçar a mensagem de exportação e o estado antes da transferência.

  3. Quando o PDF estiver pronto, a mensagem de estado indica que o PDF está pronto e é apresentada outra caixa de diálogo. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo.

    Captura de ecrã a realçar a mensagem de exportação e o estado quando a transferência está disponível.

O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.

Passos seguintes

Para novos incidentes, inicie a investigação.

Para incidentes em processo, continue a investigação.

Para incidentes resolvidos, efetue uma revisão pós-incidente.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.