Gerir incidentes no Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
- Plataforma do centro de operações de segurança (SOC) unificado do Microsoft Defender
A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.
Sugestão
Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.
Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Eis um exemplo.
Eis as formas de gerir os incidentes:
- Editar o nome do incidente
- Atribuir ou alterar a gravidade
- Adicionar etiquetas de incidentes
- Atribuir o incidente a uma conta de utilizador
- Resolvê-los
- Especificar a classificação
- Adicionar comentários
- Avaliar a auditoria de atividade e adicionar comentários no Registo de atividades
- Exportar dados de incidentes para PDF
Pode gerir incidentes a partir do painel Gerir incidentes para um incidente. Eis um exemplo.
Pode apresentar este painel a partir da ligação Gerir incidente no:
- Página do bloco de alertas .
- Painel propriedades de um incidente na fila de incidentes.
- Página de resumo de um incidente.
- Opção Gerir incidente localizada no canto superior direito da página Incidente.
Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.
Editar o nome do incidente
Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .
Nota
Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.
Atribuir ou alterar a gravidade do incidente
Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.
Adicionar etiquetas de incidentes
Pode adicionar etiquetas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com uma característica comum. Mais tarde, pode filtrar a fila de incidentes para todos os incidentes que contenham uma etiqueta específica.
A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.
Atribuir um incidente
Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.
Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.
- Na fila de incidentes, selecione Filtros.
- Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
- Selecione Aplicar e, em seguida, feche o painel Filtros .
Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.
Resolver um incidente
Selecione Resolver incidente para mover o botão de alternar para a direita quando um incidente é remediado. Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.
Um incidente que não é resolvido é apresentado como Ativo.
Especificar a classificação
No campo Classificação , especifique se o incidente é:
- Não definido (a predefinição).
- Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda a sua equipa de segurança a ver padrões de ameaças e a agir para defender a sua organização dos mesmos.
- Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
- Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.
Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.
Adicionar comentários
Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.
Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .
Registo de atividades
O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.
Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Eis um exemplo.
Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.
Exportar dados de incidentes para PDF
Importante
Algumas informações neste artigo estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
A funcionalidade exportar dados de incidentes está atualmente disponível para Microsoft Defender XDR e Microsoft Defender clientes da plataforma do Centro de Operações de Segurança Unificadas (SOC) com a licença microsoft Copilot para segurança.
Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.
Os dados do incidente exportados incluem as seguintes informações:
- Uma descrição geral que contém os detalhes do incidente
- O gráfico do bloco de ataque e as categorias de ameaças
- Os recursos afetados, que abrangem até 10 ativos para cada tipo de recurso
- A lista de provas que abrange até 100 itens
- Dados de suporte, incluindo todos os alertas e atividades relacionados registados no registo de atividades
Eis um exemplo do PDF exportado:
Se tiver a licença Copilot para Security, o PDF exportado contém os seguintes dados adicionais de incidentes:
A função exportar para PDF também está disponível no painel lateral Copilot de um relatório de incidente gerado.
Para gerar o PDF, execute os seguintes passos:
Abra uma página de incidente. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF. A função fica desativada enquanto o PDF está a ser gerado.
É apresentada uma caixa de diálogo que indica que o PDF está a ser gerado. Selecione Obteve-o para fechar a caixa de diálogo. Além disso, é apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.
Quando o PDF estiver pronto, a mensagem de estado indica que o PDF está pronto e é apresentada outra caixa de diálogo. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo.
O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.
Passos seguintes
Para novos incidentes, inicie a investigação.
Para incidentes em processo, continue a investigação.
Para incidentes resolvidos, efetue uma revisão pós-incidente.
Consulte também
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários