Gerenciar alertas de Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O Defender para Ponto de Extremidade notifica você sobre possíveis eventos mal-intencionados, atributos e informações contextuais por meio de alertas. Um resumo de novos alertas é exibido e você pode acessar todos os alertas na fila Alertas.

Você pode gerenciar alertas selecionando um alerta na fila Alertas ou na guia Alertas da página Dispositivo para um dispositivo individual.

Selecionar um alerta em qualquer um desses locais traz o painel Gerenciamento de alertas.

Assista a este vídeo para saber como usar a nova página de alerta Microsoft Defender para Ponto de Extremidade.

Link para outro incidente

Você pode criar um novo incidente a partir do alerta ou link para um incidente existente.

Atribuir alertas

Se um alerta ainda não estiver atribuído, você poderá selecionar Atribuir a mim para atribuir o alerta a si mesmo.

Suprimir alertas

Pode haver cenários em que você precisa suprimir alertas de aparecer em Microsoft Defender XDR. O Defender para Ponto de Extremidade permite criar regras de supressão para alertas específicos conhecidos por serem inócuos, como ferramentas ou processos conhecidos em sua organização.

As regras de supressão podem ser criadas a partir de um alerta existente. Eles podem ser desabilitados e reabilitados, se necessário.

Quando uma regra de supressão é criada, ela entrará em vigor a partir do ponto em que a regra é criada. A regra não afetará os alertas existentes já na fila, antes da criação da regra. A regra só será aplicada em alertas que satisfaçam as condições definidas após a criação da regra.

Há dois contextos para uma regra de supressão que você pode escolher:

• Suprimir alerta neste dispositivo
• Suprimir alerta na minha organização

O contexto da regra permite adaptar o que é exibido no portal e garantir que apenas alertas de segurança reais sejam exibidos no portal.

Você pode usar os exemplos na tabela a seguir para ajudar a escolher o contexto para uma regra de supressão:

Contexto	Definição	Exemplos de cenários
Suprimir alerta neste dispositivo	Alertas com o mesmo título de alerta e nesse dispositivo específico só serão suprimidos. Todos os outros alertas nesse dispositivo não serão suprimidos.	Um pesquisador de segurança está investigando um script mal-intencionado que foi usado para atacar outros dispositivos em sua organização. Um desenvolvedor cria regularmente scripts do PowerShell para sua equipe.
Suprimir alerta na minha organização	Alertas com o mesmo título de alerta em qualquer dispositivo serão suprimidos.	Uma ferramenta administrativa benigna é usada por todos na sua organização.

Suprimir um alerta e criar uma nova regra de supressão

Create regras personalizadas para controlar quando os alertas são suprimidos ou resolvidos. Você pode controlar o contexto para quando um alerta é suprimido especificando o título de alerta, o indicador de comprometimento e as condições. Depois de especificar o contexto, você poderá configurar a ação e o escopo no alerta.

1. Selecione o alerta que você gostaria de suprimir. Isso traz o painel Gerenciamento de alertas .

2. Selecione Create uma regra de supressão.

   Você pode criar uma condição de supressão usando esses atributos. Um operador AND é aplicado entre cada condição, portanto, a supressão só ocorre se todas as condições forem atendidas.

   • Arquivo SHA1
   • Nome do arquivo – curinga com suporte
   • Caminho da pasta – curinga com suporte
   • Endereço IP
   • URL – curinga com suporte
   • Linha de comando – curinga com suporte

3. Selecione o COI de gatilho.

4. Especifique a ação e o escopo no alerta.

   Você pode resolve automaticamente um alerta ou escondê-lo do portal. Os alertas resolvidos automaticamente aparecerão na seção resolvida da fila de alertas, da página de alerta e do dispositivo linha do tempo e aparecerão conforme resolvido entre APIs do Defender para Ponto de Extremidade.

   Os alertas marcados como ocultos serão suprimidos de todo o sistema, tanto nos alertas associados do dispositivo quanto no dashboard e não serão transmitidos pelas APIs do Defender para Ponto de Extremidade.

5. Insira um nome de regra e um comentário.

6. Clique em Salvar.

Exibir a lista de regras de supressão

1. No painel de navegação, selecione Configurações>Endpoints>Rules>Alert suppression.

2. A lista de regras de supressão mostra todas as regras que os usuários da sua organização criaram.

Para obter mais informações sobre como gerenciar regras de supressão, consulte Gerenciar regras de supressão

Alterar o status de um alerta

Você pode categorizar alertas (como Novo, Em Andamento ou Resolvido) alterando suas status à medida que sua investigação progride. Isso ajuda você a organizar e gerenciar como sua equipe pode responder aos alertas.

Por exemplo, um líder de equipe pode examinar todos os novos alertas e decidir atribuí-los à fila Em Andamento para análise posterior.

Como alternativa, o líder da equipe pode atribuir o alerta à fila Resolvida se souber que o alerta é benigno, proveniente de um dispositivo irrelevante (como um que pertence a um administrador de segurança) ou está sendo tratado por meio de um alerta anterior.

Classificação de alertas

Você pode optar por não definir uma classificação ou especificar se um alerta é um alerta verdadeiro ou um alerta falso. É importante fornecer a classificação de verdadeiro positivo/falso positivo. Essa classificação é usada para monitorar a qualidade do alerta e tornar os alertas mais precisos. O campo "determinação" define fidelidade adicional para uma classificação "true positive".

As etapas para classificar alertas estão incluídas neste vídeo:

Adicionar comentários e exibir o histórico de um alerta

Você pode adicionar comentários e exibir eventos históricos sobre um alerta para ver as alterações anteriores feitas no alerta.

Sempre que uma alteração ou comentário é feito em um alerta, ele é gravado na seção Comentários e histórico .

Os comentários adicionados aparecem instantaneamente no painel.

Artigos relacionados

• Exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
• Gerenciar regras de supressão
• Exibir e organizar a fila de alerta do Microsoft Defender para Ponto de Extremidade
• Investigar alertas de Microsoft Defender para Ponto de Extremidade
• Investigar um arquivo associado a um alerta de Microsoft Defender para Ponto de Extremidade
• Investigar dispositivos na lista Microsoft Defender para Ponto de Extremidade Dispositivos
• Investigar um endereço IP associado a um alerta de Microsoft Defender para Ponto de Extremidade
• Investigar um domínio associado a um alerta de Microsoft Defender para Ponto de Extremidade
• Investigar uma conta de usuário no Microsoft Defender para Ponto de Extremidade

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.