Gerenciar incidentes de Microsoft Defender para Ponto de Extremidade
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Gerenciar incidentes é uma parte importante de todas as operações de segurança cibernética. Você pode gerenciar incidentes selecionando um incidente na fila Incidentes ou no painel Gerenciamento de incidentes.
Dica
Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.
Selecionar um incidente na fila Incidentes traz o painel Gerenciamento de incidentes em que você pode abrir a página de incidentes para obter detalhes.
Você pode atribuir incidentes a si mesmo, alterar o status e classificação, renomear ou comentar sobre eles para acompanhar seu progresso.
Dica
Para visibilidade adicional rapidamente, os nomes de incidentes são gerados automaticamente com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de detecção ou categorias. Isso permite que você entenda rapidamente o escopo do incidente.
Por exemplo: incidente em vários estágios em vários pontos de extremidade relatados por várias fontes.
Incidentes que existiam antes da distribuição de nomenclatura automática de incidentes manterão seus nomes.
Atribuir incidentes
Se um incidente ainda não tiver sido atribuído, você poderá selecionar Atribuir a mim para atribuir o incidente a si mesmo. Ao fazer isso, você assume a propriedade não apenas do incidente, como também de todos os alertas associados a ele.
Definir o status e a classificação
Status do incidente
Você pode categorizar os incidentes (como Ativoou Resolvido) alterando o status deles durante sua investigação. Isso ajuda você a organizar e a gerenciar a maneira como sua equipe é capaz de responder a incidentes.
Por exemplo, seu analista do SOC pode examinar os incidentes ativos urgentes do dia e decidir atribuí-los a si mesmo para investigação.
Como alternativa, seu analista de SOC pode definir o incidente como Resolvido caso ele já tenha sido solucionado.
Classificação
Você pode optar por não definir uma classificação ou decidir especificar se um incidente é verdadeiro ou falso. Isso ajuda a equipe a ver padrões e a aprender com eles.
Adicionar comentários
Você pode adicionar comentários e exibir eventos históricos sobre um incidente para ver as alterações feitas anteriormente.
Sempre que uma alteração ou um comentário forem feitos em um alerta, eles são registrados na seção Comentários e histórico.
Os comentários adicionados aparecem instantaneamente no painel.
Tópicos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.