Ver e gerir incidentes no Microsoft Defender para Empresas

À medida que as ameaças são detetadas e os alertas são acionados, são criados incidentes. A equipa de segurança da sua empresa pode ver e gerir incidentes no portal do Microsoft Defender. Tem de ter as permissões adequadas atribuídas para realizar as tarefas neste artigo. Veja Funções e permissões de segurança no Microsoft Defender para Empresas.

Este artigo inclui:

• Como monitorizar os seus incidentes e alertas
• Gravidade do alerta
• Passos seguintes

Monitorizar os incidentes & alertas

1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, aceda a Incidentes & alertas e, em seguida, selecione Incidentes. Todos os incidentes criados são listados na página.

   Importante

   Se vir um incidente marcado com Attack disruption, significa que foi detetado um ataque avançado. Veja Interrupção automática do ataque.

2. Selecione um alerta para abrir o painel de lista de opções, onde pode saber mais sobre o alerta.

   

3. No painel de lista de opções, pode ver o título do alerta, ver uma lista de recursos (como dispositivos ou contas de utilizador) que foram afetados, realizar ações disponíveis e utilizar ligações para ver mais informações e até abrir a página de detalhes do alerta selecionado.

Sugestão

O Defender para Empresas foi concebido para o ajudar a resolver ameaças detetadas ao recomendar ações que pode realizar. Quando vir um alerta, procure estas sugestões. Repare também na gravidade do alerta, que é determinada não só com base na gravidade da ameaça detetada, mas também no nível de risco para a sua empresa.

Gravidade do alerta

Quando é detetada uma ameaça, é atribuído um nível de gravidade a cada alerta gerado.

• Microsoft Defender o Antivírus atribui uma gravidade de alerta com base na gravidade absoluta de uma ameaça detetada (como software maligno) e no risco potencial para um dispositivo individual (se infetado).
• O Defender para Empresas atribui uma gravidade de alerta com base na gravidade do comportamento detetado, no risco real para um dispositivo e, mais importante ainda, no risco potencial para a sua empresa.

A tabela seguinte lista alguns exemplos de alertas e os respetivos níveis de gravidade:

Cenário	Gravidade e motivo do alerta
A interrupção automatizada do ataque deteta um ataque avançado e contém dispositivos ou contas de utilizador para ajudar a impedir que o ataque prossiga.	Alto. As capacidades de interrupção de ataques ajudam a conter um ataque para que a equipa de TI/segurança possa resolvê-lo.
Microsoft Defender o Antivírus deteta e para uma ameaça antes de causar danos.	Informativo. A ameaça foi parada antes de qualquer dano ser feito.
Microsoft Defender Antivírus deteta software maligno que estava a ser executado na sua empresa. O software maligno é parado e remediado.	Baixa. Embora alguns danos possam ter sido causados a um dispositivo individual, o software maligno não representa agora nenhuma ameaça para a sua empresa.
O software maligno que está a ser executado é detetado pelo Defender para Empresas. O software maligno é bloqueado quase imediatamente.	Médio ou Alto. O software maligno representa uma ameaça para dispositivos individuais e para a sua empresa.
É detetado um comportamento suspeito, mas ainda não foram tomadas medidas de remediação.	Baixa, Média ou Alta. A gravidade depende do grau em que o comportamento representa uma ameaça para a sua empresa.

Passos seguintes

• Saiba mais sobre a interrupção automática de ataques
• Responder e mitigar ameaças no Defender para Empresas
• Rever as ações de remediação no Centro de ação
• Ver ou editar políticas de dispositivos no Defender para Empresas