Partilhar via


Priorizar incidentes no portal do Microsoft Defender

A plataforma de operações de segurança unificada no portal do Microsoft Defender aplica análises de correlação e agrega alertas relacionados e investigações automatizadas de diferentes produtos num incidente. O Microsoft Sentinel e o Defender XDR também acionam alertas exclusivos sobre atividades que só podem ser identificadas como maliciosas dada a visibilidade ponto a ponto na plataforma unificada em todo o conjunto de produtos. Esta vista fornece aos seus analistas de segurança a história de ataque mais abrangente, que os ajuda a compreender melhor e a lidar com ameaças complexas em toda a sua organização.

Importante

O Microsoft Sentinel está agora disponível globalmente na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

Fila de incidentes

A fila Incidente mostra uma coleção de incidentes que foram criados entre dispositivos, utilizadores, caixas de correio e outros recursos. Ajuda-o a ordenar os incidentes para priorizar e criar uma decisão de resposta de cibersegurança informada, um processo conhecido como triagem de incidentes.

Pode aceder à fila de incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender. Eis um exemplo.

Captura de ecrã da fila Incidentes no portal do Microsoft Defender.

Selecione Incidentes e alertas mais recentes para ativar/desativar a expansão da secção superior, que mostra um gráfico de linha cronológica do número de alertas recebidos e incidentes criados nas últimas 24 horas.

Captura de ecrã do gráfico de incidentes de 24 horas.

Abaixo, a fila de incidentes no portal do Microsoft Defender apresenta os incidentes observados nos últimos seis meses. Pode escolher um intervalo de tempo diferente ao selecioná-lo na lista pendente na parte superior. Os incidentes são organizados de acordo com as atualizações automáticas ou manuais mais recentes efetuadas a um incidente. Pode organizar os incidentes até à última coluna de hora da atualização para ver os incidentes de acordo com as atualizações automáticas ou manuais mais recentes efetuadas.

A fila de incidentes tem colunas personalizáveis que lhe dão visibilidade sobre as diferentes características do incidente ou das entidades afetadas. Esta filtragem ajuda-o a tomar uma decisão informada sobre a atribuição de prioridades de incidentes para análise. Selecione Personalizar colunas para efetuar as seguintes personalizações com base na sua vista preferida:

  • Verifique/desmarque as colunas que pretende ver na fila de incidentes.
  • Disponha a ordem das colunas ao arrastá-las.

Captura de ecrã a mostrar o filtro de página de incidentes e os controlos de coluna.

Nomes de incidentes

Para obter mais visibilidade de relance, o Microsoft Defender XDR gera automaticamente nomes de incidentes, com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Esta nomenclatura específica permite-lhe compreender rapidamente o âmbito do incidente.

Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Se integrou o Microsoft Sentinel na plataforma de operações de segurança unificada, é provável que quaisquer alertas e incidentes provenientes do Microsoft Sentinel tenham os respetivos nomes alterados (independentemente de terem sido criados antes ou depois da integração).

Recomendamos que evite utilizar o nome do incidente como uma condição para acionar regras de automatização. Se o nome do incidente for uma condição e o nome do incidente for alterado, a regra não será acionada.

Filtros

A fila de incidentes também fornece várias opções de filtragem, que, quando aplicadas, permitem-lhe realizar uma vasta escala de todos os incidentes existentes no seu ambiente ou decidir focar-se num cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar que incidente requer atenção imediata.

A lista Filtros acima da lista de incidentes mostra os filtros atualmente aplicados.

Na fila de incidentes predefinida, pode selecionar Adicionar filtro para ver o menu pendente Adicionar filtro , a partir do qual especifica filtros a aplicar à fila de incidentes para limitar o conjunto de incidentes apresentado. Eis um exemplo.

O painel Filtros da fila de incidentes no portal do Microsoft Defender.

Selecione os filtros que pretende utilizar e, em seguida, selecione Adicionar na parte inferior da lista para os disponibilizar.

Agora, os filtros que selecionou são apresentados juntamente com os filtros aplicados existentes. Selecione o novo filtro para especificar as condições. Por exemplo, se escolher o filtro "Origens de serviço/deteção", selecione-o para escolher as origens através das quais pretende filtrar a lista.

Também pode ver o painel Filtro ao selecionar qualquer um dos filtros na lista Filtros acima da lista de incidentes.

Esta tabela lista os nomes de filtro que estão disponíveis.

Nome do filtro Descrição/Condições
Estado Selecione Novo, Em curso ou Resolvido.
Gravidade do alerta
Gravidade do incidente
A gravidade de um alerta ou incidente é indicativa do impacto que pode ter nos seus recursos. Quanto maior for a gravidade, maior será o impacto e, normalmente, requer a atenção mais imediata. Selecione Alto, Médio, Baixo ou Informativo.
Atribuição de incidentes Selecione o utilizador ou utilizadores atribuídos.
Várias origens de serviço Especifique se o filtro é para mais do que uma origem de serviço.
Origens de serviço/deteção Especifique os incidentes que contêm alertas de um ou mais dos seguintes:
  • Microsoft Defender para Identidade
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender para Office 365
  • Governação de Aplicações
  • Proteção do Microsoft Entra ID
  • Prevenção de Perda de Dados da Microsoft
  • Microsoft Defender para a Cloud
  • Microsoft Sentinel

    Muitos destes serviços podem ser expandidos no menu para revelar mais opções de origens de deteção num determinado serviço.
  • Etiquetas Selecione um ou vários nomes de etiquetas na lista.
    Várias categorias Especifique se o filtro é para mais do que uma categoria.
    Categorias Escolha categorias para se concentrar em táticas, técnicas ou componentes de ataque específicos vistos.
    Entidades Especifique o nome de um recurso, como um utilizador, dispositivo, caixa de correio ou nome da aplicação.
    Confidencialidade dos dados Alguns ataques focam-se na filtragem para exfiltrar dados confidenciais ou valiosos. Ao aplicar um filtro para etiquetas de confidencialidade específicas, pode determinar rapidamente se as informações confidenciais foram potencialmente comprometidas e priorizar a resolução desses incidentes.

    Este filtro apresenta informações apenas quando tiver aplicado etiquetas de confidencialidade do Microsoft Purview Information Protection.
    Grupos de dispositivos Especifique um nome de grupo de dispositivos .
    Plataforma do SO Especifique os sistemas operativos do dispositivo.
    Classificação Especifique o conjunto de classificações dos alertas relacionados.
    Estado de investigação automatizado Especifique o estado da investigação automatizada.
    Ameaça associada Especifique uma ameaça nomeada.
    Políticas de alertas Especifique um título de política de alerta.
    IDs de subscrição de alerta Especifique um alerta com base num ID de subscrição.

    O filtro predefinido é mostrar todos os alertas e incidentes com o estado Novo e Em curso e com uma gravidade de Alto, Médio ou Baixo.

    Pode remover rapidamente um filtro ao selecionar o X no nome de um filtro na lista Filtros .

    Também pode criar conjuntos de filtros na página de incidentes ao selecionar Consultas > de filtro guardadas Criar conjunto de filtros. Se não tiverem sido criados conjuntos de filtros, selecione Guardar para criar um.

    A opção criar conjuntos de filtros para a fila de incidentes no portal do Microsoft Defender.

    Nota

    Agora, os clientes do Microsoft Defender XDR podem filtrar incidentes com alertas em que um dispositivo comprometido comunicava com dispositivos de tecnologia operacional (OT) ligados à rede empresarial através da integração de deteção de dispositivos do Microsoft Defender para IoT e do Microsoft Defender para Endpoint. Para filtrar estes incidentes, selecione Qualquer nas Origens de serviço/deteção e, em seguida, selecione Microsoft Defender para IoT no Nome do produto ou veja Investigar incidentes e alertas no Microsoft Defender para IoT no portal do Defender. Também pode utilizar grupos de dispositivos para filtrar alertas específicos do site. Para obter mais informações sobre os pré-requisitos do Defender para IoT, veja Introdução à monitorização de IoT empresarial no Microsoft Defender XDR.

    Guardar filtros personalizados como URLs

    Depois de configurar um filtro útil na fila de incidentes, pode marcar o URL do separador do browser ou guardá-lo como uma ligação numa página Web, num documento do Word ou num local à sua escolha. Os marcadores dão-lhe acesso de clique único às principais vistas da fila de incidentes, tais como:

    • Novos incidentes
    • Incidentes de alta gravidade
    • Incidentes não atribuídos
    • Incidentes de elevada gravidade e não atribuídos
    • Incidentes atribuídos a mim
    • Incidentes atribuídos a mim e ao Microsoft Defender para Endpoint
    • Incidentes com uma etiqueta ou etiquetas específicas
    • Incidentes com uma categoria de ameaça específica
    • Incidentes com uma ameaça associada específica
    • Incidentes com um ator específico

    Depois de compilar e armazenar a sua lista de vistas de filtro úteis como URLs, utilize-a para processar e priorizar rapidamente os incidentes na sua fila e geri-los para a atribuição e análise subsequentes.

    Na caixa Procurar nome ou ID acima da lista de incidentes, pode procurar incidentes de várias formas para encontrar rapidamente o que procura.

    Procurar por nome ou ID do incidente

    Procure diretamente um incidente ao escrever o ID do incidente ou o nome do incidente. Quando seleciona um incidente na lista de resultados da pesquisa, o portal do Microsoft Defender abre um novo separador com as propriedades do incidente, a partir do qual pode iniciar a investigação.

    Procurar por recursos afetados

    Pode atribuir um nome a um recurso ( como um utilizador, dispositivo, caixa de correio, nome da aplicação ou recurso na cloud) e encontrar todos os incidentes relacionados com esse recurso.

    Especificar um intervalo de tempo

    A lista predefinida de incidentes é para aqueles que ocorreram nos últimos seis meses. Pode especificar um novo intervalo de tempo a partir da caixa pendente junto ao ícone de calendário ao selecionar:

    • Um dia
    • Três dias
    • Uma semana
    • 30 dias
    • 30 dias
    • Seis meses
    • Um intervalo personalizado no qual pode especificar datas e horas

    Passos seguintes

    Depois de determinar qual o incidente que requer a prioridade mais alta, selecione-o e:

    • Faça a gestão das propriedades do incidente para etiquetas, atribuição, resolução imediata para incidentes falsos positivos e comentários.
    • Inicie as suas investigações.

    Consulte também

    Sugestão

    Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.