Responder ao seu primeiro incidente no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Este guia lista os recursos da Microsoft para novos Microsoft Defender XDR utilizadores a realizarem tarefas de resposta a incidentes diárias com confiança enquanto utilizam o portal. Os resultados pretendidos da utilização deste guia são:
- Aprenderá rapidamente a utilizar Microsoft Defender XDR para responder a incidentes e alertas.
- Irá descobrir as funcionalidades do portal para ajudar na investigação e remediação de incidentes através dos vídeos e tutoriais.
Microsoft Defender XDR permite-lhe ver eventos de ameaças relevantes em todos os recursos (dispositivos, identidades, caixas de correio, aplicações na nuvem e muito mais). O portal consolida os sinais do conjunto de proteção do Defender, do Microsoft Sentinel e de outras soluções integradas de gestão de informações e eventos de segurança (SIEM). As informações de ataque correlacionadas com o contexto completo num único painel de vidro permitem-lhe defender e proteger a sua organização com êxito.
Este guia tem três secções principais:
- Compreender os incidentes: aceder, triagem e gerir incidentes no portal
- Análise de ataques: uma coleção de vídeos e tutoriais sobre como investigar ataques específicos com as funcionalidades do portal.
- Remediar ataques: lista as ações automatizadas e manuais que estão disponíveis no portal para remediar ameaças. Esta secção inclui ligações para vídeos e tutoriais.
Compreender os incidentes
Um incidente é uma cadeia de processos criados, comandos e ações que podem não ter coincidedo. Um incidente fornece uma imagem holística e contexto de atividade suspeita ou maliciosa. Um único incidente dá-lhe o contexto completo de um ataque em vez de triagem de centenas de alertas de vários serviços.
Sugestão
Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.
Microsoft Defender XDR tem muitas funcionalidades que pode utilizar para responder a um incidente. Pode navegar nos incidentes ao selecionar Ver todos os incidentes no cartão Incidentes ativos na Home page ou através de Incidentes & alertas no painel de navegação esquerdo.
Figura 1. Cartão de incidentes ativos na home page do Microsoft Defender XDR
Figure 2. Fila de incidentes
Cada incidente contém alertas correlacionados automaticamente de diferentes origens de deteção e pode envolver vários pontos finais, identidades ou aplicações na cloud.
Triagem de incidentes
A atribuição de prioridades de incidentes varia de acordo com a equipa de resposta, a equipa de segurança e a organização. Os planos de resposta a incidentes e a direção das equipas de segurança podem ordenar a prioridade dos incidentes.
Microsoft Defender XDR tem vários indicadores, como a gravidade do incidente, tipos de utilizadores ou tipos de ameaças para fazer a triagem e atribuir prioridades a incidentes. Pode utilizar qualquer combinação destes indicadores prontamente disponíveis através dos filtros da fila de incidentes .
Um exemplo de determinação da prioridade do incidente é combinar os seguintes fatores para um incidente:
- O incidente tem uma gravidade elevada.
- O estado de investigação da automatização falhou.
- Existem 5 recursos afetados em que dois dos recursos são etiquetados com confidencialidade de dados altamente confidencial.
- O estado do incidente é novo.
- O incidente não está atribuído a qualquer membro da equipa para investigação.
Pode atribuir uma prioridade elevada ao incidente com as informações acima. Pode iniciar a investigação do incidente assim que for determinada uma prioridade.
Nota
Microsoft Defender XDR determina automaticamente filtros como gravidade, estados de investigação, recursos afetados e estados de incidentes. As informações baseiam-se nas atividades de rede da sua organização contextualizadas com feeds de informações sobre ameaças e nas ações de remediação automatizadas aplicadas.
Gerir incidentes
Pode contribuir para a eficiência da gestão de incidentes ao fornecer informações essenciais em incidentes e alertas. Quando adiciona informações aos seguintes filtros de quando faz a triagem e analisa cada incidente, fornece mais contexto a esse incidente do qual os outros participantes podem tirar partido:
- Classificar incidentes e alertas
- Incidentes de nomenclatura
- Adicionar etiquetas
- Fornecer comentários
Saiba como classificar incidentes e alertas através deste vídeo:
Passos seguintes
- Analisar o seu primeiro incidente
- Remediar o seu primeiro incidente
- Veja as demonstrações e os novos desenvolvimentos do portal em ação no Microsoft Defender XDR Virtual Ninja Training
Consulte também
- Integrar Microsoft Defender XDR nas operações de segurança
- Responder a ataques comuns com manuais de procedimentos de resposta a incidentes
- Conheça as funcionalidades e funções do portal através da formação Microsoft Defender XDR Ninja
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários