Exibir e organizar a fila de alerta do Microsoft Defender para Ponto de Extremidade
Aplica-se a:
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
A fila Alertas mostra uma lista de alertas que foram sinalizados de dispositivos em sua rede. Por padrão, a fila exibe alertas vistos nos últimos 7 dias em uma exibição agrupada. Os alertas mais recentes são mostrados na parte superior da lista ajudando você a ver os alertas mais recentes primeiro.
Observação
Os alertas são significativamente reduzidos com investigação e correção automatizadas, permitindo que especialistas em operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. Quando um alerta contém uma entidade com suporte para investigação automatizada (por exemplo, um arquivo) em um dispositivo que tem um sistema operacional com suporte para ele, uma investigação e correção automatizadas podem começar. Para obter mais informações sobre investigações automatizadas, consulte Visão geral das investigações automatizadas.
Há várias opções que você pode escolher para personalizar a exibição de alertas.
Na navegação superior, você pode:
- Personalizar colunas para adicionar ou remover colunas
- Aplicar filtros
- Exiba os alertas por uma duração específica como 1 dia, 3 dias, 1 semana, 30 dias e 6 meses
- Exportar a lista de alertas para excel
- Gerenciar Alertas
Você pode aplicar os seguintes filtros para limitar a lista de alertas e obter uma exibição mais focada dos alertas.
Gravidade do alerta | Descrição |
---|---|
Alto (Vermelho) |
Alertas comumente vistos associados a ameaças persistentes avançadas (APT). Esses alertas indicam um alto risco devido à gravidade dos danos que podem causar aos dispositivos. Alguns exemplos são: atividades de ferramentas de roubo de credencial, atividades de ransomware não associadas a nenhum grupo, adulteração de sensores de segurança ou qualquer atividade mal-intencionada indicativa de um adversário humano. |
Médio (Laranja) |
Alertas de detecção de ponto de extremidade e comportamentos pós-violação de resposta que podem fazer parte de uma APT (ameaça persistente avançada). Esses comportamentos incluem comportamentos observados típicos de estágios de ataque, alteração de registro anômalo, execução de arquivos suspeitos e assim por diante. Embora alguns possam fazer parte de testes de segurança interna, isso requer investigação, pois também pode fazer parte de um ataque avançado. |
Baixo (Amarelo) |
Alertas sobre ameaças associadas ao malware predominante. Por exemplo, ferramentas de hack, ferramentas de hack não malware, como executar comandos de exploração, limpar logs etc., que muitas vezes não indicam uma ameaça avançada direcionada à organização. Ele também pode vir de um teste de ferramenta de segurança isolado por um usuário em sua organização. |
Informativo (Cinza) |
Alertas que podem não ser considerados prejudiciais à rede, mas podem gerar conscientização sobre segurança organizacional sobre possíveis problemas de segurança. |
Microsoft Defender as severidades de alerta do Antivírus e do Defender para Ponto de Extremidade são diferentes porque representam escopos diferentes.
O Microsoft Defender gravidade da ameaça antivírus representa a gravidade absoluta da ameaça detectada (malware) e é atribuído com base no risco potencial para o dispositivo individual, se infectado.
A gravidade do alerta do Defender para Ponto de Extremidade representa a gravidade do comportamento detectado, o risco real para o dispositivo, mas, mais importante, o risco potencial para a organização.
Portanto, por exemplo:
- A gravidade de um alerta do Defender para Ponto de Extremidade sobre uma ameaça detectada Microsoft Defender Antivírus que foi evitada e não infectou o dispositivo é categorizada como "Informativa" porque não houve nenhum dano real.
- Um alerta sobre um malware comercial foi detectado durante a execução, mas bloqueado e corrigido por Microsoft Defender Antivírus, é categorizado como "Baixo" porque pode ter causado algum dano ao dispositivo individual, mas não representa nenhuma ameaça organizacional.
- Um alerta sobre malware detectado durante a execução que pode representar uma ameaça não só para o dispositivo individual, mas para a organização, independentemente de ter sido eventualmente bloqueado, pode ser classificado como "Médio" ou "Alto".
- Alertas comportamentais suspeitos, que não foram bloqueados ou corrigidos, serão classificados como "Baixo", "Médio" ou "Alto" seguindo as mesmas considerações de ameaça organizacional.
Você pode optar por filtrar a lista de alertas com base em seu Status.
Observação
Se você vir um alerta de tipo de alerta sem suporte status, isso significa que os recursos automatizados de investigação não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.
Redefinimos as categorias de alerta para se alinharem às táticas de ataque empresarial na matriz CK do MITRE ATT&. Novos nomes de categoria se aplicam a todos os novos alertas. Os alertas existentes manterão os nomes de categoria anteriores.
Você pode filtrar os alertas com base nas seguintes fontes de serviço:
- Microsoft Defender para Identidade?
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender para Office 365
- Governança do aplicativo
- Microsoft Entra ID Protection
Os clientes de Notificação do Ponto de Extremidade da Microsoft agora podem filtrar e ver as detecções do serviço filtrando Microsoft Defender Especialistas aninhados na fonte de serviço Microsoft Defender para Ponto de Extremidade.
Observação
O filtro Antivírus só será exibido se os dispositivos estiverem usando Microsoft Defender Antivírus como o produto antimalware de proteção em tempo real padrão.
Você pode filtrar os alertas com base em Marcas atribuídas a alertas.
Você pode filtrar os alertas com base nas seguintes políticas:
Fonte de detecção | Valor da API |
---|---|
Sensores de terceiros | ThirdPartySensors |
Antivírus | WindowsDefenderAv |
Investigação automatizada | AutomatedInvestigation |
Detecção personalizada | CustomDetection |
TI personalizada | CustomerTI |
EDR | WindowsDefenderAtp |
Microsoft Defender XDR | MTP |
Microsoft Defender para Office 365 | OfficeATP |
Microsoft Defender Experts | ThreatExperts |
Smartscreen | WindowsDefenderSmartScreen |
Você pode filtrar os alertas com base no nome da entidade ou na ID.
Você pode optar por filtrar os alertas com base no estado de investigação automatizado.
- Gerenciar alertas de Microsoft Defender para Ponto de Extremidade
- Investigar alertas de Microsoft Defender para Ponto de Extremidade
- Investigar um arquivo associado a um alerta de Microsoft Defender para Ponto de Extremidade
- Investigar dispositivos na lista Microsoft Defender para Ponto de Extremidade Dispositivos
- Investigar um endereço IP associado a um alerta de Microsoft Defender para Ponto de Extremidade
- Investigar um domínio associado a um alerta de Microsoft Defender para Ponto de Extremidade
- Investigar uma conta de usuário no Microsoft Defender para Ponto de Extremidade
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.