Compartilhar via


Incidentes investigados pelo Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Investigue incidentes que afetam sua rede, entenda o que eles significam e cole evidências para resolve-los.

Ao investigar um incidente, você verá:

  • Detalhes do incidente
  • Comentários e ações de incidentes
  • Guias (alertas, dispositivos, investigações, evidências, grafo)

Analisar detalhes do incidente

Dica

Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.

Clique em um incidente para ver o painel Incidente. Selecione Abrir página de incidentes para ver os detalhes do incidente e informações relacionadas (alertas, dispositivos, investigações, evidências, grafo).

Os detalhes de um incidente

Alertas

Você pode investigar os alertas e ver como eles foram ligados em um incidente. Os alertas são agrupados em incidentes com base nos seguintes motivos:

  • Investigação automatizada - A investigação automatizada disparou o alerta vinculado enquanto investigava o alerta original
  • Características do arquivo – Os arquivos associados ao alerta têm características semelhantes
  • Associação manual – Um usuário vinculou manualmente os alertas
  • Tempo de aproximação – Os alertas foram disparados no mesmo dispositivo dentro de um determinado período de tempo
  • Mesmo arquivo - Os arquivos associados ao alerta são exatamente os mesmos
  • Mesma URL – A URL que acionou o alerta é exatamente a mesma

A página Alertas com detalhes de incidente mostrando os motivos pelos quais os alertas foram vinculados nesse incidente

Você também pode gerenciar um alerta e ver metadados de alerta junto com outras informações. Para obter mais informações, consulte Investigar alertas.

Dispositivos

Você também pode investigar os dispositivos que fazem parte ou relacionados a um determinado incidente. Para obter mais informações, consulte Investigar dispositivos.

A guia Dispositivos na página de detalhes do incidente

Investigações

Selecione Investigações para ver todas as investigações automáticas iniciadas pelo sistema em resposta aos alertas de incidente.

A guia investigações na página de detalhes do incidente

Passando pelas evidências

Microsoft Defender para Ponto de Extremidade investiga automaticamente todos os eventos com suporte e entidades suspeitas dos incidentes nos alertas, fornecendo informações sobre os arquivos, processos, serviços e muito mais importantes.

Cada uma das entidades analisadas será marcada como infectada, corrigida ou suspeita.

A guia Evidências na página de detalhes do incidente

Visualizando ameaças associadas à segurança cibernética

Microsoft Defender para Ponto de Extremidade agrega as informações de ameaça em um incidente para que você possa ver os padrões e correlações provenientes de vários pontos de dados. Você pode exibir essa correlação por meio do grafo de incidentes.

Gráfico de incidentes

O Graph conta a história do ataque de segurança cibernética. Por exemplo, ele mostra qual era o ponto de entrada, qual indicador de comprometimento ou atividade foi observado em qual dispositivo. Etc.

O grafo de incidentes

Você pode clicar nos círculos no grafo de incidentes para exibir os detalhes dos arquivos mal-intencionados, detecções de arquivos associadas, quantas instâncias houve em todo o mundo, se ela foi observada em sua organização, se sim, quantas instâncias.

A página de detalhes do incidente

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.