O Defender para Ponto de Extremidade notifica você sobre possíveis eventos mal-intencionados, atributos e informações contextuais por meio de alertas. Um resumo de novos alertas é exibido e você pode acessar todos os alertas na fila Alertas.
Você pode gerenciar alertas selecionando um alerta na fila Alertas ou na guia Alertas da página Dispositivo para um dispositivo individual.
Selecionar um alerta em qualquer um desses locais traz o painel Gerenciamento de alertas.
Assista a este vídeo para saber como usar a nova página de alerta Microsoft Defender para Ponto de Extremidade.
Link para outro incidente
Você pode criar um novo incidente a partir do alerta ou link para um incidente existente.
Atribuir alertas
Se um alerta ainda não estiver atribuído, você poderá selecionar Atribuir a mim para atribuir o alerta a si mesmo.
Suprimir alertas
Pode haver cenários em que você precisa suprimir alertas de aparecer em Microsoft Defender XDR. O Defender para Ponto de Extremidade permite criar regras de supressão para alertas específicos conhecidos por serem inócuos, como ferramentas ou processos conhecidos em sua organização.
As regras de supressão podem ser criadas a partir de um alerta existente. Eles podem ser desabilitados e reabilitados, se necessário.
Quando uma regra de supressão é criada, ela entrará em vigor a partir do ponto em que a regra é criada. A regra não afetará os alertas existentes já na fila, antes da criação da regra. A regra só será aplicada em alertas que satisfaçam as condições definidas após a criação da regra.
Há dois contextos para uma regra de supressão que você pode escolher:
Suprimir alerta neste dispositivo
Suprimir alerta na minha organização
O contexto da regra permite adaptar o que é exibido no portal e garantir que apenas alertas de segurança reais sejam exibidos no portal.
Você pode usar os exemplos na tabela a seguir para ajudar a escolher o contexto para uma regra de supressão:
Contexto
Definição
Exemplos de cenários
Suprimir alerta neste dispositivo
Alertas com o mesmo título de alerta e nesse dispositivo específico só serão suprimidos.
Todos os outros alertas nesse dispositivo não serão suprimidos.
Um pesquisador de segurança está investigando um script mal-intencionado que foi usado para atacar outros dispositivos em sua organização.
Um desenvolvedor cria regularmente scripts do PowerShell para sua equipe.
Suprimir alerta na minha organização
Alertas com o mesmo título de alerta em qualquer dispositivo serão suprimidos.
Uma ferramenta administrativa benigna é usada por todos na sua organização.
Suprimir um alerta e criar uma nova regra de supressão
Create regras personalizadas para controlar quando os alertas são suprimidos ou resolvidos. Você pode controlar o contexto para quando um alerta é suprimido especificando o título de alerta, o indicador de comprometimento e as condições. Depois de especificar o contexto, você poderá configurar a ação e o escopo no alerta.
Selecione o alerta que você gostaria de suprimir. Isso traz o painel Gerenciamento de alertas .
Selecione Create uma regra de supressão.
Você pode criar uma condição de supressão usando esses atributos. Um operador AND é aplicado entre cada condição, portanto, a supressão só ocorre se todas as condições forem atendidas.
Arquivo SHA1
Nome do arquivo – curinga com suporte
Caminho da pasta – curinga com suporte
Endereço IP
URL – curinga com suporte
Linha de comando – curinga com suporte
Selecione o COI de gatilho.
Especifique a ação e o escopo no alerta.
Você pode resolve automaticamente um alerta ou escondê-lo do portal. Os alertas resolvidos automaticamente aparecerão na seção resolvida da fila de alertas, da página de alerta e do dispositivo linha do tempo e aparecerão conforme resolvido entre APIs do Defender para Ponto de Extremidade.
Os alertas marcados como ocultos serão suprimidos de todo o sistema, tanto nos alertas associados do dispositivo quanto no dashboard e não serão transmitidos pelas APIs do Defender para Ponto de Extremidade.
Insira um nome de regra e um comentário.
Clique em Salvar.
Exibir a lista de regras de supressão
No painel de navegação, selecione Configurações>Endpoints>Rules>Alert suppression.
A lista de regras de supressão mostra todas as regras que os usuários da sua organização criaram.
Você pode categorizar alertas (como Novo, Em Andamento ou Resolvido) alterando suas status à medida que sua investigação progride. Isso ajuda você a organizar e gerenciar como sua equipe pode responder aos alertas.
Por exemplo, um líder de equipe pode examinar todos os novos alertas e decidir atribuí-los à fila Em Andamento para análise posterior.
Como alternativa, o líder da equipe pode atribuir o alerta à fila Resolvida se souber que o alerta é benigno, proveniente de um dispositivo irrelevante (como um que pertence a um administrador de segurança) ou está sendo tratado por meio de um alerta anterior.
Classificação de alertas
Você pode optar por não definir uma classificação ou especificar se um alerta é um alerta verdadeiro ou um alerta falso. É importante fornecer a classificação de verdadeiro positivo/falso positivo. Essa classificação é usada para monitorar a qualidade do alerta e tornar os alertas mais precisos. O campo "determinação" define fidelidade adicional para uma classificação "true positive".
As etapas para classificar alertas estão incluídas neste vídeo:
Adicionar comentários e exibir o histórico de um alerta
Você pode adicionar comentários e exibir eventos históricos sobre um alerta para ver as alterações anteriores feitas no alerta.
Sempre que uma alteração ou comentário é feito em um alerta, ele é gravado na seção Comentários e histórico .
Os comentários adicionados aparecem instantaneamente no painel.
Poderá ter de impedir que os alertas apareçam no portal através de regras de supressão. Saiba como gerir as regras de supressão no Microsoft Defender para Endpoint.