Ler em inglês

Compartilhar via


Gerir incidentes de Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A gestão de incidentes é uma parte importante de todas as operações de cibersegurança. Pode gerir incidentes ao selecionar um incidente na fila Incidentes ou no painel Gestão de incidentes.

Selecionar um incidente na fila Incidentes apresenta o painel Gestão de incidentes onde pode abrir a página do incidente para obter detalhes.

O painel de gestão de incidentes

Pode atribuir incidentes a si próprio, alterar a status e a classificação, mudar o nome ou comentar os mesmos para controlar o progresso.

Dica

Para visibilidade adicional de relance, os nomes de incidentes são gerados automaticamente com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Isso permite que você entenda rapidamente o escopo do incidente.

Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Os incidentes que existiam antes da implementação da nomenclatura automática de incidentes irão manter os respetivos nomes.

A página de detalhes do incidente

Atribuir incidentes

Se ainda não tiver sido atribuído um incidente, pode selecionar Atribuir-me para atribuir o incidente a si próprio. Ao fazer isso, você assume a propriedade não apenas do incidente, como também de todos os alertas associados a ele.

Definir o status e a classificação

Status do incidente

Você pode categorizar os incidentes (como Ativoou Resolvido) alterando o status deles durante sua investigação. Isso ajuda você a organizar e a gerenciar a maneira como sua equipe é capaz de responder a incidentes.

Por exemplo, o seu analista do SOC pode rever os incidentes ativos urgentes do dia e decidir atribuí-los a si próprio para investigação.

Como alternativa, seu analista de SOC pode definir o incidente como Resolvido caso ele já tenha sido solucionado.

Classificação

Você pode optar por não definir uma classificação ou decidir especificar se um incidente é verdadeiro ou falso. Isso ajuda a equipe a ver padrões e a aprender com eles.

Adicionar comentários

Você pode adicionar comentários e exibir eventos históricos sobre um incidente para ver as alterações feitas anteriormente.

Sempre que uma alteração ou um comentário forem feitos em um alerta, eles são registrados na seção Comentários e histórico.

Os comentários adicionados aparecem instantaneamente no painel.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.