Examinar alertas no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A página de alerta no Microsoft Defender para Ponto de Extremidade fornece contexto completo para o alerta, combinando sinais de ataque e alertas relacionados ao alerta selecionado, para construir uma história de alerta detalhada.

Triagem rápida, investigação e ação efetiva em alertas que afetam sua organização. Entenda por que eles foram disparados e seu impacto de um local. Saiba mais nesta visão geral.

Introdução a um alerta

Selecionar o nome de um alerta no Defender para Ponto de Extremidade irá colocá-lo em sua página de alerta. Na página de alerta, todas as informações serão mostradas no contexto do alerta selecionado. Cada página de alerta consiste em 4 seções:

  1. O título do alerta mostra o nome do alerta e está lá para lembrar qual alerta iniciou sua investigação atual, independentemente do que você selecionou na página.
  2. Os ativos afetados listam cartões de dispositivos e usuários afetados por esse alerta que podem ser clicados para obter mais informações e ações.
  3. A história do alerta exibe todas as entidades relacionadas ao alerta, interconectadas por uma exibição de árvore. O alerta no título será aquele em foco quando você pousar pela primeira vez na página do alerta selecionado. As entidades na história do alerta são expansíveis e clicáveis, para fornecer informações adicionais e agilizar a resposta, permitindo que você tome ações diretamente no contexto da página de alerta. Use a história do alerta para iniciar sua investigação. Saiba como em Investigar alertas no Microsoft Defender para Ponto de Extremidade.
  4. O painel de detalhes mostrará os detalhes do alerta selecionado no início, com detalhes e ações relacionadas a esse alerta. Se você selecionar qualquer um dos ativos ou entidades afetados na história do alerta, o painel de detalhes será alterado para fornecer informações e ações contextuais para o objeto selecionado.

Observe o status de detecção do alerta.

  • Impedido: a tentativa de ação suspeita foi evitada. Por exemplo, um arquivo não foi gravado em disco ou executado.

    A página mostrando a prevenção de uma ameaça

  • Bloqueado: o comportamento suspeito foi executado e, em seguida, bloqueado. Por exemplo, um processo foi executado, mas como posteriormente exibia comportamentos suspeitos, o processo foi encerrado.

    A página mostrando o bloqueio de uma ameaça

  • Detectado: um ataque foi detectado e possivelmente ainda está ativo.

    A página mostrando a detecção de uma ameaça

Em seguida, você também pode examinar os detalhes da investigação automatizada no painel de detalhes do alerta, para ver quais ações já foram tomadas, bem como ler a descrição do alerta para ações recomendadas.

O painel de detalhes com a descrição do alerta e as seções de investigação automática realçadas

Outras informações disponíveis no painel de detalhes quando o alerta é aberto incluem técnicas MITRE, fonte e detalhes contextuais adicionais.

Observação

Se você vir um alerta de tipo de alerta sem suporte status, isso significa que os recursos automatizados de investigação não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.

Examinar ativos afetados

Selecionar um dispositivo ou um usuário cartão nas seções de ativos afetados mudará para os detalhes do dispositivo ou do usuário no painel de detalhes.

  • Para dispositivos, o painel de detalhes exibirá informações sobre o próprio dispositivo, como Domínio, Sistema Operacional e IP. Alertas ativos e os usuários conectados nesse dispositivo também estão disponíveis. Você pode tomar medidas imediatas isolando o dispositivo, restringindo a execução do aplicativo ou executando uma verificação antivírus. Como alternativa, você pode coletar um pacote de investigação, iniciar uma investigação automatizada ou ir até a página do dispositivo para investigar do ponto de vista do dispositivo.

    O painel de detalhes quando um dispositivo é selecionado

  • Para os usuários, o painel de detalhes exibirá informações detalhadas do usuário, como o nome sam do usuário e o SID, bem como tipos de logon executados por esse usuário e quaisquer alertas e incidentes relacionados a ele. Você pode selecionar Abrir página do usuário para continuar a investigação do ponto de vista desse usuário.

    O painel de detalhes quando um usuário é selecionado

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.