Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Investigue os alertas que estão a afetar o seu ambiente, compreenda o que significam e como resolve-los.
Inicie a investigação ao selecionar um alerta na página Alertas no portal do Microsoft Defender. A página de alertas apresenta uma lista de todos os alertas de segurança gerados pelo Defender para Identidade, incluindo a sua gravidade, status e recursos afetados. Selecionar um alerta abre a página de alerta, que contém o título do alerta, os recursos afetados, o painel lateral de detalhes e, em alguns casos, uma história de alerta.
Investigar com a história do alerta
A história do alerta fornece uma vista cronológica dos eventos relacionados com o alerta. Mostra o que aconteceu, quando aconteceu e que entidades estiveram envolvidas antes e depois do evento de acionamento. Ajuda-o a seguir a sequência de eventos e a compreender como o alerta foi gerado.
O gráfico de alerta mapeia visualmente os utilizadores, dispositivos e controladores de domínio envolvidos no alerta. Mostra como estas entidades interagiram, facilitando a identificação rápida de relações e padrões.
A secção Informações importantes inclui detalhes técnicos adicionais que suportam a investigação. Ajuda-o a compreender que ações foram executadas, quem as iniciou e onde a atividade teve origem. Esta secção fornece-lhe provas não processadas que podem ajudar a validar o alerta e a orientar os próximos passos.
Em conjunto, a história do alerta, o gráfico de alertas e as Informações importantes dão-lhe uma imagem completa do alerta. Ajudam-no a compreender o que acionou o alerta, que entidades estiveram envolvidas e se a atividade requer uma investigação ou ação mais aprofundadas.
Observação
A história do alerta só é visível para alertas que utilizam a estrutura clássica do Defender para Identidade. Para obter mais informações sobre as diferenças na forma como os alertas são apresentados no portal do Defender, veja Ver e gerir alertas.
Tomar medidas a partir do painel de detalhes
Depois de selecionar um alerta de interesse, o painel de detalhes muda para apresentar informações sobre o alerta selecionado, informações históricas quando estiver disponível e oferecer ações recomendadas para tomar medidas neste alerta.
Quando terminar de investigar, volte ao alerta com o qual começou, marque o status do alerta como Resolvido e classifique-o como alerta Falso ou Verdadeiro. Classificar alertas ajuda a otimizar esta capacidade para fornecer alertas mais verdadeiros e menos alertas falsos.
Investigação avançada de alertas de segurança
Para obter mais detalhes sobre um alerta de segurança, selecione Exportar numa página de detalhes de alerta para transferir o relatório de alertas detalhado do Excel.
Observação
A opção exportar para o Excel também só está disponível para alertas que utilizem a estrutura clássica do Defender para Identidade. Para obter mais informações sobre as diferenças na forma como os alertas são apresentados no portal do Defender, veja Ver e gerir alertas.
O ficheiro transferido inclui detalhes de resumo sobre o alerta no primeiro separador, incluindo:
- Cargo
- Descrição
- Hora de Início (UTC)
- Hora de Fim (UTC)
- Gravidade – Baixa/Média/Alta
- Estado – Aberto/Fechado
- Hora da Atualização de Estado (UTC)
- Ver no browser
Todas as entidades envolvidas, incluindo contas, computadores e recursos, são listadas, separadas pela respetiva função. Os detalhes são fornecidos para a entidade de origem, destino ou ataque, consoante o alerta.
A maioria dos separadores inclui os seguintes dados por entidade:
Nome
Detalhes
Tipo
SamName
Computador de Origem
Utilizador de Origem (se disponível)
Controladores de Domínio
Recurso Acedido: Hora, Computador, Nome, Detalhes, Tipo, Serviço.
Entidades relacionadas: ID, Type, Name, Unique Entity Json, Unique Entity Profile Json
Todas as atividades não processadas capturadas pelos Sensores do Defender para Identidade relacionadas com o alerta (atividades de rede ou evento), incluindo:
- Atividades de Rede
- Atividades de Eventos
Alguns alertas têm separadores adicionais, como detalhes sobre:
- Contas atacadas quando o suposto ataque usou Força Bruta.
- Servidores do Sistema de Nomes de Domínio (DNS) quando os suspeitos atacados envolveram reconhecimento de mapeamento de rede (DNS).
Por exemplo:
Como posso utilizar as informações do Defender para Identidade numa investigação?
As investigações podem ser tão detalhadas quanto necessário. Seguem-se algumas ideias de formas de investigar com os dados fornecidos pelo Defender para Identidade.
Entidades relacionadas
Em cada alerta, o último separador fornece as Entidades Relacionadas. As entidades relacionadas são todas entidades envolvidas numa atividade suspeita, sem a separação da "função" que desempenharam no alerta. Cada entidade tem dois ficheiros Json, o Json de Entidade Exclusiva e o Json de Perfil de Entidade Exclusivo. Utilize estes dois ficheiros Json para saber mais sobre a entidade e para o ajudar a investigar o alerta.
Ficheiro Json de Entidade Exclusivo
Inclui os dados que o Defender para Identidade aprendeu com o Active Directory sobre a conta. Isto inclui todos os atributos, como Distinguished Name, SID, LockoutTime e PasswordExpiryTime. Para contas de utilizador, inclui dados como Departamento, Correio e Número de Telefone. Para contas de computador, inclui dados como OperatingSystem, IsDomainController e DnsName.
Ficheiro Json de Perfil de Entidade Exclusivo
Inclui todos os dados que o Defender para Identidade cria perfis na entidade. O Defender para Identidade utiliza as atividades de rede e eventos capturadas para saber mais sobre os utilizadores e computadores do ambiente. Os perfis do Defender para Identidade são informações relevantes por entidade. Estas informações contribuem com as capacidades de identificação de ameaças do Defender para Identidade.
Para obter mais informações sobre como trabalhar com alertas de segurança do Defender para Identidade, veja Trabalhar com alertas de segurança.