Alertas de segurança do Defender para Identidade no Microsoft 365 Defender

Este artigo explica os conceitos básicos de como trabalhar com alertas de segurança Microsoft Defender para Identidade em Microsoft 365 Defender.

Os alertas do Defender para Identidade são integrados nativamente a Microsoft 365 Defender com um formato de página de alerta de identidade dedicado.

A página de alerta de identidade fornece aos clientes Microsoft Defender para Identidade melhor enriquecimento de sinal entre domínios e novos recursos de resposta de identidade automatizada. Ele garante que você permaneça seguro e ajude a melhorar a eficiência de suas operações de segurança.

Um dos benefícios da investigação de alertas por meio de Microsoft 365 Defender é que Microsoft Defender para Identidade alertas estão correlacionados ainda mais com as informações obtidas de cada um dos outros produtos no pacote. Esses alertas aprimorados são consistentes com os outros formatos de alerta Microsoft 365 Defender provenientes de Microsoft Defender para Office 365 e Microsoft Defender para Ponto de Extremidade. A nova página elimina efetivamente a necessidade de navegar até outro portal de produtos para investigar alertas associados à identidade.

Os alertas provenientes do Defender para Identidade agora podem disparar os recursos de investigação e resposta automatizada (AIR) Microsoft 365 Defender, incluindo a correção automática de alertas e a mitigação de ferramentas e processos que podem contribuir para a atividade suspeita.

Importante

Como parte da convergência com Microsoft 365 Defender, algumas opções e detalhes foram alterados de sua localização no portal do Defender para Identidade. Leia os detalhes abaixo para descobrir onde encontrar os recursos familiares e novos.

Examinar alertas de segurança

Os alertas podem ser acessados de vários locais, incluindo a página Alertas , a página Incidentes , as páginas de dispositivos individuais e da página de busca avançada . Neste exemplo, examinaremos a página Alertas.

Em Microsoft 365 Defender, vá para alertas de incidentes & e, em seguida, para Alertas.

O item de menu Alertas

Para ver os alertas do Defender para Identidade, no canto superior direito, selecione Filtrar e, em seguida, em Fontes de serviço, selecione Microsoft Defender para Identidade e selecione Aplicar:

O filtro para os eventos do Defender para Identidade

Os alertas são exibidos com informações nas seguintes colunas: Nome do alerta, marcas, gravidade, estado de investigação, status, categoria, origem da detecção, ativos afetados, primeira atividade e última atividade.

Os eventos do Defender para Identidade

Categorias de alertas de segurança

Os alertas de segurança do Defender para Identidade são divididos nas seguintes categorias ou fases, como as fases vistas em uma cadeia de kill de ataque cibernético típica.

Gerenciar alertas

Se você clicar no nome do alerta de um dos alertas, acessará a página com detalhes sobre o alerta. No painel esquerdo, você verá um resumo do que aconteceu:

O painel O que aconteceu

Acima da caixa O que aconteceu são botões para as Contas, Host de Destino e Host de Origem do alerta. Para outros alertas, você pode ver botões para obter detalhes sobre hosts, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer um deles para obter mais detalhes sobre as entidades envolvidas.

No painel direito, você verá os detalhes do Alerta. Aqui você pode ver mais detalhes e executar várias tarefas:

  • Classificar este alerta – aqui você pode designar esse alerta como um alerta True ou falso

    A página na qual você pode classificar um alerta

  • Estado de alerta – Em Definir Classificação, você pode classificar o alerta como True ou False. Em Atribuído, você pode atribuir o alerta a si mesmo ou desatribuí-lo.

    O painel Estado de Alerta

  • Detalhes do alerta – Em detalhes do alerta, você pode encontrar mais informações sobre o alerta específico, seguir um link para a documentação sobre o tipo de alerta, ver a qual incidente o alerta está associado, examinar quaisquer investigações automatizadas vinculadas a esse tipo de alerta e ver os dispositivos e usuários afetados.

    A página Detalhes do Alerta

  • Histórico de & comentários – aqui você pode adicionar seus comentários ao alerta e ver o histórico de todas as ações associadas ao alerta.

    A página Histórico de & Comentários

  • Gerenciar alerta – se você selecionar Gerenciar alerta, você irá para um painel que permitirá editar:

    • Status – você pode escolher Novo, Resolvido ou Em andamento.

    • Classificação – você pode escolher alerta true ou falso.

    • Comentário – Você pode adicionar um comentário sobre o alerta.

      Se você selecionar os três pontos ao lado de Gerenciar alerta, poderá consultar um especialista em ameaças, exportar o alerta para um arquivo do Excel ou vincular a outro incidente.

      A opção Gerenciar alerta

      Observação

      No arquivo do Excel, agora você tem dois links disponíveis: Exibir em Microsoft Defender para Identidade e Exibir em Microsoft 365 Defender. Cada link o levará ao portal relevante e fornecerá informações sobre o alerta.

Confira também

Saiba mais