Compartilhar via


Ver e Gerir alertas de segurança

A fila de alertas mostra uma lista de alertas que foram sinalizados a partir de identidades na sua rede. Por predefinição, a fila apresenta alertas vistos nos últimos sete dias numa vista agrupada. Os alertas mais recentes são apresentados na parte superior da lista, ajudando-o a ver primeiro os alertas mais recentes.

Ver a fila de alertas

No portal Microsoft Defender, aceda a Incidentes & alertas e, em seguida, a Alertas.

Os alertas dos últimos sete dias são apresentados com as seguintes informações:

  • Nome do alerta
  • Marcações
  • Severity
  • Estado da investigação
  • Status
  • Categoria
  • Origem de deteção
  • Ativos afetados
  • Primeira atividade
  • Última atividade

Captura de ecrã a mostrar a página Alertas no portal do Defender. São listados dois alertas denominados Força bruta suspeita com detalhes completos do alerta.

Personalizar a vista da fila de alertas

Pode personalizar a vista da fila de alertas de algumas formas. Ao utilizar as ferramentas na parte superior da página, pode:

  • Personalize a vista para adicionar ou remover colunas.
  • Aplicar filtros.
  • Personalize a duração. Apresentar os alertas para uma duração específica, como 1 Dia, 3 Dias, 1 Semana, 30 Dias e 6 Meses.
  • Exportar um relatório detalhado do Excel para análise.

Filtrar a vista de alertas

Pode aplicar os seguintes filtros para obter uma vista mais focada dos alertas.

Alerta Descrição
Gravidade A gravidade dos alertas baseia-se em vários fatores, incluindo a quantidade de acesso que o atacante pode ter, o impacto potencial se o ataque for bem-sucedido e a probabilidade de o alerta ser um verdadeiro positivo. Para obter uma lista completa dos tipos de alerta e os respetivos níveis de gravidade atribuídos, veja Mapeamento de nomes de alertas de segurança e IDs externos exclusivos
Status Pode optar por filtrar a lista de alertas com base no respetivo Estado. Por exemplo, pode filtrar para mostrar apenas alertas novos, em curso ou resolvidos.
Fontes de detecção Pode filtrar os alertas com base nas seguintes Origens de deteção: Microsoft Defender para Identidade ou Microsoft Defender XDR
Marcas Pode filtrar os alertas com base em Etiquetas atribuídas a alertas.

Ver um alerta

Pode aceder a alertas individuais a partir de várias localizações ao selecionar o nome do alerta a partir de qualquer uma das seguintes opções:

  • A página Alertas
  • A página Incidentes
  • A página Identidades
  • As páginas de Dispositivos individuais
  • A página Investigação avançada

A página de alertas

A página de alertas fornece contexto sobre o alerta ao combinar sinais de ataque e alertas relacionados com o alerta selecionado para construir uma história de alerta detalhada. A página de alertas ajuda-o a fazer rapidamente a triagem, investigar e tomar medidas eficazes em alertas.

Observação

Microsoft Defender para Identidade alertas aparecem atualmente em dois esquemas diferentes no portal do Microsoft Defender XDR. Embora as vistas de alerta mostrem informações diferentes, todos os alertas são baseados em deteções de sensores do Defender para Identidade. As diferenças no esquema e nas informações apresentadas fazem parte de uma transição contínua para uma experiência de alerta unificada em Microsoft Defender produtos.

Para ver alertas do Defender para Identidade e Defender XDR, selecione Filtrar e, em seguida, em Origens de serviço, selecione Microsoft Defender para Identidade e Defender XDR e selecione Aplicar:

Captura de ecrã a mostrar o menu de filtro de alertas por serviço.

alertas de Microsoft Defender para Identidade

Na parte superior da página, existem secções para As Contas, o Anfitrião de Destino e o Anfitrião de Origem do alerta. Consoante o alerta, poderá ver detalhes sobre anfitriões, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer uma delas para obter mais detalhes sobre as entidades envolvidas.

  • A secção História do alerta fornece informações para fornecer uma história completa com os detalhes do alerta. A história do alerta está dividida em duas secções:
    • O que aconteceu inclui a linha do tempo do alerta e as entidades envolvidas no alerta.
    • O gráfico de alertas fornece uma representação visual do alerta, incluindo as entidades envolvidas no alerta e as respetivas relações. O gráfico ajuda-o a compreender como as entidades estão ligadas e como se relacionam com o alerta.
  • Informações importantes fornecem contexto técnico que suporta a investigação de alertas. Pode utilizar estas informações para validar se a atividade era esperada ou suspeita e decidir que ações tomar para conter ou escalar o incidente.
  • Os detalhes da atividade fornecem informações detalhadas, incluindo o carimbo de data/hora, o objeto base, o âmbito de pesquisa e outros detalhes sobre o alerta.
  • O painel de detalhes no lado direito da página fornece informações adicionais sobre o alerta, incluindo os Detalhes do alerta, Comentários & histórico. O painel de detalhes também fornece opções adicionais, tais como:
    • Gerir alerta
    • Exportar alerta
    • Mover alerta para outro incidente
    • Classificar um alerta

Captura de ecrã a mostrar a estrutura de alertas do Defender para Identidade.

alertas de Microsoft Defender XDR

Na parte superior da página, existem secções para As Contas, o Anfitrião de Destino e o Anfitrião de Origem do alerta. Consoante o alerta, poderá ver botões para obter detalhes sobre anfitriões, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer uma delas para obter mais detalhes sobre as entidades envolvidas.

  • A secção História do alerta fornece informações para fornecer uma história completa com os detalhes do alerta. A história do alerta está dividida em duas secções:
    • O que aconteceu inclui a linha do tempo do alerta e as entidades envolvidas no alerta.
  • O painel de detalhes no lado direito da página fornece informações adicionais sobre o alerta, incluindo os Detalhes do alerta, Comentários & histórico. O painel de detalhes também fornece opções adicionais, tais como:
    • Gerir alerta
    • Mover alerta para outro incidente
    • Classificar um alerta

Captura de ecrã a mostrar a estrutura de alertas do Defender para XDR

Gerenciar alertas e ameaças de segurança

Selecionar um alerta abre o painel Gestão de alertas, onde pode efetuar as seguintes ações:

Alterar a status de um alerta

Pode categorizar alertas como Novos, Em Curso ou Resolvidos ao alterar os respetivos status à medida que a investigação progride. Isto ajuda-o a organizar e gerir a forma como a sua equipa pode responder a alertas. Por exemplo, um coordenador de equipa pode rever todos os Novos alertas e decidir atribuí-los à fila Em Curso para uma análise mais aprofundada. O coordenador de equipa pode atribuir o alerta à fila Resolvido se souber que o alerta é benigno ou proveniente de um dispositivo irrelevante (como um pertencente a um administrador de segurança) ou que está a ser tratado através de um alerta anterior.

Mover um alerta para outro incidente

Pode criar um novo incidente a partir do alerta ou ligar a um incidente existente.

Captura de ecrã a mostrar a opção de mover um alerta para outro incidente.

Atribuir alertas

Se um alerta ainda não estiver atribuído, pode selecionar Atribuir-me para atribuir o alerta a si próprio.

Captura de ecrã que mostra como atribuir um alerta a si próprio.

Adicionar comentários a um alerta

Pode adicionar comentários a um alerta para fornecer contexto ou informações adicionais. Isto é útil para partilhar informações com a sua equipa ou documentar o seu processo de investigação. Sempre que é feita uma alteração ou comentário a um alerta, este é gravado na secção Comentários e histórico.

Captura de ecrã a mostrar a secção Comentários & histórico no portal do Microsoft Defender. É fornecida uma caixa de texto para introduzir comentários.

Classificar alertas de segurança

Para cada alerta, faça as seguintes perguntas para determinar a classificação de alertas e ajudar a decidir o que fazer a seguir:

  1. O alerta de segurança é um TP, B-TP ou FP?
  2. Quão comum é este alerta de segurança específico no seu ambiente?
  3. O alerta foi acionado pelos mesmos tipos de computadores ou utilizadores? Por exemplo, servidores com a mesma função ou utilizadores do mesmo grupo/departamento? Se os computadores ou utilizadores forem semelhantes, poderá optar por excluê-lo para evitar alertas FP futuros adicionais.

Após uma investigação adequada, todos os alertas de segurança do Defender para Identidade podem ser classificados como um dos seguintes tipos de atividade:

  • Verdadeiro positivo (TP): uma ação maliciosa detetada pelo Defender para Identidade.

  • Positivo verdadeiro benigno (B-TP): uma ação detetada pelo Defender para Identidade real, mas não maliciosa, como um teste de penetração ou atividade conhecida gerada por uma aplicação aprovada.

  • Falso positivo (FP): um falso alarme, o que significa que a atividade não aconteceu.

Captura de ecrã que mostra como classificar um alerta como um alerta verdadeiro ou falso.

Observação

Normalmente, um aumento de alertas do mesmo tipo reduz o nível de suspeita/importância do alerta. Para alertas repetidos, verifique as configurações e utilize os detalhes e definições dos alertas de segurança para compreender exatamente o que está a acontecer que aciona as repetições.

Alertas de otimização

Ajuste os alertas para os ajustar e otimizar, reduzindo os falsos positivos. A otimização de alertas permite que as suas equipas do SOC se concentrem em alertas de alta prioridade e melhorem a cobertura da deteção de ameaças em todo o sistema. No Microsoft Defender XDR, crie condições de regra com base em tipos de provas e, em seguida, aplique a regra em qualquer tipo de regra que corresponda às suas condições.

Para obter mais informações, veja Otimizar um alerta.