Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A fila de alertas mostra uma lista de alertas que foram sinalizados a partir de identidades na sua rede. Por predefinição, a fila apresenta alertas vistos nos últimos sete dias numa vista agrupada. Os alertas mais recentes são apresentados na parte superior da lista, ajudando-o a ver primeiro os alertas mais recentes.
Ver a fila de alertas
No portal Microsoft Defender, aceda a Incidentes & alertas e, em seguida, a Alertas.
Os alertas dos últimos sete dias são apresentados com as seguintes informações:
- Nome do alerta
- Marcações
- Severity
- Estado da investigação
- Status
- Categoria
- Origem de deteção
- Ativos afetados
- Primeira atividade
- Última atividade
Personalizar a vista da fila de alertas
Pode personalizar a vista da fila de alertas de algumas formas. Ao utilizar as ferramentas na parte superior da página, pode:
- Personalize a vista para adicionar ou remover colunas.
- Aplicar filtros.
- Personalize a duração. Apresentar os alertas para uma duração específica, como 1 Dia, 3 Dias, 1 Semana, 30 Dias e 6 Meses.
- Exportar um relatório detalhado do Excel para análise.
Filtrar a vista de alertas
Pode aplicar os seguintes filtros para obter uma vista mais focada dos alertas.
Alerta | Descrição |
---|---|
Gravidade | A gravidade dos alertas baseia-se em vários fatores, incluindo a quantidade de acesso que o atacante pode ter, o impacto potencial se o ataque for bem-sucedido e a probabilidade de o alerta ser um verdadeiro positivo. Para obter uma lista completa dos tipos de alerta e os respetivos níveis de gravidade atribuídos, veja Mapeamento de nomes de alertas de segurança e IDs externos exclusivos |
Status | Pode optar por filtrar a lista de alertas com base no respetivo Estado. Por exemplo, pode filtrar para mostrar apenas alertas novos, em curso ou resolvidos. |
Fontes de detecção | Pode filtrar os alertas com base nas seguintes Origens de deteção: Microsoft Defender para Identidade ou Microsoft Defender XDR |
Marcas | Pode filtrar os alertas com base em Etiquetas atribuídas a alertas. |
Ver um alerta
Pode aceder a alertas individuais a partir de várias localizações ao selecionar o nome do alerta a partir de qualquer uma das seguintes opções:
- A página Alertas
- A página Incidentes
- A página Identidades
- As páginas de Dispositivos individuais
- A página Investigação avançada
A página de alertas
A página de alertas fornece contexto sobre o alerta ao combinar sinais de ataque e alertas relacionados com o alerta selecionado para construir uma história de alerta detalhada. A página de alertas ajuda-o a fazer rapidamente a triagem, investigar e tomar medidas eficazes em alertas.
Observação
Microsoft Defender para Identidade alertas aparecem atualmente em dois esquemas diferentes no portal do Microsoft Defender XDR. Embora as vistas de alerta mostrem informações diferentes, todos os alertas são baseados em deteções de sensores do Defender para Identidade. As diferenças no esquema e nas informações apresentadas fazem parte de uma transição contínua para uma experiência de alerta unificada em Microsoft Defender produtos.
Para ver alertas do Defender para Identidade e Defender XDR, selecione Filtrar e, em seguida, em Origens de serviço, selecione Microsoft Defender para Identidade e Defender XDR e selecione Aplicar:
alertas de Microsoft Defender para Identidade
Na parte superior da página, existem secções para As Contas, o Anfitrião de Destino e o Anfitrião de Origem do alerta. Consoante o alerta, poderá ver detalhes sobre anfitriões, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer uma delas para obter mais detalhes sobre as entidades envolvidas.
- A secção História do alerta fornece informações para fornecer uma história completa com os detalhes do alerta. A história do alerta está dividida em duas secções:
- O que aconteceu inclui a linha do tempo do alerta e as entidades envolvidas no alerta.
- O gráfico de alertas fornece uma representação visual do alerta, incluindo as entidades envolvidas no alerta e as respetivas relações. O gráfico ajuda-o a compreender como as entidades estão ligadas e como se relacionam com o alerta.
- Informações importantes fornecem contexto técnico que suporta a investigação de alertas. Pode utilizar estas informações para validar se a atividade era esperada ou suspeita e decidir que ações tomar para conter ou escalar o incidente.
- Os detalhes da atividade fornecem informações detalhadas, incluindo o carimbo de data/hora, o objeto base, o âmbito de pesquisa e outros detalhes sobre o alerta.
- O painel de detalhes no lado direito da página fornece informações adicionais sobre o alerta, incluindo os Detalhes do alerta, Comentários & histórico. O painel de detalhes também fornece opções adicionais, tais como:
- Gerir alerta
- Exportar alerta
- Mover alerta para outro incidente
- Classificar um alerta
alertas de Microsoft Defender XDR
Na parte superior da página, existem secções para As Contas, o Anfitrião de Destino e o Anfitrião de Origem do alerta. Consoante o alerta, poderá ver botões para obter detalhes sobre anfitriões, contas, endereços IP, domínios e grupos de segurança adicionais. Selecione qualquer uma delas para obter mais detalhes sobre as entidades envolvidas.
- A secção História do alerta fornece informações para fornecer uma história completa com os detalhes do alerta. A história do alerta está dividida em duas secções:
- O que aconteceu inclui a linha do tempo do alerta e as entidades envolvidas no alerta.
- O painel de detalhes no lado direito da página fornece informações adicionais sobre o alerta, incluindo os Detalhes do alerta, Comentários & histórico. O painel de detalhes também fornece opções adicionais, tais como:
- Gerir alerta
- Mover alerta para outro incidente
- Classificar um alerta
Gerenciar alertas e ameaças de segurança
Selecionar um alerta abre o painel Gestão de alertas, onde pode efetuar as seguintes ações:
Alterar a status de um alerta
Pode categorizar alertas como Novos, Em Curso ou Resolvidos ao alterar os respetivos status à medida que a investigação progride. Isto ajuda-o a organizar e gerir a forma como a sua equipa pode responder a alertas. Por exemplo, um coordenador de equipa pode rever todos os Novos alertas e decidir atribuí-los à fila Em Curso para uma análise mais aprofundada. O coordenador de equipa pode atribuir o alerta à fila Resolvido se souber que o alerta é benigno ou proveniente de um dispositivo irrelevante (como um pertencente a um administrador de segurança) ou que está a ser tratado através de um alerta anterior.
Mover um alerta para outro incidente
Pode criar um novo incidente a partir do alerta ou ligar a um incidente existente.
Atribuir alertas
Se um alerta ainda não estiver atribuído, pode selecionar Atribuir-me para atribuir o alerta a si próprio.
Adicionar comentários a um alerta
Pode adicionar comentários a um alerta para fornecer contexto ou informações adicionais. Isto é útil para partilhar informações com a sua equipa ou documentar o seu processo de investigação. Sempre que é feita uma alteração ou comentário a um alerta, este é gravado na secção Comentários e histórico.
Classificar alertas de segurança
Para cada alerta, faça as seguintes perguntas para determinar a classificação de alertas e ajudar a decidir o que fazer a seguir:
- O alerta de segurança é um TP, B-TP ou FP?
- Quão comum é este alerta de segurança específico no seu ambiente?
- O alerta foi acionado pelos mesmos tipos de computadores ou utilizadores? Por exemplo, servidores com a mesma função ou utilizadores do mesmo grupo/departamento? Se os computadores ou utilizadores forem semelhantes, poderá optar por excluê-lo para evitar alertas FP futuros adicionais.
Após uma investigação adequada, todos os alertas de segurança do Defender para Identidade podem ser classificados como um dos seguintes tipos de atividade:
Verdadeiro positivo (TP): uma ação maliciosa detetada pelo Defender para Identidade.
Positivo verdadeiro benigno (B-TP): uma ação detetada pelo Defender para Identidade real, mas não maliciosa, como um teste de penetração ou atividade conhecida gerada por uma aplicação aprovada.
Falso positivo (FP): um falso alarme, o que significa que a atividade não aconteceu.
Observação
Normalmente, um aumento de alertas do mesmo tipo reduz o nível de suspeita/importância do alerta. Para alertas repetidos, verifique as configurações e utilize os detalhes e definições dos alertas de segurança para compreender exatamente o que está a acontecer que aciona as repetições.
Alertas de otimização
Ajuste os alertas para os ajustar e otimizar, reduzindo os falsos positivos. A otimização de alertas permite que as suas equipas do SOC se concentrem em alertas de alta prioridade e melhorem a cobertura da deteção de ameaças em todo o sistema. No Microsoft Defender XDR, crie condições de regra com base em tipos de provas e, em seguida, aplique a regra em qualquer tipo de regra que corresponda às suas condições.
Para obter mais informações, veja Otimizar um alerta.