Vincular os resultados da consulta a um incidente

Aplica-se a:

• Microsoft Defender XDR

Pode utilizar a ligação para a funcionalidade incidente para adicionar resultados de consultas de investigação avançadas a um incidente novo ou existente sob investigação. Esta funcionalidade ajuda-o a capturar facilmente registos de atividades de investigação avançadas, o que lhe permite criar um linha do tempo ou contexto mais avançado de eventos relativos a um incidente.

Ligar resultados a incidentes novos ou existentes

1. Na página de consulta de investigação avançada, introduza primeiro a consulta no campo de consulta fornecido e, em seguida, selecione Executar consulta para obter os resultados.

   

2. Na página Resultados, selecione os eventos ou registos relacionados com uma investigação nova ou atual em que está a trabalhar e, em seguida, selecione Ligar ao incidente.

   

3. Localize a secção Detalhes do alerta no painel Ligar ao incidente e, em seguida, selecione Criar novo incidente para converter os eventos em alertas e agrupá-los num novo incidente:

   

   Em alternativa, selecione Ligar a um incidente existente para adicionar os registos selecionados a um existente. Escolha o incidente relacionado na lista pendente de incidentes existentes. Também pode introduzir os primeiros carateres do nome ou ID do incidente para encontrar o incidente existente.

   

4. Para qualquer uma das seleções, forneça os seguintes detalhes e, em seguida, selecione Seguinte:

   • Título do alerta – forneça um título descritivo para os resultados que os participantes do incidente podem compreender. Este título descritivo torna-se o título do alerta.
   • Gravidade – escolha a gravidade aplicável ao grupo de alertas.
   • Categoria – selecione a categoria de ameaça adequada para os alertas.
   • Descrição – forneça uma descrição útil para os alertas agrupados.
   • Ações recomendadas – forneça ações de remediação.

5. Na secção Entidades afetadas, selecione o main entidade afetada ou afetada. Apenas as entidades aplicáveis com base nos resultados da consulta são apresentadas nesta secção. No nosso exemplo, utilizámos uma consulta para localizar eventos relacionados com um possível incidente de exfiltração de e-mail, pelo que o Remetente é a entidade afetada. Se existirem quatro remetentes diferentes, por exemplo, são criados quatro alertas e associados ao incidente escolhido.

   

6. Selecione Avançar.

7. Reveja os detalhes que forneceu na secção Resumo .

8. Selecione Concluído.

Ver registos ligados no incidente

Pode selecionar o nome do incidente para ver o incidente ao qual os eventos estão ligados.

No nosso exemplo, os quatro alertas, que representam os quatro eventos selecionados, foram ligados com êxito a um novo incidente.

Em cada uma das páginas de alerta, pode encontrar as informações completas sobre o evento ou eventos na vista de linha do tempo (se disponível) e na vista de resultados da consulta.

Também pode selecionar o evento para abrir o painel Inspecionar registo .

Filtrar eventos adicionados com investigação avançada

Pode ver que alertas foram gerados a partir da investigação avançada ao filtrar a fila Incidentes e a fila Alertas por Origem de deteção manual.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.