Gerir incidentes no Microsoft Defender

Artigo
07/03/2024

Aplica-se a:

Microsoft Defender XDR
Plataforma unificada do centro de operações de segurança (SOC) do Microsoft Defender

A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.

Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Veja um exemplo.

Eis as formas de gerir os incidentes:

Edite o nome do incidente.
Atribuir ou alterar a gravidade.
Adicione etiquetas de incidentes.
Atribua o incidente a uma conta de utilizador.
Resolva-os.
Especifique a classificação.
Adicionar comentários.
Avalie a auditoria de atividade e adicione comentários no Registo de atividades.
Exportar dados de incidentes para PDF.

Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.

Pode apresentar este painel a partir da ligação Gerir incidente no:

Página do bloco de alertas .
Painel propriedades de um incidente na fila de incidentes.
Página de resumo de um incidente.
Opção Gerir incidente localizada no canto superior direito da página Incidente.

Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.

Editar o nome do incidente

O Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .

Observação

Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.

Atribuir ou alterar a gravidade do incidente

Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Adicionar marcas de incidente

Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.

A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.

Um incidente pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:

Um tipo de ataque, como phishing de credenciais ou fraude BEC
Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
Especialistas do Defender que lidam com um incidente
Recursos críticos envolvidos no incidente

Dica

A Gestão da Exposição à Segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.

Atribuir um incidente

Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.

Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.

Na fila de incidentes, selecione Filtros.
Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
Selecione Aplicar e, em seguida, feche o painel Filtros .

Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.

Resolver um incidente

Selecione Resolver incidente para mover o botão de alternar para a direita quando um incidente é remediado. Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.

Um incidente que não é resolvido é apresentado como Ativo.

Especificar a classificação

No campo Classificação , especifique se o incidente é:

Não definido (a predefinição).
Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.

Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar o Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.

Adicionar comentários

Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.

Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .

Log de atividades

O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.

Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.

Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.

Exportar dados de incidentes para PDF

Importante

Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

A funcionalidade exportar dados de incidentes está atualmente disponível para clientes da plataforma microsoft Defender XDR e Centro de operações de segurança unificada do Microsoft Defender (SOC) com a licença microsoft Copilot para segurança.

Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.

Os dados do incidente exportados incluem as seguintes informações:

Uma descrição geral que contém os detalhes do incidente
O gráfico do bloco de ataque e as categorias de ameaças
Os recursos afetados, que abrangem até 10 ativos para cada tipo de recurso
A lista de provas que abrange até 100 itens
Dados de suporte, incluindo todos os alertas e atividades relacionados registados no registo de atividades

Eis um exemplo do PDF exportado:

Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:

A função exportar para PDF também está disponível no painel lateral Copilot de um relatório de incidente gerado.

Captura de tela de ações adicionais no cartão de resultados do relatório de incidentes.

Para gerar o PDF, execute os seguintes passos:

Abra uma página de incidentes. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF. A função fica desativada enquanto o PDF está a ser gerado.
É apresentada uma caixa de diálogo que indica que o PDF está a ser gerado. Selecione Obteve-o para fechar a caixa de diálogo. Além disso, é apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.
Quando o PDF estiver pronto, a mensagem de estado indica que o PDF está pronto e é apresentada outra caixa de diálogo. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo.

O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.

Próximas etapas

Para novos incidentes, inicie a investigação.

Para incidentes em processo, continue a investigação.

Para incidentes resolvidos, efetue uma revisão pós-incidente.

Confira também