Compartilhar via

Gerir incidentes no Microsoft Defender

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR
  • Plataforma do Centro de Operações de Segurança Unificada (SOC) do Microsoft Defender

A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.

Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Veja um exemplo.

Captura de ecrã a realçar a opção gerir incidentes na fila de incidentes e no painel de iniciação rápida no portal do Microsoft Defender.

Eis as formas de gerir os incidentes:

Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.

Captura de ecrã a mostrar o painel Gerir incidentes no portal do Microsoft Defender.

Pode apresentar este painel a partir da ligação Gerir incidente no:

  • Página do bloco de alertas .
  • Painel propriedades de um incidente na fila de incidentes.
  • Página de resumo de um incidente.
  • Opção Gerir incidente localizada no canto superior direito da página Incidente.

Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.

Editar o nome do incidente

O Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .

Observação

Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.

Atribuir ou alterar a gravidade do incidente

Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Adicionar marcas de incidente

Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.

A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.

Atribuir um incidente

Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.

Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.

  1. Na fila de incidentes, selecione Filtros.
  2. Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
  3. Selecione Aplicar e, em seguida, feche o painel Filtros .

Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.

Resolver um incidente

Selecione Resolver incidente para mover o botão de alternar para a direita quando um incidente é remediado. Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.

Um incidente que não é resolvido é apresentado como Ativo.

Especificar a classificação

No campo Classificação , especifique se o incidente é:

  • Não definido (a predefinição).
  • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
  • Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
  • Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.

Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar o Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.

Adicionar comentários

Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.

Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .

Log de atividades

O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.

Captura de ecrã a realçar a opção do registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.

Captura de ecrã a realçar as opções de filtro no painel do registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.

Captura de ecrã a realçar a caixa de comentário da página do incidente no portal do Microsoft Defender.

Exportar dados de incidentes para PDF

Importante

Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

A funcionalidade exportar dados de incidentes está atualmente disponível para clientes da plataforma microsoft Defender XDR e Centro de operações de segurança unificada do Microsoft Defender (SOC) com a licença microsoft Copilot para segurança.

Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.

Os dados do incidente exportados incluem as seguintes informações:

Eis um exemplo do PDF exportado:

Captura de ecrã da primeira página do PDF exportado.

Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:

A função exportar para PDF também está disponível no painel lateral Copilot de um relatório de incidente gerado.

Captura de ecrã de ações adicionais no cartão de resultados do relatório de incidentes.

Para gerar o PDF, execute os seguintes passos:

  1. Abra uma página de incidentes. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF. A função fica desativada enquanto o PDF está a ser gerado.

    Captura de ecrã a realçar a opção exportar incidente para PDF.

  2. É apresentada uma caixa de diálogo que indica que o PDF está a ser gerado. Selecione Obteve-o para fechar a caixa de diálogo. Além disso, é apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.

    Captura de ecrã a realçar a mensagem de exportação e o estado antes da transferência.

  3. Quando o PDF estiver pronto, a mensagem de estado indica que o PDF está pronto e é apresentada outra caixa de diálogo. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo.

    Captura de ecrã a realçar a mensagem de exportação e o estado quando a transferência está disponível.

O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.

Próximas etapas

Para novos incidentes, inicie a investigação.

Para incidentes em processo, continue a investigação.

Para incidentes resolvidos, efetue uma revisão pós-incidente.

Confira também

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.