Respondendo ao seu primeiro incidente no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Este guia lista os recursos da Microsoft para novos Microsoft Defender XDR usuários executarem com confiança tarefas de resposta a incidentes do dia-a-dia durante o uso do portal. Os resultados pretendidos de usar este guia são:
- Você aprenderá rapidamente a usar Microsoft Defender XDR para responder a incidentes e alertas.
- Você descobrirá os recursos do portal para ajudar na investigação e correção de incidentes por meio dos vídeos e tutoriais.
Microsoft Defender XDR permite que você veja eventos de ameaças relevantes em todos os ativos (dispositivos, identidades, caixas de correio, aplicativos de nuvem e muito mais). O portal consolida sinais do pacote de proteção do Defender, do Microsoft Sentinel e de outras soluções integradas de SIEM (gerenciamento de eventos e informações de segurança). As informações de ataque correlacionadas com o contexto completo em um único painel de vidro permitem que você defenda e proteja sua organização com êxito.
Este guia tem três seções de main:
- Entender incidentes: acessar, tririar e gerenciar incidentes no portal
- Analisando ataques: uma coleção de vídeos e tutoriais sobre como investigar ataques específicos usando os recursos do portal.
- Correção de ataques: lista as ações automatizadas e manuais que estão disponíveis no portal para corrigir ameaças. Esta seção inclui links para vídeos e tutoriais.
Entender incidentes
Um incidente é uma cadeia de processos criados, comandos e ações que podem não ter coincidido. Um incidente fornece uma imagem holística e um contexto de atividade suspeita ou mal-intencionada. Um único incidente fornece o contexto completo de um ataque em vez de tririar centenas de alertas de vários serviços.
Dica
Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.
Microsoft Defender XDR tem muitos recursos que você pode usar para responder a um incidente. Você pode navegar pelos incidentes selecionando Exibir todos os incidentes nos incidentes ativos cartão na página Inicial ou por meio de incidentes & alertas no painel de navegação esquerdo.
Figura 1. Incidentes ativos cartão na página inicial do Microsoft Defender XDR
Figure 2. Fila de incidentes
Cada incidente contém alertas correlacionados automaticamente de diferentes fontes de detecção e pode envolver vários pontos de extremidade, identidades ou aplicativos de nuvem.
Triagem de incidentes
A priorização de incidentes varia de acordo com o respondente, a equipe de segurança e a organização. Planos de resposta a incidentes e a direção das equipes de segurança podem exigir prioridade de incidentes.
Microsoft Defender XDR tem vários indicadores, como gravidade de incidentes, tipos de usuários ou tipos de ameaças para triagem e priorização de incidentes. Você pode usar qualquer combinação desses indicadores prontamente disponível por meio dos filtros de fila de incidentes .
Um exemplo de determinação da prioridade de incidente é combinar os seguintes fatores para um incidente:
- O incidente tem uma alta gravidade.
- O estado de investigação de automação falhou.
- Há 5 ativos afetados em que dois dos ativos são marcados com confidencialidade de dados altamente confidencial.
- O incidente status é novo.
- O incidente não é atribuído a nenhum membro da equipe para investigação.
Você pode atribuir uma alta prioridade ao incidente usando as informações acima. Você pode iniciar sua investigação de incidentes quando uma prioridade for determinada.
Observação
Microsoft Defender XDR determina automaticamente filtros como gravidade, estados de investigação, ativos afetados e status de incidente. As informações são baseadas nas atividades de rede da sua organização contextualizadas com feeds de inteligência contra ameaças e as ações de correção automatizadas aplicadas.
Gerenciar incidentes
Você pode contribuir para a eficiência do gerenciamento de incidentes fornecendo informações essenciais em incidentes e alertas. Ao adicionar informações aos seguintes filtros de quando você triageia e analisa cada incidente, você fornece um contexto adicional para esse incidente que outros respondentes podem aproveitar:
- Classificação de incidentes e alertas
- Nomenclatura de incidentes
- Adicionar marcas
- Fornecendo comentários
Saiba como classificar incidentes e alertas por meio deste vídeo:
Próximas etapas
- Analisar seu primeiro incidente
- Corrigir seu primeiro incidente
- Assista às demonstrações e aos novos desenvolvimentos do portal em ação no Treinamento ninja virtual Microsoft Defender XDR
Confira também
- Integrar Microsoft Defender XDR em suas operações de segurança
- Responder a ataques comuns usando guias estratégicos de resposta a incidentes
- Conheça os recursos e funções do portal por meio do treinamento Microsoft Defender XDR Ninja
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de