Priorizar incidentes no portal Microsoft Defender

A plataforma de operações de segurança unificada no portal Microsoft Defender aplica análise de correlação e agrega alertas relacionados e investigações automatizadas de diferentes produtos em um incidente. O Microsoft Sentinel e o Defender XDR também disparam alertas exclusivos sobre atividades que só podem ser identificadas como mal-intencionadas, dada a visibilidade de ponta a ponta na plataforma unificada em todo o conjunto de produtos. Essa exibição fornece aos analistas de segurança a história de ataque mais ampla, o que os ajuda a entender melhor e lidar com ameaças complexas em toda a sua organização.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal Microsoft Defender.

Fila de incidentes

A fila Incidente mostra uma coleção de incidentes que foram criados entre dispositivos, usuários, caixas de correio e outros recursos. Ele ajuda você a classificar incidentes para priorizar e criar uma decisão de resposta de segurança cibernética informada, um processo conhecido como triagem de incidentes.

Dica

Por um tempo limitado durante janeiro de 2024, quando você visitar a página Incidentes , o Defender Boxed será exibido. O Defender Boxed destaca os êxitos, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, acesse Incidentes e selecione Seu Defender em Caixa.

Você pode acessar a fila de incidentes de Incidentes & alertas Incidentes > no lançamento rápido do portal Microsoft Defender. Veja um exemplo.

Captura de tela da fila Incidentes no portal Microsoft Defender.

Selecione Incidentes e alertas mais recentes para alternar a expansão da seção superior, que mostra um gráfico linha do tempo do número de alertas recebidos e incidentes criados nas últimas 24 horas.

Captura de tela do gráfico de incidentes de 24 horas.

Abaixo disso, a fila de incidentes no portal Microsoft Defender exibe incidentes vistos nos últimos seis meses. O incidente mais recente está no topo da lista para que você possa vê-lo primeiro. Você pode escolher um período de tempo diferente selecionando-o na lista suspensa na parte superior.

A fila de incidentes tem colunas personalizáveis ( selecione Personalizar colunas) que dão visibilidade a diferentes características do incidente ou das entidades afetadas. Essa filtragem ajuda você a tomar uma decisão informada sobre a priorização de incidentes para análise.

Captura de tela do filtro de página incidente e controles de coluna.

Nomes de incidentes

Para obter mais visibilidade rapidamente, Microsoft Defender XDR gera nomes de incidentes automaticamente, com base em atributos de alerta, como o número de pontos de extremidade afetados, usuários afetados, fontes de detecção ou categorias. Essa nomenclatura específica permite entender rapidamente o escopo do incidente.

Por exemplo: incidente em vários estágios em vários pontos de extremidade relatados por várias fontes.

Se você integrou o Microsoft Sentinel à plataforma de operações de segurança unificadas, é provável que todos os alertas e incidentes provenientes do Microsoft Sentinel tenham seus nomes alterados (independentemente de terem sido criados antes ou desde a integração).

Recomendamos que você evite usar o nome do incidente como condição para disparar regras de automação. Se o nome do incidente for uma condição e o nome do incidente for alterado, a regra não será disparada.

Filtros

A fila de incidentes também fornece várias opções de filtragem, que, quando aplicadas, permitem que você realize uma ampla varredura de todos os incidentes existentes em seu ambiente ou decida se concentrar em um cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar qual incidente exige atenção imediata.

A lista Filtros acima da lista de incidentes mostra os filtros aplicados no momento.

Na fila de incidentes padrão, você pode selecionar Adicionar filtro para ver a lista suspensa Adicionar filtro , da qual você especifica filtros a serem aplicados à fila de incidentes para limitar o conjunto de incidentes mostrado. Veja um exemplo.

O painel Filtros para a fila de incidentes no portal Microsoft Defender.

Selecione os filtros que você deseja usar e selecione Adicionar na parte inferior da lista para disponibilizá-los.

Agora, os filtros selecionados são mostrados junto com os filtros aplicados existentes. Selecione o novo filtro para especificar suas condições. Por exemplo, se você escolheu o filtro "Fontes de serviço/detecção", selecione-o para escolher as fontes pelas quais filtrar a lista.

Você também pode ver o painel Filtrar selecionando qualquer um dos filtros na lista Filtros acima da lista de incidentes.

Esta tabela lista os nomes de filtro que estão disponíveis.

Nome do filtro Descrição/condições
Status Selecione Novo, Em andamento ou Resolvido.
Gravidade do alerta
Gravidade do incidente
A gravidade de um alerta ou incidente é um indicativo do impacto que ele pode ter em seus ativos. Quanto maior a gravidade, maior o impacto e normalmente requer a atenção mais imediata. Selecione Alto, Médio, Baixo ou Informativo.
Atribuição de incidente Selecione o usuário ou usuários atribuídos.
Várias fontes de serviço Especifique se o filtro é para mais de uma fonte de serviço.
Fontes de serviço/detecção Especifique os incidentes que contêm alertas de um ou mais dos seguintes:
  • Microsoft Defender para Identidade?
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender XDR
  • Microsoft Defender para Office 365
  • Governança do aplicativo
  • Microsoft Entra ID Protection
  • Prevenção contra perda de dados da Microsoft
  • Microsoft Defender para Nuvem
  • Microsoft Sentinel

    Muitos desses serviços podem ser expandidos no menu para revelar outras opções de fontes de detecção em um determinado serviço.
  • Marcas Selecione um ou vários nomes de marca na lista.
    Várias categorias Especifique se o filtro é para mais de uma categoria.
    Categories Escolha categorias para se concentrar em táticas, técnicas ou componentes de ataque específicos vistos.
    Entities Especifique o nome de um ativo, como um usuário, dispositivo, caixa de correio ou nome do aplicativo.
    Confidencialidade de dados Alguns ataques se concentram no direcionamento para exfiltrar dados confidenciais ou valiosos. Ao aplicar um filtro para rótulos de confidencialidade específicos, você pode determinar rapidamente se informações confidenciais foram potencialmente comprometidas e priorizar o tratamento desses incidentes.

    Esse filtro exibe informações somente quando você aplica rótulos de confidencialidade de Proteção de Informações do Microsoft Purview.
    Grupos de dispositivos Especifique um nome de grupo de dispositivos .
    Plataforma do SO Especifique os sistemas operacionais do dispositivo.
    Classificação Especifique o conjunto de classificações dos alertas relacionados.
    Estado de investigação automatizada Especifique o status de investigação automatizada.
    Ameaça associada Especifique uma ameaça nomeada.
    Políticas de alerta Especifique um título de política de alerta.

    O filtro padrão é mostrar todos os alertas e incidentes com uma status de Novo e Em andamento e com uma gravidade de Alta, Média ou Baixa.

    Você pode remover rapidamente um filtro selecionando o X no nome de um filtro na lista Filtros .

    Você também pode criar conjuntos de filtros na página incidentes selecionando consultas de filtro salvas > Criar conjunto de filtros. Se nenhum conjunto de filtros tiver sido criado, selecione Salvar para criar um.

    A opção criar filtro define a opção para a fila de incidentes no portal Microsoft Defender.

    Salvar filtros personalizados como URLs

    Depois de configurar um filtro útil na fila de incidentes, você pode marcar a URL da guia do navegador ou salvá-la como um link em uma página da Web, um documento Word ou um local de sua escolha. O indicador fornece acesso de um clique único às principais exibições da fila de incidentes, como:

    • Novos incidentes
    • Incidentes de alta gravidade
    • Incidentes não atribuídos
    • Incidentes de alta gravidade e não atribuídos
    • Incidentes atribuídos a mim
    • Incidentes atribuídos a mim e a Microsoft Defender para Ponto de Extremidade
    • Incidentes com uma marca ou marcas específicas
    • Incidentes com uma categoria de ameaça específica
    • Incidentes com uma ameaça associada específica
    • Incidentes com um ator específico

    Depois de compilar e armazenar sua lista de exibições de filtro úteis como URLs, use-a para processar rapidamente e priorizar os incidentes em sua fila e gerenciá-los para atribuição e análise subsequentes.

    Na caixa Pesquisa para nome ou ID acima da lista de incidentes, você pode procurar incidentes de várias maneiras, para encontrar rapidamente o que você está procurando.

    Pesquisa por nome do incidente ou ID

    Pesquisa diretamente para um incidente digitando a ID do incidente ou o nome do incidente. Quando você seleciona um incidente na lista de resultados da pesquisa, o portal Microsoft Defender abre uma nova guia com as propriedades do incidente, da qual você pode iniciar sua investigação.

    Pesquisa por ativos afetados

    Você pode nomear um ativo, como um usuário, dispositivo, caixa de correio, nome do aplicativo ou recurso de nuvem, e localizar todos os incidentes relacionados a esse ativo.

    Especificar um intervalo de tempo

    A lista padrão de incidentes é para aqueles que ocorreram nos últimos seis meses. Você pode especificar um novo intervalo de tempo da caixa suspensa ao lado do ícone de calendário selecionando:

    • Um dia
    • Três dias
    • Uma semana
    • 30 dias
    • 30 dias
    • Seis meses
    • Um intervalo personalizado no qual você pode especificar datas e horários

    Próximas etapas

    Depois de determinar qual incidente requer a maior prioridade, selecione-o e:

    • Gerencie as propriedades do incidente para marcas, atribuição, resolução imediata para incidentes falsos positivos e comentários.
    • Inicie suas investigações.

    Confira também

    Dica

    Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.