Gerir incidentes de segurança no Microsoft Defender para a Cloud

  • Artigo

A triagem e investigação de alertas de segurança pode ser demorada até para os analistas de segurança mais qualificados. Para muitos, é difícil saber por onde começar.

O Defender para Cloud utiliza a análise para ligar as informações entre alertas de segurança distintos. Com estas ligações, o Defender para Cloud pode fornecer uma única vista de uma campanha de ataque e dos respetivos alertas relacionados para o ajudar a compreender as ações do atacante e os recursos afetados.

Esta página fornece uma descrição geral dos incidentes no Defender para Cloud.

O que é um incidente de segurança?

No Defender para Cloud, um incidente de segurança é uma agregação de todos os alertas para um recurso que está alinhado com padrões de cadeia de eliminação. Os incidentes são apresentados na página Alertas de segurança . Selecione um incidente para ver os alertas relacionados e obter mais informações.

Gerir incidentes de segurança

  1. Na página alertas de segurança do Defender para Cloud, utilize o botão Adicionar filtro para filtrar por nome de alerta para o nome do alerta Incidente de segurança detetado em vários recursos.

    Localizar os incidentes na página de alertas de segurança no Microsoft Defender para a Cloud.

    A lista está agora filtrada para mostrar apenas incidentes. Repare que os incidentes de segurança têm um ícone diferente dos alertas de segurança.

    Lista de incidentes na página de alertas de segurança no Microsoft Defender para a Cloud.

  2. Para ver os detalhes de um incidente, selecione um na lista. É apresentado um painel lateral com mais detalhes sobre o incidente.

    Painel lateral a mostrar os detalhes do incidente.

  3. Para ver mais detalhes, selecione Ver detalhes completos.

    Responder a incidentes de segurança no Microsoft Defender para a Cloud.

    O painel esquerdo da página de incidentes de segurança mostra informações de alto nível sobre o incidente de segurança: título, gravidade, estado, tempo de atividade, descrição e o recurso afetado. Junto ao recurso afetado, pode ver as etiquetas relevantes do Azure. Utilize estas etiquetas para inferir o contexto organizacional do recurso ao investigar o alerta.

    O painel direito inclui o separador Alertas com os alertas de segurança que foram correlacionados como parte deste incidente.

    Dica

    Para obter mais informações sobre um alerta específico, selecione-o.

    O incidente é o separador de ação.

    Para mudar para o separador Tomar ação , selecione o separador ou o botão na parte inferior do painel direito. Utilize este separador para efetuar outras ações, tais como:

    • Mitigar a ameaça – fornece passos de remediação manuais para este incidente de segurança
    • Evitar ataques futuros – fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e evitar ataques futuros
    • Acionar resposta automatizada – fornece a opção para acionar uma Aplicação Lógica como resposta a este incidente de segurança
    • Suprimir alertas semelhantes - fornece a opção para suprimir futuros alertas com características semelhantes se o alerta não for relevante para a sua organização

    Nota

    O mesmo alerta pode existir como parte de um incidente, bem como ser visível como um alerta autónomo.

  4. Para remediar as ameaças no incidente, siga os passos de remediação fornecidos com cada alerta.

Passos seguintes

Esta página explicou as capacidades de incidentes de segurança do Defender para a Cloud. Para obter informações relacionadas, veja as seguintes páginas: