Partilhar via

Gerir incidentes de segurança no Microsoft Defender para a Cloud

  • Artigo

A triagem e a investigação de alertas de segurança podem ser demoradas até mesmo para os analistas de segurança mais qualificados. Para muitos, é difícil saber por onde começar.

O Defender for Cloud usa análises para conectar as informações entre alertas de segurança distintos. Usando essas conexões, o Defender for Cloud pode fornecer uma visão única de uma campanha de ataque e seus alertas relacionados para ajudá-lo a entender as ações do invasor e os recursos afetados.

Esta página fornece uma visão geral dos incidentes no Defender for Cloud.

O que é um incidente de segurança?

No Defender for Cloud, um incidente de segurança é uma agregação de todos os alertas para um recurso que se alinham com os padrões da cadeia de eliminação. Os incidentes aparecem na página Alertas de segurança. Selecione um incidente para visualizar os alertas relacionados e obter mais informações.

Gerir incidentes de segurança

  1. Na página de alertas de segurança do Defender for Cloud, use o botão Adicionar filtro para filtrar por nome de alerta o nome do alerta Incidente de segurança detetado em vários recursos.

    Localizar os incidentes na página de alertas de segurança no Microsoft Defender for Cloud.

    A lista agora é filtrada para mostrar apenas incidentes. Observe que os incidentes de segurança têm um ícone diferente dos alertas de segurança.

    Lista de incidentes na página de alertas de segurança no Microsoft Defender for Cloud.

  2. Para ver os detalhes de um incidente, selecione um na lista. Um painel lateral aparece com mais detalhes sobre o incidente.

    Painel lateral mostrando detalhes do incidente.

  3. Para ver mais detalhes, selecione Ver detalhes completos.

    Responda a incidentes de segurança no Microsoft Defender for Cloud.

    O painel esquerdo da página do incidente de segurança mostra informações de alto nível sobre o incidente de segurança: título, gravidade, status, tempo de atividade, descrição e o recurso afetado. Ao lado do recurso afetado, você pode ver as tags relevantes do Azure. Use essas tags para inferir o contexto organizacional do recurso ao investigar o alerta.

    O painel direito inclui a guia Alertas com os alertas de segurança que foram correlacionados como parte desse incidente.

    Gorjeta

    Para obter mais informações sobre um alerta específico, selecione-o.

    Guia Tomar medidas do incidente.

    Para alternar para a guia Executar ação , selecione a guia ou o botão na parte inferior do painel direito. Use esta guia para executar outras ações, como:

    • Mitigar a ameaça - fornece etapas manuais de correção para este incidente de segurança
    • Prevenir ataques futuros - fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e prevenir ataques futuros
    • Acionar resposta automatizada - fornece a opção de acionar um aplicativo lógico como resposta a esse incidente de segurança
    • Suprimir alertas semelhantes - fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para a sua organização

    Nota

    O mesmo alerta pode existir como parte de um incidente, bem como ser visível como um alerta autônomo.

  4. Para remediar as ameaças no incidente, siga as etapas de correção fornecidas com cada alerta.

Próximos passos

Esta página explicou os recursos de incidentes de segurança do Defender for Cloud. Para obter informações relacionadas, consulte as seguintes páginas: