Gerir incidentes de segurança no Microsoft Defender para a Cloud

Triagem e investigação de alertas de segurança pode ser demorado até para os analistas de segurança mais qualificados. Para muitos, é difícil saber por onde começar.

O Defender for Cloud utiliza análises para ligar a informação entre alertas de segurança distintos. Utilizando estas ligações, o Defender for Cloud pode fornecer uma única visão de uma campanha de ataque e os seus alertas relacionados para ajudá-lo a entender as ações do atacante e os recursos afetados.

Esta página fornece uma visão geral dos incidentes no Defender para cloud.

O que é um incidente de segurança?

Em Defender for Cloud, um incidente de segurança é uma agregação de todos os alertas para um recurso que se alinha com padrões de cadeia de morte . Incidentes aparecem na página de alertas de segurança . Selecione um incidente para ver os alertas relacionados e obter mais informações.

Gerir incidentes de segurança

  1. Na página de alertas do Defender for Cloud, utilize o botão de filtro Adicionar para filtrar por nome de alerta o nome de alerta Incidente de segurança detetado em vários recursos.

    Localizar os incidentes na página de alertas no Microsoft Defender for Cloud.

    A lista está agora filtrada para mostrar apenas incidentes. Note que os incidentes de segurança têm um ícone diferente dos alertas de segurança.

    Lista de incidentes na página de alertas no Microsoft Defender for Cloud.

  2. Para ver detalhes de um incidente, selecione um da lista. Um painel lateral aparece com mais detalhes sobre o incidente.

    Painel lateral mostrando detalhes do incidente.

  3. Para ver mais detalhes, selecione Ver todos os detalhes.

    Responda a incidentes de segurança no Microsoft Defender for Cloud.

    O painel esquerdo da página do incidente de segurança mostra informações de alto nível sobre o incidente de segurança: título, gravidade, estado, tempo de atividade, descrição e o recurso afetado. Junto ao recurso afetado pode ver as tags Azure relevantes. Utilize estas etiquetas para inferir o contexto organizacional do recurso ao investigar o alerta.

    O painel direito inclui o separador Alertas com os alertas de segurança que foram correlacionados como parte deste incidente.

    Dica

    Para mais informações sobre um alerta específico, selecione-o.

    Incidente toma conta de ação.

    Para mudar para o separador de ação, selecione o separador ou o botão na parte inferior do painel direito. Utilize este separador para tomar outras ações tais como:

    • Mitigate the threat - fornece medidas de reparação manual para este incidente de segurança
    • Prevenir futuros ataques - fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e prevenir futuros ataques
    • Trigger automated response - fornece a opção de desencadear uma App Lógica como resposta a este incidente de segurança
    • Suprimir alertas semelhantes - fornece a opção de suprimir futuros alertas com características semelhantes se o alerta não for relevante para a sua organização

    Nota

    O mesmo alerta pode existir como parte de um incidente, bem como ser visível como um alerta autónomo.

  4. Para remediar as ameaças no incidente, siga as medidas de reparação fornecidas com cada alerta.

Passos seguintes

Esta página explicou as capacidades de incidente de segurança do Defender para cloud. Para obter informações relacionadas, consulte as seguintes páginas: