Gerir alertas de Microsoft Defender para Endpoint

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Defender para Endpoint notifica-o sobre possíveis eventos maliciosos, atributos e informações contextuais através de alertas. É apresentado um resumo dos novos alertas e pode aceder a todos os alertas na fila Alertas.

Pode gerir alertas ao selecionar um alerta na fila Alertas ou no separador Alertas da página Dispositivo de um dispositivo individual.

Selecionar um alerta em qualquer um desses locais apresenta o painel Gestão de alertas.

Veja este vídeo para saber como utilizar a nova página de alerta Microsoft Defender para Endpoint.

Ligar a outro incidente

Pode criar um novo incidente a partir do alerta ou ligar a um incidente existente.

Atribuir alertas

Se ainda não tiver sido atribuído um alerta, pode selecionar Atribuir-me para atribuir o alerta a si próprio.

Suprimir alertas

Podem existir cenários em que precisa de suprimir a apresentação de alertas no Microsoft Defender XDR. O Defender para Endpoint permite-lhe criar regras de supressão para alertas específicos que são conhecidos por serem inócuos, como ferramentas ou processos conhecidos na sua organização.

As regras de supressão podem ser criadas a partir de um alerta existente. Podem ser desativadas e reativadas, se necessário.

Quando é criada uma regra de supressão, esta entrará em vigor a partir do ponto em que a regra é criada. A regra não afetará os alertas existentes já na fila, antes da criação da regra. A regra só será aplicada em alertas que satisfaçam as condições definidas após a criação da regra.

Existem dois contextos para uma regra de supressão que pode escolher:

• Suprimir alerta neste dispositivo
• Suprimir alerta na minha organização

O contexto da regra permite-lhe personalizar o que é apresentado no portal e garantir que apenas os alertas de segurança reais são apresentados no portal.

Pode utilizar os exemplos na tabela seguinte para o ajudar a escolher o contexto de uma regra de supressão:

Contexto	Definição	Cenários de exemplo
Suprimir alerta neste dispositivo	Os alertas com o mesmo título de alerta e nesse dispositivo específico só serão suprimidos. Todos os outros alertas nesse dispositivo não serão suprimidos.	Um investigador de segurança está a investigar um script malicioso que foi utilizado para atacar outros dispositivos na sua organização. Um programador cria regularmente scripts do PowerShell para a equipa.
Suprimir alerta na minha organização	Os alertas com o mesmo título de alerta em qualquer dispositivo serão suprimidos.	Uma ferramenta administrativa benigna é utilizada por todas as pessoas na sua organização.

Suprimir um alerta e criar uma nova regra de supressão

Create regras personalizadas para controlar quando os alertas são suprimidos ou resolvidos. Pode controlar o contexto de quando um alerta é suprimido ao especificar o título do alerta, o Indicador de comprometimento e as condições. Depois de especificar o contexto, poderá configurar a ação e o âmbito no alerta.

1. Selecione o alerta que pretende suprimir. Esta ação apresenta o painel Gestão de alertas .

2. Selecione Create uma regra de supressão.

   Pode criar uma condição de supressão com estes atributos. Um operador AND é aplicado entre cada condição, pelo que a supressão só ocorre se todas as condições forem cumpridas.

   • Ficheiro SHA1
   • Nome do ficheiro – carateres universais suportados
   • Caminho da pasta – carateres universais suportados
   • Endereço IP
   • URL – carateres universais suportados
   • Linha de comandos – carateres universais suportados

3. Selecione Acionar COI.

4. Especifique a ação e o âmbito no alerta.

   Pode resolver automaticamente um alerta ou ocultá-lo no portal. Os alertas que são resolvidos automaticamente serão apresentados na secção resolvida da fila de alertas, da página de alertas e da linha cronológica do dispositivo e aparecerão como resolvidos nas APIs do Defender para Endpoint.

   Os alertas marcados como ocultos serão suprimidos a partir de todo o sistema, tanto nos alertas associados do dispositivo como no dashboard e não serão transmitidos em fluxo pelas APIs do Defender para Endpoint.

5. Introduza um nome de regra e um comentário.

6. Clique em Guardar.

Ver a lista de regras de supressão

1. No painel de navegação, selecione Definições>Supressão de Alertasde Regras> dePontos Finais>.

2. A lista de regras de supressão mostra todas as regras que os utilizadores na sua organização criaram.

Para obter mais informações sobre como gerir regras de supressão, veja Gerir regras de supressão

Alterar o estado de um alerta

Pode categorizar alertas (como Novos, Em Curso ou Resolvidos) alterando o respetivo estado à medida que a investigação progride. Isto ajuda-o a organizar e gerir a forma como a sua equipa pode responder a alertas.

Por exemplo, um coordenador de equipa pode rever todos os Novos alertas e decidir atribuí-los à fila Em Curso para uma análise mais aprofundada.

Em alternativa, o coordenador de equipa pode atribuir o alerta à fila Resolvido se souber que o alerta é benigno, proveniente de um dispositivo irrelevante (como um pertencente a um administrador de segurança) ou que está a ser tratado através de um alerta anterior.

Classificação de alertas

Pode optar por não definir uma classificação ou especificar se um alerta é um alerta verdadeiro ou um alerta falso. É importante fornecer a classificação de verdadeiro positivo/falso positivo. Esta classificação é utilizada para monitorizar a qualidade dos alertas e tornar os alertas mais precisos. O campo "determinação" define fidelidade adicional para uma classificação "verdadeiro positivo".

Os passos para classificar alertas estão incluídos neste vídeo:

Adicionar comentários e ver o histórico de um alerta

Pode adicionar comentários e ver eventos históricos sobre um alerta para ver as alterações anteriores feitas ao alerta.

Sempre que é feita uma alteração ou comentário a um alerta, este é gravado na secção Comentários e histórico .

Os comentários adicionados são apresentados instantaneamente no painel.

Artigos relacionados

• Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender
• Gerir regras de supressão
• Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
• Investigar alertas de Microsoft Defender para Endpoint
• Investigar um ficheiro associado a um alerta de Microsoft Defender para Endpoint
• Investigar dispositivos na lista de Dispositivos do Microsoft Defender para Endpoint
• Investigar um endereço IP associado a um alerta de Microsoft Defender para Endpoint
• Investigar um domínio associado a um alerta de Microsoft Defender para Endpoint
• Investigar uma conta de utilizador no Microsoft Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.