Gerir incidentes de Microsoft Defender para Endpoint

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A gestão de incidentes é uma parte importante de todas as operações de cibersegurança. Pode gerir incidentes ao selecionar um incidente na fila Incidentes ou no painel Gestão de incidentes.

Sugestão

Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.

Selecionar um incidente na fila Incidentes apresenta o painel Gestão de incidentes onde pode abrir a página do incidente para obter detalhes.

Pode atribuir incidentes a si próprio, alterar o estado e a classificação, mudar o nome ou comentar os mesmos para controlar o progresso.

Sugestão

Para visibilidade adicional de relance, os nomes de incidentes são gerados automaticamente com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Isto permite-lhe compreender rapidamente o âmbito do incidente.

Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Os incidentes que existiam antes da implementação da nomenclatura automática de incidentes irão manter os respetivos nomes.

Atribuir incidentes

Se ainda não tiver sido atribuído um incidente, pode selecionar Atribuir-me para atribuir o incidente a si próprio. Ao fazê-lo, assume a propriedade não só do incidente, mas também de todos os alertas associados ao mesmo.

Definir estado e classificação

Estado do incidente

Pode categorizar incidentes (como Ativos ou Resolvidos) alterando o respetivo estado à medida que a investigação progride. Isto ajuda-o a organizar e gerir a forma como a sua equipa pode responder a incidentes.

Por exemplo, o seu analista do SOC pode rever os incidentes ativos urgentes do dia e decidir atribuí-los a si próprio para investigação.

Em alternativa, o analista do SOC pode definir o incidente como Resolvido se o incidente tiver sido remediado.

Classificação

Pode optar por não definir uma classificação ou decidir especificar se um incidente é verdadeiro ou falso. Fazê-lo ajuda a equipa a ver padrões e a aprender com eles.

Adicionar comentários

Pode adicionar comentários e ver eventos históricos sobre um incidente para ver as alterações anteriores feitas ao mesmo.

Sempre que é feita uma alteração ou comentário a um alerta, este é gravado na secção Comentários e histórico.

Os comentários adicionados são apresentados instantaneamente no painel.

Tópicos relacionados

• Fila de incidentes
• Ver e organizar a fila de Incidentes
• Investigar incidentes

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.