Gerir incidentes no Microsoft Defender
A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.
Faça a gestão dos incidentes a partir de Incidentes & resposta > a Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Eis um exemplo.
Este artigo mostra-lhe como realizar várias tarefas de gestão de incidentes associadas a diferentes fases do ciclo de vida de um incidente.
- Atribua o incidente a um proprietário.
- Atribuir ou alterar a gravidade.
- Adicione etiquetas de incidentes.
- Altere o estado do incidente.
Resolução e investigação de incidentes:
- Resolver um incidente.
- Especifique a classificação de um incidente.
- Adicione comentários a um incidente.
Registo de incidentes e relatórios:
- Edite o nome do incidente.
- Avalie a auditoria de atividade e adicione comentários no Registo de atividades.
- Exportar dados de incidentes para PDF.
A maioria destas tarefas está acessível a partir do painel Gerir incidentes para um incidente. Pode aceder a este painel a partir de qualquer uma das várias localizações.
Selecione Investigação & resposta > Incidentes & alertas Incidentes > no início rápido do portal do Microsoft Defender.
Na fila de incidentes, aceda ao painel Gerir incidentes de uma de duas formas:
Selecione a caixa de verificação de um incidente e selecione Gerir incidentes na barra de ferramentas acima dos filtros. Faça a gestão de vários incidentes ao mesmo tempo ao selecionar várias caixas de verificação.
Selecione a linha de um incidente (sem selecionar o nome do incidente), para que o painel de detalhes do incidente seja apresentado e selecione Gerir incidente no painel de detalhes do incidente.
Selecione Investigação & resposta > Incidentes & alertas Incidentes > no início rápido do portal do Microsoft Defender.
Selecione o nome de um incidente na fila. Em alternativa, selecione a linha de um incidente na fila e, em seguida, selecione Abrir página de incidente no painel de detalhes do incidente.
Na página do incidente, selecione Gerir incidente no painel superior.
Se Gerir incidente não estiver visível, selecione os três pontos no canto superior direito (visível na captura de ecrã seguinte junto a "Gerir incidente" e selecione-o no menu apresentado.
As seguintes tarefas de gestão estão intimamente associadas à triagem de incidentes, embora possam ser executadas em qualquer altura.
- Atribua o incidente a um proprietário.
- Atribuir ou alterar a gravidade.
- Adicione etiquetas de incidentes.
- Altere o estado do incidente.
Por predefinição, são criados novos incidentes sem proprietário. Idealmente, a sua equipa do SecOps deve ter mecanismos e procedimentos implementados para atribuir automaticamente incidentes aos proprietários. Poderá ter de reatribuir um incidente em caso de escalamento ou atribuição original errada.
Para atribuir manualmente um novo proprietário a um incidente, siga os seguintes passos:
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
Selecione a caixa Atribuir a . É apresentada uma lista pendente de detentores sugeridos.
Se vir a conta de utilizador ou grupo à qual pretende atribuir o incidente, selecione-o.
Caso contrário, comece a escrever o nome ou o ID da conta do utilizador ou grupo pretendido na caixa de texto na parte superior da lista. A lista é atualizada dinamicamente, filtrada pelo que escreve. Quando vir o utilizador ou grupo que pretende, selecione-o.
Para remover uma atribuição existente, incluindo as que acabou de adicionar, selecione o X junto ao nome da conta. Em seguida, selecione a caixa Atribuir a se pretender adicionar outra tarefa.
Apenas uma conta de utilizador ou grupo pode ser atribuída a um incidente.
Seleccione Guardar.
Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.
Para ver a lista de incidentes atribuídos a um determinado utilizador ou grupo, filtre a fila de incidentes:
Na fila de incidentes, selecione o filtro Atribuição de incidentes . É apresentada uma lista pendente de detentores sugeridos.
Se não vir a Atribuição de incidentes entre os filtros, selecione Adicionar filtro, selecione Atribuição de incidentes na lista pendente e selecione Adicionar.
Se vir a conta de utilizador cujos incidentes atribuídos pretende apresentar, selecione-a.
Caso contrário, comece a escrever o nome ou o ID da conta do utilizador ou grupo pretendido na caixa de texto na parte superior da lista. A lista é atualizada dinamicamente, filtrada pelo que escreve. Quando vir o utilizador ou grupo que pretende, selecione-o.
Ao contrário da atribuição de incidentes, aqui pode selecionar mais do que um destinatário para filtrar a lista. Para adicionar outra conta de utilizador ou grupo ao filtro, selecione a caixa de texto (junto à conta existente no filtro) e a lista de detentores sugeridos aparece novamente.
Selecione Aplicar.
Para guardar uma ligação para a fila de incidentes com os filtros atuais aplicados, selecione Copiar ligação da lista na barra de ferramentas na página da fila de incidentes. Crie um atalho nos seus favoritos ou no seu ambiente de trabalho e cole a ligação no mesmo.
A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.
Para atribuir ou alterar manualmente a gravidade de um incidente, siga os seguintes passos:
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
Selecione o valor de gravidade que pretende aplicar no menu pendente Gravidade no painel Gerir incidente .
Seleccione Guardar.
As etiquetas personalizadas adicionam informações para dar contexto a um incidente. Por exemplo, uma etiqueta pode etiquetar um grupo de incidentes com uma característica comum. As etiquetas são um critério de filtragem, pelo que pode filtrar posteriormente a fila de incidentes para todos os incidentes que contêm uma etiqueta específica. Para aplicar uma etiqueta a um incidente:
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
No campo Etiquetas de incidente, comece a escrever o nome da etiqueta que pretende aplicar. À medida que escreve, é apresentada uma lista de etiquetas utilizadas anteriormente e selecionadas. Se vir a etiqueta que pretende aplicar na lista, selecione-a.
Se escreveu um nome de etiqueta que ainda não foi utilizado, selecione a última entrada na lista, que é o texto que escreveu seguido de "(Criar novo)".
Em seguida, a etiqueta é apresentada como uma etiqueta dentro do campo Etiquetas de incidente. Repita este passo para adicionar mais etiquetas conforme quiser.
Seleccione Guardar.
Um incidente pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:
- Um tipo de ataque, como phishing de credenciais ou fraude BEC
- Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
- Especialistas do Defender que lidam com um incidente
- Recursos críticos envolvidos no incidente
Gorjeta
O Gestão da exposição de segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.
Os incidentes começam a vida útil com o estado Ativo. Quando estiver a trabalhar num incidente, altere o Estado para Em curso.
As seguintes tarefas de gestão estão intimamente associadas à investigação e resolução de incidentes, embora possam ser executadas em qualquer altura.
- Resolver um incidente.
- Especifique a classificação de um incidente.
- Adicione comentários a um incidente.
Quando um incidente é remediado e resolvido, efetue as seguintes ações para registar a resolução:
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
Altere o estado. Selecione Resolvido na lista pendente Estado . Quando altera o estado de um incidente para Resolvido, é apresentado um novo campo imediatamente a seguir ao campo Estado .
Introduza uma nota neste campo que explique o motivo pelo qual considera o incidente resolvido. Esta nota é visível no registo de atividades do incidente, perto da entrada que regista a resolução do incidente.
A nota de resolução também está visível no painel Detalhes do incidente na página da fila de incidentes e na página de incidentes de um incidente resolvido.
Seleccione Guardar.
Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente. Um incidente que não é resolvido é apresentado como Ativo.
Quando resolver um incidente, ou em qualquer ponto da investigação de um incidente, assim que tomar conhecimento de como o incidente deve ser classificado, defina o campo Classificação em conformidade.
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
Escolha o valor adequado na lista pendente Classificação :
- Não definido (a predefinição).
- Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda a sua equipa de segurança a ver padrões de ameaças e a agir para defender a sua organização dos mesmos.
- Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
- Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.
Veja os tipos de atividades e ameaças disponíveis para cada uma destas classificações na captura de ecrã seguinte.
Seleccione Guardar.
Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar Microsoft Defender para proporcionar uma melhor determinação de deteção ao longo do tempo.
Ao longo da investigação e incidente, adicione comentários para registar as suas atividades, informações e conclusões.
Abra o registo de atividades do incidente. Na página do incidente ou no painel de detalhes do incidente na página da fila de incidentes, selecione as reticências no canto superior direito e, no menu resultante, selecione Registo de atividades.
Escreva o seu comentário no campo de texto. O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.
Seleccione Guardar.
Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .
As seguintes tarefas de gestão podem ser associadas a auditorias e relatórios sobre investigações de incidentes, embora possam ser realizadas em qualquer altura.
- Edite o nome do incidente.
- Avalie a auditoria de atividade e adicione comentários no Registo de atividades.
- Exportar dados de incidentes para PDF.
Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Para editar o nome do incidente, siga os seguintes passos:
Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.
Escreva um novo nome no campo Nome do incidente no painel Gerir incidente .
Seleccione Guardar.
Nota
Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes mantêm os respetivos nomes.
Se outro incidente for intercalado num incidente cujo nome foi mudado, o Defender atribui um novo nome ao incidente, substituindo previamente qualquer nome personalizado que lhe tenha dado.
Ao efetuar uma autópsia de um incidente, veja o Registo de atividades do incidente para ver o histórico de ações realizadas no incidente (denominado "Auditorias") e quaisquer comentários registados. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades.
Abra o registo de atividades do incidente. Na página do incidente ou no painel de detalhes do incidente na página da fila de incidentes, selecione as reticências no canto superior direito e, no menu resultante, selecione Registo de atividades.
Filtre as atividades no registo por comentários e ações. Selecione Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Eis um exemplo.
Selecione Aplicar.
Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.
Importante
Algumas informações neste artigo estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.
Os dados do incidente exportados incluem as seguintes informações:
- Uma descrição geral que contém os detalhes do incidente
- O gráfico do bloco de ataque e as categorias de ameaças
- Os recursos afetados, que abrangem até 10 ativos para cada tipo de recurso
- A lista de provas que abrange até 100 itens
- Dados de suporte, incluindo todos os alertas e atividades relacionados registados no registo de atividades
Eis um exemplo do PDF exportado:
Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:
A função exportar para PDF também está disponível no painel lateral Copilot. Quando seleciona as reticências mais ações (...) no canto superior direito do cartão de resultados do relatório de incidentes, pode selecionar Exportar incidente como PDF.
Para gerar o PDF, execute os seguintes passos:
Abra uma página de incidente. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF.
Na caixa de diálogo apresentada a seguir, confirme as informações do incidente que pretende incluir ou excluir no PDF. Todas as informações do incidente estão selecionadas por predefinição. Selecione Exportar PDF para continuar.
É apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.
É apresentada outra caixa de diálogo a indicar que o PDF está pronto. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo. A mensagem de estado abaixo do título do incidente também é atualizada para indicar que a transferência está disponível.
O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.
Para incidentes novos e em processo, continue a investigação do incidente.
Para incidentes resolvidos, efetue uma revisão pós-incidente.
Gorjeta
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.