Ler em inglês

Partilhar via


Gerir incidentes no Microsoft Defender

A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.

Faça a gestão dos incidentes a partir de Incidentes & resposta > a Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Eis um exemplo.

Captura de ecrã a mostrar a fila de incidentes e o painel de iniciação rápida no portal do Microsoft Defender.

Este artigo mostra-lhe como realizar várias tarefas de gestão de incidentes associadas a diferentes fases do ciclo de vida de um incidente.

Triagem de incidentes:

Resolução e investigação de incidentes:

Registo de incidentes e relatórios:

Aceder ao painel Gerir incidentes

A maioria destas tarefas está acessível a partir do painel Gerir incidentes para um incidente. Pode aceder a este painel a partir de qualquer uma das várias localizações.

A partir da fila de incidentes

  1. Selecione Investigação & resposta > Incidentes & alertas Incidentes > no início rápido do portal do Microsoft Defender.

  2. Na fila de incidentes, aceda ao painel Gerir incidentes de uma de duas formas:

    • Selecione a caixa de verificação de um incidente e selecione Gerir incidentes na barra de ferramentas acima dos filtros. Faça a gestão de vários incidentes ao mesmo tempo ao selecionar várias caixas de verificação.

    • Selecione a linha de um incidente (sem selecionar o nome do incidente), para que o painel de detalhes do incidente seja apresentado e selecione Gerir incidente no painel de detalhes do incidente.

      Captura de ecrã a mostrar como gerir incidentes a partir da fila de incidentes no portal do Microsoft Defender.

A partir da página do incidente

  1. Selecione Investigação & resposta > Incidentes & alertas Incidentes > no início rápido do portal do Microsoft Defender.

  2. Selecione o nome de um incidente na fila. Em alternativa, selecione a linha de um incidente na fila e, em seguida, selecione Abrir página de incidente no painel de detalhes do incidente.

  3. Na página do incidente, selecione Gerir incidente no painel superior.

    Se Gerir incidente não estiver visível, selecione os três pontos no canto superior direito (visível na captura de ecrã seguinte junto a "Gerir incidente" e selecione-o no menu apresentado.

    Captura de ecrã a mostrar como gerir um incidente a partir da página do incidente no portal do Microsoft Defender.

Triagem de incidentes

As seguintes tarefas de gestão estão intimamente associadas à triagem de incidentes, embora possam ser executadas em qualquer altura.

Atribuir um incidente a um proprietário

Por predefinição, são criados novos incidentes sem proprietário. Idealmente, a sua equipa do SecOps deve ter mecanismos e procedimentos implementados para atribuir automaticamente incidentes aos proprietários. Poderá ter de reatribuir um incidente em caso de escalamento ou atribuição original errada.

Atribuir um proprietário

Para atribuir manualmente um novo proprietário a um incidente, siga os seguintes passos:

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. Selecione a caixa Atribuir a . É apresentada uma lista pendente de detentores sugeridos.

  3. Se vir a conta de utilizador ou grupo à qual pretende atribuir o incidente, selecione-o.

    Caso contrário, comece a escrever o nome ou o ID da conta do utilizador ou grupo pretendido na caixa de texto na parte superior da lista. A lista é atualizada dinamicamente, filtrada pelo que escreve. Quando vir o utilizador ou grupo que pretende, selecione-o.

  4. Para remover uma atribuição existente, incluindo as que acabou de adicionar, selecione o X junto ao nome da conta. Em seguida, selecione a caixa Atribuir a se pretender adicionar outra tarefa.

    Apenas uma conta de utilizador ou grupo pode ser atribuída a um incidente.

  5. Seleccione Guardar.

Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.

Captura de ecrã a mostrar como atribuir um proprietário no painel Gerir incidentes no portal do Microsoft Defender.

Ver incidentes atribuídos a um proprietário específico

Para ver a lista de incidentes atribuídos a um determinado utilizador ou grupo, filtre a fila de incidentes:

  1. Na fila de incidentes, selecione o filtro Atribuição de incidentes . É apresentada uma lista pendente de detentores sugeridos.

    Se não vir a Atribuição de incidentes entre os filtros, selecione Adicionar filtro, selecione Atribuição de incidentes na lista pendente e selecione Adicionar.

  2. Se vir a conta de utilizador cujos incidentes atribuídos pretende apresentar, selecione-a.

    Caso contrário, comece a escrever o nome ou o ID da conta do utilizador ou grupo pretendido na caixa de texto na parte superior da lista. A lista é atualizada dinamicamente, filtrada pelo que escreve. Quando vir o utilizador ou grupo que pretende, selecione-o.

    Ao contrário da atribuição de incidentes, aqui pode selecionar mais do que um destinatário para filtrar a lista. Para adicionar outra conta de utilizador ou grupo ao filtro, selecione a caixa de texto (junto à conta existente no filtro) e a lista de detentores sugeridos aparece novamente.

  3. Selecione Aplicar.

    Captura de ecrã a mostrar como ver incidentes atribuídos a um proprietário na página da fila de incidentes no portal do Microsoft Defender.

Para guardar uma ligação para a fila de incidentes com os filtros atuais aplicados, selecione Copiar ligação da lista na barra de ferramentas na página da fila de incidentes. Crie um atalho nos seus favoritos ou no seu ambiente de trabalho e cole a ligação no mesmo.

Atribuir ou alterar a gravidade do incidente

A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Para atribuir ou alterar manualmente a gravidade de um incidente, siga os seguintes passos:

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. Selecione o valor de gravidade que pretende aplicar no menu pendente Gravidade no painel Gerir incidente .

  3. Seleccione Guardar.

Adicionar etiquetas de incidentes

As etiquetas personalizadas adicionam informações para dar contexto a um incidente. Por exemplo, uma etiqueta pode etiquetar um grupo de incidentes com uma característica comum. As etiquetas são um critério de filtragem, pelo que pode filtrar posteriormente a fila de incidentes para todos os incidentes que contêm uma etiqueta específica. Para aplicar uma etiqueta a um incidente:

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. No campo Etiquetas de incidente, comece a escrever o nome da etiqueta que pretende aplicar. À medida que escreve, é apresentada uma lista de etiquetas utilizadas anteriormente e selecionadas. Se vir a etiqueta que pretende aplicar na lista, selecione-a.

    Captura de ecrã a mostrar como criar uma etiqueta de incidente no painel Gerir incidentes.

    Se escreveu um nome de etiqueta que ainda não foi utilizado, selecione a última entrada na lista, que é o texto que escreveu seguido de "(Criar novo)".

    Captura de ecrã a mostrar como selecionar uma etiqueta a aplicar a um incidente no painel Gerir incidentes.

    Em seguida, a etiqueta é apresentada como uma etiqueta dentro do campo Etiquetas de incidente. Repita este passo para adicionar mais etiquetas conforme quiser.

    Captura de ecrã a mostrar como é apresentada uma etiqueta selecionada no campo Etiquetas de incidente.

  3. Seleccione Guardar.

Um incidente pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:

  • Um tipo de ataque, como phishing de credenciais ou fraude BEC
  • Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
  • Especialistas do Defender que lidam com um incidente
  • Recursos críticos envolvidos no incidente

Gorjeta

O Gestão da exposição de segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.

Alterar o estado do incidente

Os incidentes começam a vida útil com o estado Ativo. Quando estiver a trabalhar num incidente, altere o Estado para Em curso.

Investigação e resolução de incidentes

As seguintes tarefas de gestão estão intimamente associadas à investigação e resolução de incidentes, embora possam ser executadas em qualquer altura.

Resolver um incidente

Quando um incidente é remediado e resolvido, efetue as seguintes ações para registar a resolução:

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. Altere o estado. Selecione Resolvido na lista pendente Estado . Quando altera o estado de um incidente para Resolvido, é apresentado um novo campo imediatamente a seguir ao campo Estado .

  3. Introduza uma nota neste campo que explique o motivo pelo qual considera o incidente resolvido. Esta nota é visível no registo de atividades do incidente, perto da entrada que regista a resolução do incidente.

    Captura de ecrã do painel de gestão de incidentes com nota de resolução de incidentes.

    A nota de resolução também está visível no painel Detalhes do incidente na página da fila de incidentes e na página de incidentes de um incidente resolvido.

    Captura de ecrã a mostrar a nota de resolução no painel de detalhes do incidente.

  4. Seleccione Guardar.

Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente. Um incidente que não é resolvido é apresentado como Ativo.

Especificar a classificação do incidente

Quando resolver um incidente, ou em qualquer ponto da investigação de um incidente, assim que tomar conhecimento de como o incidente deve ser classificado, defina o campo Classificação em conformidade.

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. Escolha o valor adequado na lista pendente Classificação :

    • Não definido (a predefinição).
    • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda a sua equipa de segurança a ver padrões de ameaças e a agir para defender a sua organização dos mesmos.
    • Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
    • Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.

    Veja os tipos de atividades e ameaças disponíveis para cada uma destas classificações na captura de ecrã seguinte.

  3. Seleccione Guardar.

    Captura de ecrã a mostrar as opções de classificação para incidentes.

Classificar incidentes e especificar o respetivo estado e tipo ajuda a otimizar Microsoft Defender para proporcionar uma melhor determinação de deteção ao longo do tempo.

Adicionar comentários a um incidente

Ao longo da investigação e incidente, adicione comentários para registar as suas atividades, informações e conclusões.

  1. Abra o registo de atividades do incidente. Na página do incidente ou no painel de detalhes do incidente na página da fila de incidentes, selecione as reticências no canto superior direito e, no menu resultante, selecione Registo de atividades.

    Captura de ecrã a mostrar como aceder ao registo de atividades de um incidente.

  2. Escreva o seu comentário no campo de texto. O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.

    Captura de ecrã a mostrar como adicionar um comentário a um incidente.

  3. Seleccione Guardar.

Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .

Registo de incidentes e relatórios

As seguintes tarefas de gestão podem ser associadas a auditorias e relatórios sobre investigações de incidentes, embora possam ser realizadas em qualquer altura.

Editar o nome do incidente

Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Para editar o nome do incidente, siga os seguintes passos:

  1. Siga as instruções na secção de abertura para Aceder ao painel Gerir incidentes.

  2. Escreva um novo nome no campo Nome do incidente no painel Gerir incidente .

  3. Seleccione Guardar.

Nota

  • Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes mantêm os respetivos nomes.

  • Se outro incidente for intercalado num incidente cujo nome foi mudado, o Defender atribui um novo nome ao incidente, substituindo previamente qualquer nome personalizado que lhe tenha dado.

Ver o registo de atividades de um incidente

Ao efetuar uma autópsia de um incidente, veja o Registo de atividades do incidente para ver o histórico de ações realizadas no incidente (denominado "Auditorias") e quaisquer comentários registados. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades.

  1. Abra o registo de atividades do incidente. Na página do incidente ou no painel de detalhes do incidente na página da fila de incidentes, selecione as reticências no canto superior direito e, no menu resultante, selecione Registo de atividades.

    Captura de ecrã a realçar a opção de registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

  2. Filtre as atividades no registo por comentários e ações. Selecione Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Eis um exemplo.

    Captura de ecrã a realçar as opções de filtro no painel do registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

  3. Selecione Aplicar.

Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.

Importante

Algumas informações neste artigo estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Exportar dados de incidentes para PDF

Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.

Os dados do incidente exportados incluem as seguintes informações:

Eis um exemplo do PDF exportado:

Captura de ecrã da primeira página do PDF exportado.

Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:

A função exportar para PDF também está disponível no painel lateral Copilot. Quando seleciona as reticências mais ações (...) no canto superior direito do cartão de resultados do relatório de incidentes, pode selecionar Exportar incidente como PDF.

Captura de ecrã de ações adicionais no cartão de resultados do relatório de incidente.

Para gerar o PDF, execute os seguintes passos:

  1. Abra uma página de incidente. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF.

    Captura de ecrã a realçar as reticências Mais ações na página do incidente.

  2. Na caixa de diálogo apresentada a seguir, confirme as informações do incidente que pretende incluir ou excluir no PDF. Todas as informações do incidente estão selecionadas por predefinição. Selecione Exportar PDF para continuar.

    Captura de ecrã a realçar a opção exportar incidente para PDF.

  3. É apresentada uma mensagem de estado a indicar o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.

    Captura de ecrã a realçar a mensagem de exportação e o estado antes da transferência.

  4. É apresentada outra caixa de diálogo a indicar que o PDF está pronto. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo. A mensagem de estado abaixo do título do incidente também é atualizada para indicar que a transferência está disponível.

    Captura de ecrã a realçar a mensagem de exportação e o estado quando a transferência está disponível.

O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.

Passos seguintes

Para incidentes novos e em processo, continue a investigação do incidente.

Para incidentes resolvidos, efetue uma revisão pós-incidente.

Consulte também

Gorjeta

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.