Gerir incidentes de Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A gestão de incidentes é uma parte importante de todas as operações de cibersegurança. Pode gerir incidentes ao selecionar um incidente na fila Incidentes ou no painel Gestão de incidentes.
Sugestão
Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.
Selecionar um incidente na fila Incidentes apresenta o painel Gestão de incidentes onde pode abrir a página do incidente para obter detalhes.
Pode atribuir incidentes a si próprio, alterar o estado e a classificação, mudar o nome ou comentar os mesmos para controlar o progresso.
Sugestão
Para visibilidade adicional de relance, os nomes de incidentes são gerados automaticamente com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Isto permite-lhe compreender rapidamente o âmbito do incidente.
Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Os incidentes que existiam antes da implementação da nomenclatura automática de incidentes irão manter os respetivos nomes.
Atribuir incidentes
Se ainda não tiver sido atribuído um incidente, pode selecionar Atribuir-me para atribuir o incidente a si próprio. Ao fazê-lo, assume a propriedade não só do incidente, mas também de todos os alertas associados ao mesmo.
Definir estado e classificação
Estado do incidente
Pode categorizar incidentes (como Ativos ou Resolvidos) alterando o respetivo estado à medida que a investigação progride. Isto ajuda-o a organizar e gerir a forma como a sua equipa pode responder a incidentes.
Por exemplo, o seu analista do SOC pode rever os incidentes ativos urgentes do dia e decidir atribuí-los a si próprio para investigação.
Em alternativa, o analista do SOC pode definir o incidente como Resolvido se o incidente tiver sido remediado.
Classificação
Pode optar por não definir uma classificação ou decidir especificar se um incidente é verdadeiro ou falso. Fazê-lo ajuda a equipa a ver padrões e a aprender com eles.
Adicionar comentários
Pode adicionar comentários e ver eventos históricos sobre um incidente para ver as alterações anteriores feitas ao mesmo.
Sempre que é feita uma alteração ou comentário a um alerta, este é gravado na secção Comentários e histórico.
Os comentários adicionados são apresentados instantaneamente no painel.
Tópicos relacionados
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários