Share via

Rever alertas no Microsoft Defender para Endpoint

  • Artigo

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A página de alerta no Microsoft Defender para Endpoint fornece contexto completo para o alerta, ao combinar sinais de ataque e alertas relacionados com o alerta selecionado, para construir uma história de alerta detalhada.

Faça rapidamente a triagem, investigue e tome medidas eficazes em alertas que afetam a sua organização. Compreenda por que motivo foram acionados e o respetivo impacto a partir de uma localização. Saiba mais nesta descrição geral.

Introdução a um alerta

Selecionar o nome de um alerta no Defender para Ponto Final irá aceder-lhe na respetiva página de alerta. Na página de alerta, todas as informações serão apresentadas no contexto do alerta selecionado. Cada página de alerta é composta por 4 secções:

  1. O título do alerta mostra o nome do alerta e está lá para lembrá-lo de que alerta iniciou a investigação atual, independentemente do que selecionou na página.
  2. Os recursos afetados listam cartões de dispositivos e utilizadores afetados por este alerta que são clicáveis para obter mais informações e ações.
  3. O bloco de alerta apresenta todas as entidades relacionadas com o alerta, interligadas por uma vista de árvore. O alerta no título será aquele em foco quando aceder pela primeira vez à página do alerta selecionado. As entidades na história do alerta são expansíveis e clicáveis, para fornecer informações adicionais e agilizar a resposta, permitindo-lhe tomar medidas diretamente no contexto da página de alerta. Utilize a história do alerta para iniciar a investigação. Saiba como investigar alertas no Microsoft Defender para Endpoint.
  4. O painel de detalhes mostrará os detalhes do alerta selecionado inicialmente, com detalhes e ações relacionados com este alerta. Se selecionar qualquer um dos recursos ou entidades afetados na história do alerta, o painel de detalhes será alterado para fornecer informações contextuais e ações para o objeto selecionado.

Tenha em atenção o estado de deteção do alerta.

  • Impedida: a tentativa de ação suspeita foi evitada. Por exemplo, um ficheiro não foi escrito no disco ou executado.

    A página que mostra a prevenção de uma ameaça

  • Bloqueado: o comportamento suspeito foi executado e, em seguida, bloqueado. Por exemplo, um processo foi executado, mas como posteriormente apresentava comportamentos suspeitos, o processo foi terminado.

    A página que mostra o bloqueio de uma ameaça

  • Detetado: foi detetado um ataque e, possivelmente, ainda está ativo.

    A página que mostra a deteção de uma ameaça

Em seguida, também pode rever os detalhes da investigação automatizada no painel de detalhes do alerta, para ver que ações já foram executadas, bem como ler a descrição do alerta para obter as ações recomendadas.

O painel de detalhes com a descrição do alerta e as secções de investigação automática realçadas

Outras informações disponíveis no painel de detalhes quando o alerta é aberto incluem técnicas MITRE, origem e detalhes contextuais adicionais.

Nota

Se vir um estado de alerta do tipo de alerta Não suportado , significa que as capacidades de investigação automatizadas não podem recolher esse alerta para executar uma investigação automatizada. No entanto, pode investigar estes alertas manualmente.

Rever os recursos afetados

Selecionar um dispositivo ou um cartão de utilizador nas secções de recursos afetados mudará para os detalhes do dispositivo ou utilizador no painel de detalhes.

  • Para dispositivos, o painel de detalhes apresentará informações sobre o próprio dispositivo, como Domínio, Sistema Operativo e IP. Os alertas ativos e os utilizadores com sessão iniciada nesse dispositivo também estão disponíveis. Pode tomar medidas imediatas ao isolar o dispositivo, restringir a execução de aplicações ou executar uma análise antivírus. Em alternativa, pode recolher um pacote de investigação, iniciar uma investigação automatizada ou aceder à página do dispositivo para investigar do ponto de vista do dispositivo.

    O painel de detalhes quando um dispositivo está selecionado

  • Para os utilizadores, o painel de detalhes apresentará informações detalhadas do utilizador, como o nome SAM e o SID do utilizador, bem como os tipos de início de sessão efetuados por este utilizador e quaisquer alertas e incidentes relacionados com o mesmo. Pode selecionar Abrir página de utilizador para continuar a investigação do ponto de vista desse utilizador.

    O painel de detalhes quando um utilizador está selecionado

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.