Priorizar incidentes no portal do Microsoft Defender
A plataforma de operações de segurança unificada no portal do Microsoft Defender aplica a análise de correlação e agrega alertas relacionados e investigações automatizadas de diferentes produtos num incidente. O Microsoft Sentinel e a Defender XDR também acionam alertas exclusivos sobre atividades que só podem ser identificadas como maliciosas dada a visibilidade ponto a ponto na plataforma unificada em todo o conjunto de produtos. Esta vista fornece aos seus analistas de segurança a história de ataque mais abrangente, que os ajuda a compreender melhor e a lidar com ameaças complexas em toda a sua organização.
Importante
O Microsoft Sentinel está disponível como parte da pré-visualização pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Fila de incidentes
A fila Incidente mostra uma coleção de incidentes que foram criados entre dispositivos, utilizadores, caixas de correio e outros recursos. Ajuda-o a ordenar os incidentes para priorizar e criar uma decisão de resposta de cibersegurança informada, um processo conhecido como triagem de incidentes.
Sugestão
Durante um período de tempo limitado durante janeiro de 2024, quando visita a página Incidentes , é apresentado o Defender Boxed. O Defender Boxed destaca os êxitos de segurança, melhorias e ações de resposta da sua organização durante 2023. Para reabrir o Defender Boxed, no portal Microsoft Defender, aceda a Incidentes e, em seguida, selecione O Seu Defender Em Caixa.
Pode aceder à fila de incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal Microsoft Defender. Eis um exemplo.
Selecione Incidentes e alertas mais recentes para ativar/desativar a expansão da secção superior, que mostra um gráfico de linha cronológica do número de alertas recebidos e incidentes criados nas últimas 24 horas.
Abaixo, a fila de incidentes no portal do Microsoft Defender apresenta os incidentes observados nos últimos seis meses. O incidente mais recente encontra-se no topo da lista para que possa vê-lo primeiro. Pode escolher um intervalo de tempo diferente ao selecioná-lo na lista pendente na parte superior.
A fila de incidentes tem colunas personalizáveis (selecione Personalizar colunas) que lhe dão visibilidade sobre as diferentes características do incidente ou as entidades afetadas. Esta filtragem ajuda-o a tomar uma decisão informada sobre a atribuição de prioridades de incidentes para análise.
Nomes de incidentes
Para obter mais visibilidade de relance, Microsoft Defender XDR gera nomes de incidentes automaticamente, com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. Esta nomenclatura específica permite-lhe compreender rapidamente o âmbito do incidente.
Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Se integrou o Microsoft Sentinel na plataforma de operações de segurança unificada, é provável que quaisquer alertas e incidentes provenientes do Microsoft Sentinel tenham os respetivos nomes alterados (independentemente de terem sido criados antes ou depois da integração).
Recomendamos que evite utilizar o nome do incidente como uma condição para acionar regras de automatização. Se o nome do incidente for uma condição e o nome do incidente for alterado, a regra não será acionada.
Filtros
A fila de incidentes também fornece várias opções de filtragem, que, quando aplicadas, permitem-lhe realizar uma vasta escala de todos os incidentes existentes no seu ambiente ou decidir focar-se num cenário ou ameaça específico. A aplicação de filtros na fila de incidentes pode ajudar a determinar que incidente requer atenção imediata.
A lista Filtros acima da lista de incidentes mostra os filtros atualmente aplicados.
Na fila de incidentes predefinida, pode selecionar Adicionar filtro para ver o menu pendente Adicionar filtro , a partir do qual especifica filtros a aplicar à fila de incidentes para limitar o conjunto de incidentes apresentado. Eis um exemplo.
Selecione os filtros que pretende utilizar e, em seguida, selecione Adicionar na parte inferior da lista para os disponibilizar.
Agora, os filtros que selecionou são apresentados juntamente com os filtros aplicados existentes. Selecione o novo filtro para especificar as condições. Por exemplo, se escolher o filtro "Origens de serviço/deteção", selecione-o para escolher as origens através das quais pretende filtrar a lista.
Também pode ver o painel Filtro ao selecionar qualquer um dos filtros na lista Filtros acima da lista de incidentes.
Esta tabela lista os nomes de filtro que estão disponíveis.
| Nome do filtro | Descrição/Condições |
|---|---|
| Estado | Selecione Novo, Em curso ou Resolvido. |
| Gravidade do alerta Gravidade do incidente |
A gravidade de um alerta ou incidente é indicativa do impacto que pode ter nos seus recursos. Quanto maior for a gravidade, maior será o impacto e, normalmente, requer a atenção mais imediata. Selecione Alto, Médio, Baixo ou Informativo. |
| Atribuição de incidentes | Selecione o utilizador ou utilizadores atribuídos. |
| Várias origens de serviço | Especifique se o filtro é para mais do que uma origem de serviço. |
| Origens de serviço/deteção | Especifique os incidentes que contêm alertas de um ou mais dos seguintes: Muitos destes serviços podem ser expandidos no menu para revelar mais opções de origens de deteção num determinado serviço. |
| Etiquetas | Selecione um ou vários nomes de etiquetas na lista. |
| Várias categorias | Especifique se o filtro é para mais do que uma categoria. |
| Categorias | Escolha categorias para se concentrar em táticas, técnicas ou componentes de ataque específicos vistos. |
| Entidades | Especifique o nome de um recurso, como um utilizador, dispositivo, caixa de correio ou nome da aplicação. |
| Confidencialidade dos dados | Alguns ataques focam-se na filtragem para exfiltrar dados confidenciais ou valiosos. Ao aplicar um filtro para etiquetas de confidencialidade específicas, pode determinar rapidamente se as informações confidenciais foram potencialmente comprometidas e priorizar a resolução desses incidentes. Este filtro apresenta informações apenas quando tiver aplicado etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview. |
| Grupos de dispositivos | Especifique um nome de grupo de dispositivos . |
| Plataforma do SO | Especifique os sistemas operativos do dispositivo. |
| Classificação | Especifique o conjunto de classificações dos alertas relacionados. |
| Estado de investigação automatizado | Especifique o estado da investigação automatizada. |
| Ameaça associada | Especifique uma ameaça nomeada. |
| Políticas de alertas | Especifique um título de política de alerta. |
O filtro predefinido é mostrar todos os alertas e incidentes com o estado Novo e Em curso e com uma gravidade de Alto, Médio ou Baixo.
Pode remover rapidamente um filtro ao selecionar o X no nome de um filtro na lista Filtros .
Também pode criar conjuntos de filtros na página de incidentes ao selecionar Consultas > de filtro guardadas Create conjunto de filtros. Se não tiverem sido criados conjuntos de filtros, selecione Guardar para criar um.
Guardar filtros personalizados como URLs
Depois de configurar um filtro útil na fila de incidentes, pode marcar o URL do separador do browser ou guardá-lo como uma ligação numa página Web, num documento Word ou num local à sua escolha. Os marcadores dão-lhe acesso de clique único às principais vistas da fila de incidentes, tais como:
- Novos incidentes
- Incidentes de alta gravidade
- Incidentes não atribuídos
- Incidentes de elevada gravidade e não atribuídos
- Incidentes atribuídos a mim
- Incidentes atribuídos a mim e a Microsoft Defender para Endpoint
- Incidentes com uma etiqueta ou etiquetas específicas
- Incidentes com uma categoria de ameaça específica
- Incidentes com uma ameaça associada específica
- Incidentes com um ator específico
Depois de compilar e armazenar a sua lista de vistas de filtro úteis como URLs, utilize-a para processar e priorizar rapidamente os incidentes na sua fila e geri-los para a atribuição e análise subsequentes.
Pesquisa
Na caixa Pesquisa nome ou ID acima da lista de incidentes, pode procurar incidentes de várias formas para encontrar rapidamente o que procura.
Pesquisa por nome ou ID do incidente
Pesquisa diretamente para um incidente ao escrever o ID do incidente ou o nome do incidente. Quando seleciona um incidente na lista de resultados da pesquisa, o portal Microsoft Defender abre um novo separador com as propriedades do incidente, a partir do qual pode iniciar a investigação.
Pesquisa por ativos afetados
Pode atribuir um nome a um recurso ( como um utilizador, dispositivo, caixa de correio, nome da aplicação ou recurso na cloud) e encontrar todos os incidentes relacionados com esse recurso.
Especificar um intervalo de tempo
A lista predefinida de incidentes é para aqueles que ocorreram nos últimos seis meses. Pode especificar um novo intervalo de tempo a partir da caixa pendente junto ao ícone de calendário ao selecionar:
- Um dia
- Três dias
- Uma semana
- 30 dias
- 30 dias
- Seis meses
- Um intervalo personalizado no qual pode especificar datas e horas
Passos seguintes
Depois de determinar qual o incidente que requer a prioridade mais alta, selecione-o e:
- Faça a gestão das propriedades do incidente para etiquetas, atribuição, resolução imediata para incidentes falsos positivos e comentários.
- Inicie as suas investigações.
Consulte também
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários