Gerencie incidentes de segurança no Microsoft Defender para Nuvem

A triagem e investigação de alertas de segurança pode ser uma tarefa demorada até mesmo para os analistas de segurança mais capacitados, e, para muitos, é difícil até mesmo saber por onde começar. Para muitos, é difícil saber por onde começar.

O Defender para Nuvem usa a análise para conectar as informações entre alertas de segurança distintos. Usando essas conexões, o Defender para Nuvem pode fornecer uma exibição de uma campanha de ataque e seus alertas relacionados para ajudá-lo a entender as ações do invasor e os recursos afetados.

Esta página apresenta uma visão geral dos incidentes no Defender para Nuvem.

O que é um incidente de segurança?

No Defender para Nuvem, um incidente de segurança é uma agregação de todos os alertas de um recurso que se alinham com os padrões da cadeia de encerramento. Os incidentes aparecem na página Alertas de segurança. Selecione um incidente para exibir os alertas relacionados e obter mais informações.

Gerenciamento de incidentes de segurança

  1. Na página alertas de segurança do Defender para Nuvem, use o botão Adicionar filtro para filtrar por nome do alerta para o nome do alerta Incidente de segurança detectado em vários recursos.

    Localizar os incidentes na página de alertas de segurança no Microsoft Defender para Nuvem.

    A lista agora está filtrada para mostrar apenas incidentes. Observe que os incidentes de segurança têm um ícone diferente para alertas de segurança.

    Lista de incidentes na página de alertas de segurança no Microsoft Defender para Nuvem.

  2. Para exibir detalhes de um incidente, selecione um na lista. Um painel lateral aparece com mais detalhes sobre o incidente.

    Painel lateral que mostra os detalhes do incidente.

  3. Para exibir mais detalhes, selecione Exibir detalhes completos.

    Responder a incidentes de segurança no Microsoft Defender para Nuvem.

    O painel esquerdo da página de incidente de segurança mostra informações de alto nível sobre o incidente de segurança: título, severidade, status, hora da atividade, descrição e o recurso afetado. Ao lado do recurso afetado, você pode ver as marcas relevantes do Azure. Use-as para inferir o contexto organizacional do recurso ao investigar o alerta.

    O painel direito inclui a guia Alertas com os alertas de segurança que foram correlacionados como parte desse incidente.

    Dica

    Para obter mais informações sobre um alerta específico, selecione-o.

    Guia Executar ação do incidente.

    Para alternar para a guia Executar ação, selecione a guia ou o botão na parte inferior no painel direito. Use esta guia para executar ações adicionais, como:

    • Mitigar a ameaça – fornece etapas de correção manual para este incidente de segurança
    • Evitar ataques futuros – fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e evitar ataques futuros
    • Disparar gatilho para resposta automatizada – fornece a opção para disparar gatilho para um Aplicativo Lógico como uma resposta a este incidente de segurança
    • Suprimir alertas semelhantes – fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

    Observação

    O mesmo alerta pode existir como parte de um incidente, bem como para ser visível como um alerta autônomo.

  4. Para corrigir as ameaças no incidente, siga as etapas de correção fornecidas com cada alerta.

Próximas etapas

Esta página explicou as funcionalidades do incidente de segurança do Defender para Nuvem. Para obter informações relacionadas, confira as seguintes páginas: