Exibir e gerenciar incidentes no Microsoft Defender para Empresas
À medida que as ameaças são detectadas e os alertas são disparados, os incidentes são criados. A equipe de segurança da sua empresa pode exibir e gerenciar incidentes no portal Microsoft Defender. Você deve ter permissões apropriadas atribuídas para executar as tarefas neste artigo. Consulte Funções de segurança e permissões no Microsoft Defender para Empresas.
Este artigo inclui:
Monitorar seus incidentes & alertas
No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, acesse Incidentes & alertas e selecione Incidentes. Todos os incidentes criados estão listados na página.
Importante
Se você vir um incidente marcado com
Attack disruption
, significa que um ataque avançado foi detectado. Consulte Interrupção automática de ataque.Selecione um alerta para abrir seu painel de submenu, no qual você pode saber mais sobre o alerta.
No painel de sobrevoo, você pode ver o título do alerta, exibir uma lista de ativos (como dispositivos ou contas de usuário) que foram afetados, tomar ações disponíveis e usar links para exibir mais informações e até mesmo abrir a página de detalhes do alerta selecionado.
Dica
O Defender para Empresas foi projetado para ajudá-lo a lidar com ameaças detectadas, recomendando ações que você pode executar. Ao exibir um alerta, procure essas sugestões. Observe também a gravidade do alerta, que é determinada não apenas com base na gravidade da ameaça detectada, mas também no nível de risco para sua empresa.
Gravidade do alerta
Quando uma ameaça é detectada, um nível de gravidade é atribuído a cada alerta gerado.
- Microsoft Defender Antivírus atribui uma gravidade de alerta com base na gravidade absoluta de uma ameaça detectada (como malware) e no risco potencial para um dispositivo individual (se infectado).
- O Defender para Empresas atribui uma gravidade de alerta com base na gravidade do comportamento detectado, no risco real a um dispositivo e, mais importante, no risco potencial para sua empresa.
A tabela a seguir lista alguns exemplos de alertas e seus níveis de gravidade:
Cenário | Gravidade e motivo do alerta |
---|---|
A interrupção automatizada de ataque detecta um ataque avançado e contém dispositivos ou contas de usuário para ajudar a impedir que o ataque prossiga. | Alto. Os recursos de interrupção de ataque ajudam a conter um ataque para que sua equipe de TI/segurança possa resolvê-lo. |
Microsoft Defender Antivírus detecta e interrompe uma ameaça antes de causar qualquer dano. | Informativo. A ameaça foi interrompida antes que qualquer dano fosse feito. |
Microsoft Defender Antivírus detecta malware que estava sendo executado em sua empresa. O malware é interrompido e corrigido. | Baixo. Embora algum dano possa ter sido causado a um dispositivo individual, o malware agora não representa nenhuma ameaça para sua empresa. |
O malware que está sendo executado é detectado pelo Defender para Empresas. O malware é bloqueado quase imediatamente. | Médio ou Alto. O malware representa uma ameaça para dispositivos individuais e para sua empresa. |
O comportamento suspeito foi detectado, mas nenhuma ação de correção foi tomada ainda. | Baixo, Médio ou Alto. A gravidade depende do grau em que o comportamento representa uma ameaça para sua empresa. |