Exibir e gerenciar incidentes no Microsoft Defender para Empresas

À medida que as ameaças são detectadas e os alertas são disparados, os incidentes são criados. A equipe de segurança da sua empresa pode exibir e gerenciar incidentes no portal Microsoft Defender. Você deve ter permissões apropriadas atribuídas para executar as tarefas neste artigo. Consulte Funções de segurança e permissões no Microsoft Defender para Empresas.

Este artigo inclui:

Monitorar seus incidentes & alertas

  1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, acesse Incidentes & alertas e selecione Incidentes. Todos os incidentes criados estão listados na página.

    Importante

    Se você vir um incidente marcado com Attack disruption, significa que um ataque avançado foi detectado. Consulte Interrupção automática de ataque.

  2. Selecione um alerta para abrir seu painel de submenu, no qual você pode saber mais sobre o alerta.

    Captura de tela do incidente selecionado com o flyout aberto

  3. No painel de sobrevoo, você pode ver o título do alerta, exibir uma lista de ativos (como dispositivos ou contas de usuário) que foram afetados, tomar ações disponíveis e usar links para exibir mais informações e até mesmo abrir a página de detalhes do alerta selecionado.

Dica

O Defender para Empresas foi projetado para ajudá-lo a lidar com ameaças detectadas, recomendando ações que você pode executar. Ao exibir um alerta, procure essas sugestões. Observe também a gravidade do alerta, que é determinada não apenas com base na gravidade da ameaça detectada, mas também no nível de risco para sua empresa.

Gravidade do alerta

Quando uma ameaça é detectada, um nível de gravidade é atribuído a cada alerta gerado.

  • Microsoft Defender Antivírus atribui uma gravidade de alerta com base na gravidade absoluta de uma ameaça detectada (como malware) e no risco potencial para um dispositivo individual (se infectado).
  • O Defender para Empresas atribui uma gravidade de alerta com base na gravidade do comportamento detectado, no risco real a um dispositivo e, mais importante, no risco potencial para sua empresa.

A tabela a seguir lista alguns exemplos de alertas e seus níveis de gravidade:

Cenário Gravidade e motivo do alerta
A interrupção automatizada de ataque detecta um ataque avançado e contém dispositivos ou contas de usuário para ajudar a impedir que o ataque prossiga. Alto. Os recursos de interrupção de ataque ajudam a conter um ataque para que sua equipe de TI/segurança possa resolvê-lo.
Microsoft Defender Antivírus detecta e interrompe uma ameaça antes de causar qualquer dano. Informativo. A ameaça foi interrompida antes que qualquer dano fosse feito.
Microsoft Defender Antivírus detecta malware que estava sendo executado em sua empresa. O malware é interrompido e corrigido. Baixo. Embora algum dano possa ter sido causado a um dispositivo individual, o malware agora não representa nenhuma ameaça para sua empresa.
O malware que está sendo executado é detectado pelo Defender para Empresas. O malware é bloqueado quase imediatamente. Médio ou Alto. O malware representa uma ameaça para dispositivos individuais e para sua empresa.
O comportamento suspeito foi detectado, mas nenhuma ação de correção foi tomada ainda. Baixo, Médio ou Alto. A gravidade depende do grau em que o comportamento representa uma ameaça para sua empresa.

Próximas etapas