Exibir e organizar a fila de alerta do Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A fila Alertas mostra uma lista de alertas que foram sinalizados de dispositivos em sua rede. Por padrão, a fila exibe alertas vistos nos últimos 7 dias em uma exibição agrupada. Os alertas mais recentes são mostrados na parte superior da lista ajudando você a ver os alertas mais recentes primeiro.

Observação

Os alertas são significativamente reduzidos com investigação e correção automatizadas, permitindo que especialistas em operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. Quando um alerta contém uma entidade com suporte para investigação automatizada (por exemplo, um arquivo) em um dispositivo que tem um sistema operacional com suporte para ele, uma investigação e correção automatizadas podem começar. Para obter mais informações sobre investigações automatizadas, consulte Visão geral das investigações automatizadas.

Há várias opções que você pode escolher para personalizar a exibição de alertas.

Na navegação superior, você pode:

  • Personalizar colunas para adicionar ou remover colunas
  • Aplicar filtros
  • Exiba os alertas por uma duração específica como 1 dia, 3 dias, 1 semana, 30 dias e 6 meses
  • Exportar a lista de alertas para excel
  • Gerenciar Alertas

A página Fila de Alertas

Classificar e filtrar alertas

Você pode aplicar os seguintes filtros para limitar a lista de alertas e obter uma exibição mais focada dos alertas.

Severity

Gravidade do alerta Descrição
Alto
(Vermelho)
Alertas comumente vistos associados a ameaças persistentes avançadas (APT). Esses alertas indicam um alto risco devido à gravidade dos danos que podem causar aos dispositivos. Alguns exemplos são: atividades de ferramentas de roubo de credencial, atividades de ransomware não associadas a nenhum grupo, adulteração de sensores de segurança ou qualquer atividade mal-intencionada indicativa de um adversário humano.
Médio
(Laranja)
Alertas de detecção de ponto de extremidade e comportamentos pós-violação de resposta que podem fazer parte de uma APT (ameaça persistente avançada). Esses comportamentos incluem comportamentos observados típicos de estágios de ataque, alteração de registro anômalo, execução de arquivos suspeitos e assim por diante. Embora alguns possam fazer parte de testes de segurança interna, isso requer investigação, pois também pode fazer parte de um ataque avançado.
Baixo
(Amarelo)
Alertas sobre ameaças associadas ao malware predominante. Por exemplo, ferramentas de hack, ferramentas de hack não malware, como executar comandos de exploração, limpar logs etc., que muitas vezes não indicam uma ameaça avançada direcionada à organização. Ele também pode vir de um teste de ferramenta de segurança isolado por um usuário em sua organização.
Informativo
(Cinza)
Alertas que podem não ser considerados prejudiciais à rede, mas podem gerar conscientização sobre segurança organizacional sobre possíveis problemas de segurança.

Entender a gravidade do alerta

Microsoft Defender as severidades de alerta do Antivírus e do Defender para Ponto de Extremidade são diferentes porque representam escopos diferentes.

O Microsoft Defender gravidade da ameaça antivírus representa a gravidade absoluta da ameaça detectada (malware) e é atribuído com base no risco potencial para o dispositivo individual, se infectado.

A gravidade do alerta do Defender para Ponto de Extremidade representa a gravidade do comportamento detectado, o risco real para o dispositivo, mas, mais importante, o risco potencial para a organização.

Portanto, por exemplo:

  • A gravidade de um alerta do Defender para Ponto de Extremidade sobre uma ameaça detectada Microsoft Defender Antivírus que foi evitada e não infectou o dispositivo é categorizada como "Informativa" porque não houve nenhum dano real.
  • Um alerta sobre um malware comercial foi detectado durante a execução, mas bloqueado e corrigido por Microsoft Defender Antivírus, é categorizado como "Baixo" porque pode ter causado algum dano ao dispositivo individual, mas não representa nenhuma ameaça organizacional.
  • Um alerta sobre malware detectado durante a execução que pode representar uma ameaça não só para o dispositivo individual, mas para a organização, independentemente de ter sido eventualmente bloqueado, pode ser classificado como "Médio" ou "Alto".
  • Alertas comportamentais suspeitos, que não foram bloqueados ou corrigidos, serão classificados como "Baixo", "Médio" ou "Alto" seguindo as mesmas considerações de ameaça organizacional.

Status

Você pode optar por filtrar a lista de alertas com base em seu Status.

Observação

Se você vir um alerta de tipo de alerta sem suporte status, isso significa que os recursos automatizados de investigação não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.

Categorias

Redefinimos as categorias de alerta para se alinharem às táticas de ataque empresarial na matriz CK do MITRE ATT&. Novos nomes de categoria se aplicam a todos os novos alertas. Os alertas existentes manterão os nomes de categoria anteriores.

Fontes de serviço

Você pode filtrar os alertas com base nas seguintes fontes de serviço:

  • Microsoft Defender para Identidade?
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender XDR
  • Microsoft Defender para Office 365
  • Governança do aplicativo
  • Microsoft Entra ID Protection

Os clientes de Notificação do Ponto de Extremidade da Microsoft agora podem filtrar e ver as detecções do serviço filtrando Microsoft Defender Especialistas aninhados na fonte de serviço Microsoft Defender para Ponto de Extremidade.

Observação

O filtro Antivírus só será exibido se os dispositivos estiverem usando Microsoft Defender Antivírus como o produto antimalware de proteção em tempo real padrão.

Marcações

Você pode filtrar os alertas com base em Marcas atribuídas a alertas.

Política

Você pode filtrar os alertas com base nas seguintes políticas:

Fonte de detecção Valor da API
Sensores de terceiros ThirdPartySensors
Antivírus WindowsDefenderAv
Investigação automatizada AutomatedInvestigation
Detecção personalizada CustomDetection
TI personalizada CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender para Office 365 OfficeATP
Microsoft Defender Experts ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Entidades

Você pode filtrar os alertas com base no nome da entidade ou na ID.

Estado de investigação automatizada

Você pode optar por filtrar os alertas com base no estado de investigação automatizado.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.