Investigar alertas no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Investigue os alertas que estão afetando sua rede, entenda o que eles significam e como resolve-los.

Selecione um alerta na fila de alertas para ir para a página de alerta. Essa exibição contém o título de alerta, os ativos afetados, o painel lateral de detalhes e a história do alerta.

Na página de alerta, inicie sua investigação selecionando os ativos afetados ou qualquer uma das entidades sob a exibição da árvore de história de alerta. O painel de detalhes é preenchido automaticamente com mais informações sobre o que você selecionou. Para ver que tipo de informações você pode exibir aqui, leia Examinar alertas no Microsoft Defender para Ponto de Extremidade.

Investigar usando a história do alerta

A história do alerta detalha por que o alerta foi disparado, eventos relacionados que aconteceram antes e depois, bem como outras entidades relacionadas.

As entidades podem clicar e todas as entidades que não são um alerta podem ser expandidas usando o ícone de expansão no lado direito do cartão dessa entidade. A entidade em foco será indicada por uma faixa azul para o lado esquerdo do cartão dessa entidade, com o alerta no título estando em foco no início.

Expanda entidades para exibir detalhes rapidamente. A seleção de uma entidade alternará o contexto do painel de detalhes para essa entidade e permitirá que você examine mais informações, bem como gerencie essa entidade. Selecionar ... à direita da entidade cartão revelará todas as ações disponíveis para essa entidade. Essas mesmas ações aparecem no painel de detalhes quando essa entidade está em foco.

Observação

A seção história do alerta pode conter mais de um alerta, com alertas adicionais relacionados à mesma árvore de execução que aparece antes ou depois do alerta selecionado.

uma história de alerta com um alerta em foco e alguns cartões expandidos

Investigar usando o linha do tempo de alerta

O linha do tempo de alerta complementa a exibição de "árvore de processo" existente, oferecendo aos usuários uma perspectiva abrangente sobre cada alerta. Embora a árvore de processo forneça uma detalhamento dos processos e atividades associados do alerta, o alerta linha do tempo apresenta uma visão cronológica condensada que facilita a triagem rápida e a tomada de decisões.

Tome medidas do painel de detalhes

Depois de selecionar uma entidade de interesse, o painel de detalhes será alterado para exibir informações sobre o tipo de entidade selecionado, informações históricas quando estiver disponível e oferecer controles para agir sobre essa entidade diretamente na página de alerta.

Depois que terminar de investigar, volte para o alerta com o qual você começou, marque o status do alerta como Resolvido e classifique-o como alerta False ou True. Classificar alertas ajuda a ajustar essa funcionalidade para fornecer alertas mais verdadeiros e alertas menos falsos.

Se você classificá-lo como um alerta verdadeiro, também poderá selecionar uma determinação, conforme mostrado na imagem abaixo.

O painel de detalhes com um alerta resolvido e a lista suspensa de determinação expandida

Se você estiver enfrentando um alerta falso com um aplicativo de linha de negócios, crie uma regra de supressão para evitar esse tipo de alerta no futuro.

As ações e a classificação no painel de detalhes com a regra de supressão realçada

Dica

Se você estiver enfrentando problemas não descritos acima, use o 🙂 botão para fornecer comentários ou abrir um tíquete de suporte.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.