Entender o relatório Especialistas do Defender para Busca no Microsoft Defender XDR

Aplica-se a:

Especialistas do Microsoft Defender para Busca camadas de inteligência humana e tecnologia treinada por especialistas para ajudar Microsoft Defender XDR os clientes a entender as ameaças significativas que enfrentam. Ele destaca como as habilidades de busca de ameaças do Defender Expert, a compreensão completa do cenário de ameaças e o conhecimento de ameaças emergentes podem ajudá-lo a identificar, priorizar e lidar com essas ameaças em seu ambiente.

O serviço Especialistas do Defender para Busca gera relatórios para ajudá-lo a entender todas as ameaças que o serviço de caça surgiu em seu ambiente, juntamente com os alertas gerados por seus produtos Microsoft Defender XDR. Você pode exibir o relatório no mês atual (em execução) ou em períodos de um, três ou seis meses.

Para exibir o relatório em seu portal de Microsoft Defender, acesse Relatórios, selecione Defender Especialistas>Especialistas do Defender para Busca relatório. Cada seção do relatório foi projetada para fornecer mais informações sobre as ameaças e atividades suspeitas que nossos Especialistas do Defender encontraram em seu ambiente.

Consulte a seguinte captura de tela de um relatório de exemplo:

Captura de tela de um relatório Especialistas do Defender para Busca.

Identificar ameaças predominantes e outros pontos de entrada de ataque potenciais

Sinais de Microsoft Defender XDR e investigações Especialistas do Defender para Busca ajudar a identificar atividades suspeitas em seu ambiente. Atividades de ameaça significativas terão Notificações de Especialistas do Defender correspondentes, que também fornecem recomendações para corrigir e defender sua organização.

O relatório fornece o número total de Notificações de Especialistas do Defender que nossos especialistas enviaram para o período escolhido:

Captura de tela da seção superior do relatório mostrando o número de ameaças identificadas

Para exibir essas notificações, selecione Exibir Notificações de Especialistas do Defender. Este botão redireciona você para a página Microsoft Defender XDR incidentes. Alertas do Especialista do Defender para Caça ou Notificações de Especialistas do Defender são rotulados com Especialistas do Defender.

Observação

O botão Exibir Notificações de Especialistas do Defender só será exibido se o número de ameaças identificadas for pelo menos 1.

Todas as outras atividades identificadas são resumidas em uma tabela na seção Categorias de ameaça do relatório. As colunas representam as diferentes táticas e categorias de ataque contra ameaças para ajudá-lo a visualizar o que uma atividade está tentando alcançar em cada fase de ataque para que você possa planejar as ações de contenção e correção correspondentes.

Você pode filtrar as atividades exibidas na tabela escolhendo qualquer uma das seguintes opções no menu suspenso:

  • Atividades suspeitas (padrão) – exibe atividades verdadeiras positivas e benignas verdadeiras positivas identificadas em seu ambiente. Observe que nem todas as atividades suspeitas terão notificações de especialistas correspondentes do Defender.
  • DEX notificado – exibe atividades somente com Notificações de Especialistas do Defender correspondentes.
  • Todas as atividades – exibe todas as verdadeiras atividades positivas, benignas e falsas positivas.

Captura de tela da seção superior da seção Categorias ameaças mostrando o menu suspenso.

Se uma atividade tiver uma Notificação de Especialista do Defender relacionada, seu ícone correspondente também será exibido no nome da atividade. Selecionar uma atividade suspeita identificada abre um painel de sobrevoo detalhando os dispositivos e usuários afetados:

Captura de tela de um painel de sobrevoo exibindo uma lista de dispositivos afetados por uma atividade suspeita detectada.

Se aplicável, a página também fornece links para exibir Notificações de Especialistas do Defender relacionadas.

Conhecer e entender os pontos fracos de segurança em seu ambiente

A seção Principais de atividades suspeitas do relatório identifica até 20 atividades suspeitas que foram constantemente observadas em seu ambiente nos últimos três meses, classificadas com base na classificação de gravidade e na frequência de ocorrência:

Captura de tela da seção Principais atividades suspeitas de tendência do relatório.

Ao mostrar as atividades mais críticas e frequentemente observadas, você pode avaliar e avaliar seu impacto e desenvolver estratégias para prevenir ou mitigar possíveis ameaças ao seu ambiente

Selecione Exibir detalhes em cada cartão para abrir um painel de sobrevoo detalhando os dispositivos e usuários afetados. Se aplicável, a página também fornece links para exibir Notificações de Especialistas do Defender relacionadas.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.