Gerir incidentes no Microsoft Defender

A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.

Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Veja um exemplo.

Captura de ecrã a realçar a opção gerir incidentes na fila de incidentes e no painel de iniciação rápida no portal do Microsoft Defender.

Eis as formas de gerir os incidentes:

Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.

Captura de ecrã a mostrar o painel Gerir incidentes no portal do Microsoft Defender.

Pode apresentar este painel a partir da ligação Gerir incidente no:

  • Página do bloco de alertas .
  • Painel propriedades de um incidente na fila de incidentes.
  • Página de resumo de um incidente.
  • Opção Gerir incidente localizada no canto superior direito da página Incidente.

Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.

Editar o nome do incidente

Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.

Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .

Observação

Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.

Atribuir ou alterar a gravidade do incidente

Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.

Adicionar marcas de incidente

Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.

A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.

Um incidente pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:

  • Um tipo de ataque, como phishing de credenciais ou fraude BEC
  • Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
  • Especialistas do Defender que lidam com um incidente
  • Recursos críticos envolvidos no incidente

Dica

O Gerenciamento de Exposição da Segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.

Atribuir um incidente

Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.

Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.

  1. Na fila de incidentes, selecione Filtros.
  2. Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
  3. Selecione Aplicar e, em seguida, feche o painel Filtros .

Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.

Resolver um incidente

Quando um incidente for remediado e resolvido, selecione Resolvido na lista pendente Estado . Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.

Quando altera o status de um incidente para Resolvido, é apresentado um novo campo imediatamente a seguir ao campo Estado. Introduza uma nota neste campo que explique o motivo pelo qual considera o incidente resolvido. Esta nota é visível no registo de atividades do incidente, perto da entrada que regista a resolução do incidente.

Captura de ecrã do painel de gestão de incidentes com nota de resolução de incidentes.

Na página da fila de incidentes e na página de incidentes de um incidente resolvido, pode ver a nota de resolução de incidentes no painel lateral, na secção Detalhes do incidente.

Captura de ecrã a mostrar a nota de resolução no painel de detalhes do incidente.

Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente. Um incidente que não é resolvido é apresentado como Ativo.

Especificar a classificação

No campo Classificação , especifique se o incidente é:

  • Não definido (a predefinição).
  • Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
  • Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
  • Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.

Classificar incidentes e especificar os respetivos status e tipo ajuda a otimizar Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.

Adicionar comentários

Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.

Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .

Log de atividades

O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.

Captura de ecrã a realçar a opção de registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.

Captura de ecrã a realçar as opções de filtro no painel do registo de atividades a partir da página de incidentes no portal do Microsoft Defender.

Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.

Captura de ecrã a realçar a caixa de comentário da página do incidente no portal do Microsoft Defender.

Exportar dados de incidentes para PDF

Importante

Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

A funcionalidade exportar dados de incidentes está atualmente disponível para clientes da plataforma Microsoft Defender XDR e do Centro de Operações de Segurança Unificada da Microsoft (SOC) com o Microsoft Copilot para licença de segurança.

Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.

Os dados do incidente exportados incluem as seguintes informações:

Eis um exemplo do PDF exportado:

Captura de ecrã da primeira página do PDF exportado.

Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:

A função exportar para PDF também está disponível no painel lateral Copilot. Quando seleciona as reticências mais ações (...) no canto superior direito dos resultados do relatório de incidentes card, pode selecionar Exportar incidente como PDF.

Captura de tela de ações adicionais no cartão de resultados do relatório de incidentes.

Para gerar o PDF, execute os seguintes passos:

  1. Abra uma página de incidentes. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF.

    Captura de ecrã a realçar as reticências Mais ações na página do incidente.

  2. Na caixa de diálogo apresentada a seguir, confirme as informações do incidente que pretende incluir ou excluir no PDF. Todas as informações do incidente estão selecionadas por predefinição. Selecione Exportar PDF para continuar.

    Captura de ecrã a realçar a opção exportar incidente para PDF.

  3. É apresentada uma status mensagem que indica o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.

    Captura de ecrã a realçar a mensagem de exportação e status antes da transferência.

  4. É apresentada outra caixa de diálogo a indicar que o PDF está pronto. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo. A status mensagem abaixo do título do incidente também é atualizada para indicar que a transferência está disponível.

    Captura de ecrã a realçar a mensagem de exportação e status quando a transferência estiver disponível.

O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.

Próximas etapas

Para novos incidentes, inicie a investigação.

Para incidentes em processo, continue a investigação.

Para incidentes resolvidos, efetue uma revisão pós-incidente.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.