Gerir incidentes no Microsoft Defender
A gestão de incidentes é fundamental para garantir que os incidentes são nomeados, atribuídos e etiquetados para otimizar o tempo no fluxo de trabalho do incidente e conter e resolver ameaças mais rapidamente.
Pode gerir incidentes a partir de Incidentes & alertas Incidentes > na iniciação rápida do portal do Microsoft Defender (security.microsoft.com). Veja um exemplo.
Eis as formas de gerir os incidentes:
- Edite o nome do incidente.
- Atribuir ou alterar a gravidade.
- Adicione etiquetas de incidentes.
- Atribua o incidente a uma conta de utilizador.
- Resolva-os.
- Especifique a classificação.
- Adicionar comentários.
- Avalie a auditoria de atividade e adicione comentários no Registo de atividades.
- Exportar dados de incidentes para PDF.
Gerencie incidentes no painel Gerenciar incidentes. Veja um exemplo.
Pode apresentar este painel a partir da ligação Gerir incidente no:
- Página do bloco de alertas .
- Painel propriedades de um incidente na fila de incidentes.
- Página de resumo de um incidente.
- Opção Gerir incidente localizada no canto superior direito da página Incidente.
Nos casos em que pretende mover alertas de um incidente para outro, também pode fazê-lo a partir do separador Alertas , criando assim um incidente maior ou menor que inclui todos os alertas relevantes.
Editar o nome do incidente
Microsoft Defender atribui automaticamente um nome com base em atributos de alerta, como o número de pontos finais afetados, utilizadores afetados, origens de deteção ou categorias. O nome do incidente permite-lhe compreender rapidamente o âmbito do incidente. Por exemplo: incidente em várias fases em vários pontos finais comunicados por várias origens.
Pode editar o nome do incidente a partir do campo Nome do incidente no painel Gerir incidente .
Observação
Os incidentes que existiam antes da implementação da funcionalidade de nomenclatura automática de incidentes irão manter o respetivo nome.
Atribuir ou alterar a gravidade do incidente
Pode atribuir ou alterar a gravidade de um incidente a partir do campo Gravidade no painel Gerir incidente . A gravidade de um incidente é determinada pela gravidade mais elevada dos alertas associados ao mesmo. A gravidade de um incidente pode ser definida como alta, média, baixa ou informativa.
Adicionar marcas de incidente
Adicione marcas personalizadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com características semelhantes. Posteriormente, filtre a fila de incidentes, buscando todos os incidentes que contenham uma marca específica.
A opção para selecionar a partir de uma lista de etiquetas utilizadas anteriormente e selecionadas é apresentada depois de começar a escrever.
Um incidente pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:
- Um tipo de ataque, como phishing de credenciais ou fraude BEC
- Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
- Especialistas do Defender que lidam com um incidente
- Recursos críticos envolvidos no incidente
Dica
O Gerenciamento de Exposição da Segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta capacidade inicial garante a proteção dos ativos mais importantes e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.
Atribuir um incidente
Pode selecionar a caixa Atribuir a e especificar a conta de utilizador para atribuir um incidente. Para reatribuir um incidente, remova a conta de atribuição atual ao selecionar o "x" junto ao nome da conta e, em seguida, selecione a caixa Atribuir a . Atribuir a propriedade de um incidente atribui a mesma propriedade a todos os alertas associados ao mesmo.
Pode obter uma lista de incidentes atribuídos ao utilizador ao filtrar a fila de incidentes.
- Na fila de incidentes, selecione Filtros.
- Na secção Atribuição de incidentes , desmarque Selecionar tudo. Selecione Atribuído a mim, Atribuído a outro utilizador ou Atribuído a um grupo de utilizadores.
- Selecione Aplicar e, em seguida, feche o painel Filtros .
Em seguida, pode guardar o URL resultante no seu browser como um marcador para ver rapidamente a lista de incidentes atribuídos a si.
Resolver um incidente
Quando um incidente for remediado e resolvido, selecione Resolvido na lista pendente Estado . Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente.
Quando altera o status de um incidente para Resolvido, é apresentado um novo campo imediatamente a seguir ao campo Estado. Introduza uma nota neste campo que explique o motivo pelo qual considera o incidente resolvido. Esta nota é visível no registo de atividades do incidente, perto da entrada que regista a resolução do incidente.
Na página da fila de incidentes e na página de incidentes de um incidente resolvido, pode ver a nota de resolução de incidentes no painel lateral, na secção Detalhes do incidente.
Resolver um incidente também resolve todos os alertas ligados e ativos relacionados com o incidente. Um incidente que não é resolvido é apresentado como Ativo.
Especificar a classificação
No campo Classificação , especifique se o incidente é:
- Não definido (a predefinição).
- Verdadeiro positivo com um tipo de ameaça. Utilize esta classificação para incidentes que indiquem com precisão uma ameaça real. Especificar o tipo de ameaça ajuda sua equipe de segurança a ver padrões de ameaças e agir para defender sua organização.
- Atividade informativa e esperada com um tipo de atividade. Utilize as opções nesta categoria para classificar incidentes para testes de segurança, atividade de equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
- Falso positivo para tipos de incidentes que determina podem ser ignorados porque são tecnicamente imprecisos ou enganadores.
Classificar incidentes e especificar os respetivos status e tipo ajuda a otimizar Microsoft Defender XDR para proporcionar uma melhor determinação de deteção ao longo do tempo.
Adicionar comentários
Pode adicionar vários comentários a um incidente com o campo Comentário . O campo de comentário suporta texto e formatação, ligações e imagens. Cada comentário está limitado a 30 000 carateres.
Todos os comentários são adicionados aos eventos históricos do incidente. Pode ver os comentários e o histórico de um incidente na ligação Comentários e histórico na página Resumo .
Log de atividades
O Registo de atividades apresenta uma lista de todos os comentários e ações efetuados no incidente, conhecidos como Auditorias e comentários. Todas as alterações efetuadas ao incidente, seja por um utilizador ou pelo sistema, são registadas no registo de atividades. O registo de atividades está disponível na opção Registo de atividades na página do incidente ou no painel do lado do incidente.
Pode filtrar as atividades no registo por comentários e ações. Clique em Conteúdo: Auditorias, Comentários e, em seguida, selecione o tipo de conteúdo para filtrar atividades. Veja um exemplo.
Também pode adicionar os seus próprios comentários através da caixa de comentário disponível no registo de atividades. A caixa de comentário aceita texto e formatação, ligações e imagens.
Exportar dados de incidentes para PDF
Importante
Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
A funcionalidade exportar dados de incidentes está atualmente disponível para clientes da plataforma Microsoft Defender XDR e do Centro de Operações de Segurança Unificada da Microsoft (SOC) com o Microsoft Copilot para licença de segurança.
Pode exportar os dados de um incidente para PDF através da função Exportar incidente como PDF e guardá-lo no formato PDF. Esta função permite que as equipas de segurança revejam os detalhes de um incidente offline a qualquer momento.
Os dados do incidente exportados incluem as seguintes informações:
- Uma descrição geral que contém os detalhes do incidente
- O gráfico do bloco de ataque e as categorias de ameaças
- Os recursos afetados, que abrangem até 10 ativos para cada tipo de recurso
- A lista de provas que abrange até 100 itens
- Dados de suporte, incluindo todos os alertas e atividades relacionados registados no registo de atividades
Eis um exemplo do PDF exportado:
Se tiver a licença Copilot for Security , o PDF exportado contém os seguintes dados de incidente adicionais:
A função exportar para PDF também está disponível no painel lateral Copilot. Quando seleciona as reticências mais ações (...) no canto superior direito dos resultados do relatório de incidentes card, pode selecionar Exportar incidente como PDF.
Para gerar o PDF, execute os seguintes passos:
Abra uma página de incidentes. Selecione as reticências mais ações (...) no canto superior direito e selecione Exportar incidente como PDF.
Na caixa de diálogo apresentada a seguir, confirme as informações do incidente que pretende incluir ou excluir no PDF. Todas as informações do incidente estão selecionadas por predefinição. Selecione Exportar PDF para continuar.
É apresentada uma status mensagem que indica o estado atual da transferência abaixo do título do incidente. O processo de exportação pode demorar alguns minutos, dependendo da complexidade do incidente e da quantidade de dados a exportar.
É apresentada outra caixa de diálogo a indicar que o PDF está pronto. Selecione Transferir na caixa de diálogo para guardar o PDF no seu dispositivo. A status mensagem abaixo do título do incidente também é atualizada para indicar que a transferência está disponível.
O relatório é colocado em cache durante alguns minutos. O sistema fornece o PDF gerado anteriormente se tentar exportar o mesmo incidente novamente num curto espaço de tempo. Para gerar uma versão mais recente do PDF, aguarde alguns minutos até que a cache expire.
Próximas etapas
Para novos incidentes, inicie a investigação.
Para incidentes em processo, continue a investigação.
Para incidentes resolvidos, efetue uma revisão pós-incidente.
Confira também
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.