Responder ao seu primeiro incidente no Microsoft Defender XDR

Aplica-se a:

• Microsoft Defender XDR

Este guia lista os recursos da Microsoft para novos Microsoft Defender XDR utilizadores a realizarem tarefas de resposta a incidentes diárias com confiança enquanto utilizam o portal. Os resultados pretendidos da utilização deste guia são:

• Aprenderá rapidamente a utilizar Microsoft Defender XDR para responder a incidentes e alertas.
• Irá descobrir as funcionalidades do portal para ajudar na investigação e remediação de incidentes através dos vídeos e tutoriais.

Microsoft Defender XDR permite-lhe ver eventos de ameaças relevantes em todos os recursos (dispositivos, identidades, caixas de correio, aplicações na nuvem e muito mais). O portal consolida sinais do conjunto de proteção do Defender, Microsoft Sentinel e outras soluções integradas de gestão de informações e eventos de segurança (SIEM). As informações de ataque correlacionadas com o contexto completo num único painel de vidro permitem-lhe defender e proteger a sua organização com êxito.

Este guia tem três main secções:

• Compreender os incidentes: aceder, triagem e gerir incidentes no portal
• Análise de ataques: uma coleção de vídeos e tutoriais sobre como investigar ataques específicos com as funcionalidades do portal.
• Remediar ataques: lista as ações automatizadas e manuais que estão disponíveis no portal para remediar ameaças. Esta secção inclui ligações para vídeos e tutoriais.

Compreender os incidentes

Um incidente é uma cadeia de processos criados, comandos e ações que podem não ter coincidedo. Um incidente fornece uma imagem holística e contexto de atividade suspeita ou maliciosa. Um único incidente dá-lhe o contexto completo de um ataque em vez de triagem de centenas de alertas de vários serviços.

Microsoft Defender XDR tem muitas funcionalidades que pode utilizar para responder a um incidente. Pode navegar nos incidentes ao selecionar Ver todos os incidentes no card Incidentes ativos na Home page ou através de Incidentes & alertas no painel de navegação esquerdo.

Figura 1. Incidentes ativos card na home page do Microsoft Defender XDR

Figure 2. Fila de incidentes

Cada incidente contém alertas correlacionados automaticamente de diferentes origens de deteção e pode envolver vários pontos finais, identidades ou aplicações na cloud.

Triagem de incidentes

A atribuição de prioridades de incidentes varia de acordo com a equipa de resposta, a equipa de segurança e a organização. Os planos de resposta a incidentes e a direção das equipas de segurança podem ordenar a prioridade dos incidentes.

Microsoft Defender XDR tem vários indicadores, como a gravidade do incidente, tipos de utilizadores ou tipos de ameaças para fazer a triagem e atribuir prioridades a incidentes. Pode utilizar qualquer combinação destes indicadores prontamente disponíveis através dos filtros da fila de incidentes .

Um exemplo de determinação da prioridade do incidente é combinar os seguintes fatores para um incidente:

• O incidente tem uma gravidade elevada.
• O estado de investigação da automatização falhou.
• Existem 5 recursos afetados em que dois dos recursos são etiquetados com confidencialidade de dados altamente confidencial.
• O incidente status é novo.
• O incidente não está atribuído a qualquer membro da equipa para investigação.

Pode atribuir uma prioridade elevada ao incidente com as informações acima. Pode iniciar a investigação do incidente assim que for determinada uma prioridade.

Observação

Microsoft Defender XDR determina automaticamente filtros como gravidade, estados de investigação, recursos afetados e estados de incidentes. As informações baseiam-se nas atividades de rede da sua organização contextualizadas com feeds de informações sobre ameaças e nas ações de remediação automatizadas aplicadas.

Gerenciar incidentes

Pode contribuir para a eficiência da gestão de incidentes ao fornecer informações essenciais em incidentes e alertas. Quando adiciona informações aos seguintes filtros de quando faz a triagem e analisa cada incidente, fornece mais contexto a esse incidente do qual os outros participantes podem tirar partido:

• Classificação de incidentes e alertas
• Incidentes de nomenclatura
• Adicionar etiquetas
• Fornecer comentários

Saiba como classificar incidentes e alertas através deste vídeo:

Dica

O Defender Boxed, uma série de cartões que mostram os sucessos de segurança, melhorias e ações de resposta da sua organização nos últimos seis meses/ano, aparece durante um período limitado durante janeiro e julho de cada ano. Saiba como pode partilhar os destaques do Defender Boxed .

Próximas etapas

• Analisar seu primeiro incidente
• Corrigir seu primeiro incidente
• Veja as demonstrações e os novos desenvolvimentos do portal em ação no Microsoft Defender XDR Virtual Ninja Training

Confira também

• Integrar Microsoft Defender XDR nas operações de segurança
• Responder a ataques comuns com manuais de procedimentos de resposta a incidentes
• Conheça as funcionalidades e funções do portal através da formação Microsoft Defender XDR Ninja

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.