Investigar incidentes

  • 4 minutos

A página de incidentes fornece as informações e links de navegação a seguir.

Visão geral do incidente

A página Visão geral fornece uma visão instantânea dos principais aspectos a serem observados sobre o incidente.

Screenshot of the Incident overview pane.

As categorias de ataque oferecem uma exibição visual e numérica do grau de avanço do invasor na cadeia de ataque (kill chain). Assim como em outros produtos de segurança da Microsoft, o Microsoft Defender XDR está alinhado à estrutura do MITRE ATT&CK™.

A seção de escopo fornece uma lista dos principais ativos afetados que fazem parte desse incidente. Se houver informações específicas sobre esse ativo, como nível de risco, prioridade de investigação e marcação nos ativos, elas também serão retornadas nesta seção.

A linha de tempo de alertas permite uma olhada na ordem cronológica em que os alertas ocorreram e os motivos pelos quais esses alertas estão vinculados a esse incidente.

E, por fim, a seção de evidências fornece um resumo de quantos artefatos diferentes foram incluídos no incidente e seu status de correção, para que você possa identificar imediatamente se alguma ação é necessária no final.

Essa visão geral pode ajudar na triagem inicial do incidente com o fornecimento de informações sobre as principais características do incidente das quais você deve estar ciente.

Alertas

Você pode exibir todos os alertas relativos ao incidente e outras informações sobre eles, como gravidade, entidades envolvidas no alerta, a fonte dos alertas (Microsoft Defender para Identidade, Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365) e o motivo pelo qual eles foram associados.

Por padrão, os alertas são ordenados cronologicamente para permitir que você primeiro veja como o ataque foi executado ao longo do tempo. Um clique em cada alerta levará você à página do alerta relevante, na qual é possível realizar uma investigação detalhada desse alerta.

Dispositivos

A guia Dispositivos lista todos os dispositivos em que os alertas relacionados ao incidente são vistos.

Clicar no link do nome da máquina onde o ataque foi conduzido leva você até a página de Dispositivo da máquina. Na página Dispositivo, você pode ver alertas que foram acionados nela e eventos relacionados fornecidos para facilitar a investigação.

Usuários

Confira os usuários que foram identificados como parte do incidente ou relacionados e ele.

Clicar no nome de usuário leva você à página do Microsoft Defender para Aplicativos de Nuvem do usuário, onde investigações adicionais podem ser conduzidas.

Caixas de Correio

Investigue as caixas de correio que foram identificadas como parte de um incidente ou relacionadas a ele.

Aplicativos

Investigue aplicativos que foram identificados como parte de um incidente ou relacionados a ele.

Investigações

Selecione Investigações para ver todas as investigações automatizadas disparadas por alertas nesse incidente. As investigações realizarão ações de remediação ou aguardarão a aprovação das ações pelo analista.

Selecione uma investigação para navegar até sua página de detalhes de investigação e obter informações completas sobre o status de investigação e correção. Se houver ações pendentes para aprovação como parte da investigação, elas serão exibidas na guia Ações pendentes.

Evidências e respostas

O Microsoft Defender XDR investiga automaticamente todos os eventos com suporte e entidades suspeitas dos incidentes nos alertas, fornecendo a você uma resposta automática e informações sobre arquivos, emails, processos, serviços importantes e muito mais. Isso ajuda a detectar e bloquear rapidamente possíveis ameaças no incidente.

Cada uma das entidades analisadas será marcada com um veredicto (Mal-intencionado, Suspeito, Limpo) e um status de correção. Isso ajuda você a entender o status de correção de todo o incidente e as próximas etapas para outras correções.

Grafo

O grafo visualiza informações de ameaças de segurança cibernética associadas em um incidente para que você possa ver os padrões e as correlações provenientes de vários pontos de dados. Você pode exibir essa correlação por meio do grafo de incidentes.

O grafo informa a história do ataque à segurança cibernética. Por exemplo, ele mostra o ponto de entrada, qual indicador de comprometimento ou atividade foi observado em qual dispositivo etc.

Você pode selecionar os círculos no grafo de incidentes para exibir os detalhes dos arquivos mal-intencionados, as detecções de arquivo associadas, quantas instâncias existem em todo o mundo, se elas foram observadas em sua organização e, em caso afirmativo, quantas são as instâncias.