Investigar alertas no Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Investigue os alertas que estão a afetar a sua rede, compreenda o que significam e como resolvê-los.
Selecione um alerta na fila de alertas para aceder à página de alertas. Esta vista contém o título do alerta, os recursos afetados, o painel lateral de detalhes e o histórico de alertas.
Na página de alerta, inicie a investigação ao selecionar os recursos afetados ou qualquer uma das entidades na vista de árvore do bloco de alertas. O painel de detalhes é preenchido automaticamente com mais informações sobre o que selecionou. Para ver o tipo de informações que pode ver aqui, leia Rever alertas no Microsoft Defender para Endpoint.
Investigar com a história do alerta
A história do alerta detalha o motivo pelo qual o alerta foi acionado, eventos relacionados que ocorreram antes e depois, bem como outras entidades relacionadas.
As entidades são clicáveis e todas as entidades que não são alertas são expansíveis com o ícone expandir no lado direito do cartão dessa entidade. A entidade em foco será indicada por uma faixa azul no lado esquerdo do cartão dessa entidade, com o alerta no título em foco inicialmente.
Expanda as entidades para ver os detalhes rapidamente. Selecionar uma entidade irá mudar o contexto do painel de detalhes para esta entidade e permitir-lhe-á rever mais informações, bem como gerir essa entidade. Selecionar ... à direita do cartão de entidade irá revelar todas as ações disponíveis para essa entidade. Estas mesmas ações aparecem no painel de detalhes quando essa entidade está em foco.
Nota
A secção do bloco de alertas pode conter mais do que um alerta, com alertas adicionais relacionados com a mesma árvore de execução a aparecer antes ou depois do alerta que selecionou.
Investigar com a linha cronológica do alerta
A linha cronológica do alerta complementa a vista de "árvore de processos" existente ao oferecer aos utilizadores uma perspetiva abrangente sobre cada alerta. Embora a árvore de processos forneça uma discriminação detalhada dos processos e atividades associados do alerta, a linha cronológica do alerta apresenta uma vista cronológica condensada que facilita a triagem rápida e a tomada de decisões.
Tomar medidas a partir do painel de detalhes
Depois de selecionar uma entidade de interesse, o painel de detalhes será alterado para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando estiver disponível e oferecer controlos para tomar medidas nesta entidade diretamente a partir da página de alerta.
Quando terminar de investigar, volte ao alerta com o qual começou, marque o estado do alerta como Resolvido e classifique-o como alerta Falso ou Verdadeiro. Classificar alertas ajuda a otimizar esta capacidade para fornecer alertas mais verdadeiros e menos alertas falsos.
Se o classificar como um verdadeiro alerta, também pode selecionar uma determinação, conforme mostrado na imagem abaixo.
Se estiver a receber um alerta falso com uma aplicação de linha de negócio, crie uma regra de supressão para evitar este tipo de alerta no futuro.
Sugestão
Se estiver a ter problemas não descritos acima, utilize o 🙂 botão para fornecer feedback ou abrir um pedido de suporte.
Tópicos relacionados
- Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
- Gerir alertas de Microsoft Defender para Endpoint
- Investigar um ficheiro associado a um alerta do Defender para Endpoint
- Investigar dispositivos na lista de Dispositivos do Defender para Endpoint
- Investigar um endereço IP associado a um alerta do Defender para Endpoint
- Investigar um domínio associado a um alerta do Defender para Endpoint
- Investigar uma conta de utilizador no Defender para Endpoint
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.