Partilhar via

Investigar incidentes no Microsoft Defender para Endpoint

  • Artigo

Aplica-se a:

Investigue incidentes que afetam a sua rede, compreenda o que significam e agrupar provas para os resolver.

Quando investigar um incidente, verá:

  • Detalhes do incidente
  • Comentários e ações de incidentes
  • Separadores (alertas, dispositivos, investigações, provas, gráfico)

Analisar detalhes do incidente

Clique num incidente para ver o painel Incidente. Selecione Abrir página de incidente para ver os detalhes do incidente e as informações relacionadas (alertas, dispositivos, investigações, provas, gráfico).

Os detalhes de um incidente

Alertas

Pode investigar os alertas e ver como foram ligados num incidente. Os alertas são agrupados em incidentes com base nos seguintes motivos:

  • Investigação automatizada – a investigação automatizada acionou o alerta ligado enquanto investigava o alerta original
  • Características do ficheiro – os ficheiros associados ao alerta têm características semelhantes
  • Associação manual – um utilizador ligou manualmente os alertas
  • Tempo de proximate – os alertas foram acionados no mesmo dispositivo dentro de um determinado período de tempo
  • Mesmo ficheiro – os ficheiros associados ao alerta são exatamente os mesmos
  • Mesmo URL – o URL que acionou o alerta é exatamente o mesmo

O separador Alertas com a página de detalhes do incidente a mostrar os motivos pelos quais os alertas foram ligados nesse incidente

Também pode gerir um alerta e ver metadados de alerta, juntamente com outras informações. Para obter mais informações, veja Investigar alertas.

Dispositivos

Também pode investigar os dispositivos que fazem parte ou estão relacionados com um determinado incidente. Para obter mais informações, veja Investigar dispositivos.

O separador Dispositivos na página de detalhes do incidente

Investigações

Selecione Investigações para ver todas as investigações automáticas iniciadas pelo sistema em resposta aos alertas de incidentes.

O separador investigações na página de detalhes do incidente

Passar pelas provas

Microsoft Defender para Endpoint investiga automaticamente todos os eventos suportados pelos incidentes e entidades suspeitas nos alertas, fornecendo-lhe autoresponse e informações sobre os ficheiros, processos, serviços e muito mais importantes.

Cada uma das entidades analisadas será marcada como infetada, remediada ou suspeita.

O separador Provas na página de detalhes do incidente

Visualizar ameaças de cibersegurança associadas

Microsoft Defender para Endpoint agrega as informações de ameaça num incidente para que possa ver os padrões e correlações provenientes de vários pontos de dados. Pode ver essa correlação através do gráfico de incidentes.

Gráfico de incidentes

O Graph conta a história do ataque de cibersegurança. Por exemplo, mostra-lhe qual era o ponto de entrada, que indicador de comprometimento ou atividade foi observado em que dispositivo. etc.

O gráfico de incidentes

Pode clicar nos círculos no gráfico de incidentes para ver os detalhes dos ficheiros maliciosos, as deteções de ficheiros associadas, quantas instâncias ocorreram em todo o mundo, se foram observadas na sua organização, em caso afirmativo, quantas instâncias.

A página de detalhes do incidente

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.