Mover alertas de um incidente para outro no portal do Microsoft Defender
Embora Microsoft Defender já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desanexar um alerta de um incidente e anexá-lo a outro. Cada alerta tem de pertencer a um incidente, pelo que tem de anexar o alerta a outro incidente existente ou a um novo incidente que crie no local.
Este artigo explica como mover alertas de um incidente para outro.
Pré-requisitos
- Os utilizadores têm de ter permissões para ver a fila de incidentes.
- Os utilizadores têm de ter permissões de leitura e escrita em todos os alertas que pretendem mover entre incidentes.
Aceder ao painel para mover alertas
Existem muitas formas de aceder a este painel. Pode aceder-lhe a partir de qualquer lugar que possa selecionar ou tomar medidas em alertas. Por exemplo:
Em qualquer uma das seguintes localizações, selecione um ou mais alertas marcando as caixas de verificação no início das respetivas linhas. Quando um ou mais alertas são marcados, o botão Mover alertas para outro incidente é apresentado na barra de ferramentas.
- A fila Incidentes . Expanda um determinado incidente para revelar os alertas que contém.
- O separador Alertas na página de detalhes do incidente.
- A fila Alertas .
Além disso, no painel de detalhes numa página de detalhes do alerta, o botão Mover alerta para outro incidente é sempre apresentado.
Selecione o alerta ou alertas a mover
Abra uma das localizações mencionadas na secção anterior.
Selecione o alerta ou alertas que pretende mover marcando as caixas de verificação no início das respetivas linhas na fila. Quando um ou mais alertas são marcados, o botão Mover alertas para outro incidente é apresentado na barra de ferramentas.
Selecione Mover alertas para outro incidente na barra de ferramentas. É aberto um painel de lista de opções. Se tiver selecionado apenas um alerta, o painel terá o nome Mover alerta para outro incidente. Se tiver selecionado dois ou mais alertas, este está identificado como Mover múltiplos alertas para outro incidente. Em todos os outros aspectos, é o mesmo painel.
Se o alerta ou os alertas pertencerem a outro incidente existente, selecione Ligar a um incidente existente. Caso contrário, selecione Criar um novo incidente. Os alertas têm de pertencer a um incidente.
Mover alertas ou alertas para um incidente existente
Se tiver selecionado Vincular a um incidente existente, um novo campo de texto, Nome do incidente ou ID, é apresentado imediatamente após a seleção. Comece a escrever o nome ou o número de ID do incidente ao qual pretende anexar o alerta ou alertas. À medida que escreve, a lista de incidentes disponíveis é apresentada e filtrada dinamicamente pelo que escreve. Quando vir o que pretende na lista, selecione-o.
No campo Comentário , escreva um comentário a explicar o motivo pelo qual pretende mover os alertas.
Selecione Guardar na parte inferior do painel para executar a movimentação.
Mover alertas ou alertas para um novo incidente
Se selecionou Criar um novo incidente, tudo o que precisa de fazer é introduzir um comentário a explicar o motivo pelo qual pretende mover os alertas.
Selecione Guardar na parte inferior do painel para executar a movimentação.
Quando o processo estiver concluído, é criado um novo incidente com o alerta ou alertas que moveu para o mesmo. O incidente recebe automaticamente um nome com base no nome do alerta ou alertas.
Registo de atividades
Quando um alerta está correlacionado com um incidente, é escrita uma mensagem no registo de atividades do incidente, atestando que o alerta foi correlacionado com o mesmo. Esta mensagem é escrita em qualquer uma das seguintes circunstâncias:
- É criado um alerta e correlacionado automaticamente com um incidente novo ou existente.
- Um alerta é movido de um incidente para outro. A mensagem é apresentada no registo do incidente de destino.