Ligar alertas a outro incidente no portal do Microsoft Defender
Embora Microsoft Defender já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desassociar um alerta de um incidente e ligá-lo a outro. Cada alerta tem de pertencer a um incidente, pelo que tem de ligar o alerta a outro incidente existente ou a um novo incidente que crie no local.
Este artigo explica como desassociar alertas de um incidente e ligá-los a outro.
Pré-requisitos
- Os utilizadores têm de ter permissões para ver a fila de incidentes.
- Os utilizadores têm de ter permissões de leitura e escrita em todos os alertas que pretendem mover entre incidentes.
Aceder ao painel para desassociar alertas
Existem muitas formas de aceder a este painel. Pode aceder-lhe a partir de qualquer lugar que possa selecionar ou tomar medidas em alertas. Por exemplo:
Em qualquer uma das seguintes localizações, selecione um ou mais alertas marcando as caixas de verificação no início das respetivas linhas. Quando um ou mais alertas são marcados, o botão Ligar alertas a outro incidente é apresentado na barra de ferramentas.
- A fila Incidentes . Expanda um determinado incidente para revelar os alertas que contém.
- O separador Alertas na página de detalhes do incidente.
- A fila Alertas .
Além disso, no painel de detalhes numa página de detalhes do alerta, o botão Ligar alertas a outro incidente é sempre apresentado.
Selecione o alerta ou alertas para desassociar
Abra uma das localizações mencionadas na secção anterior.
Selecione o alerta ou alertas que pretende mover marcando as caixas de verificação no início das respetivas linhas na fila. Quando um ou mais alertas são marcados, o botão Ligar alertas a outro incidente é apresentado na barra de ferramentas.
Selecione Ligar alertas a outro incidente na barra de ferramentas. É aberto um painel de lista de opções. Se tiver selecionado apenas um alerta, o painel terá o nome Ligar alerta a outro incidente. Se tiver selecionado dois ou mais alertas, este está identificado como Ligar vários alertas a outro incidente. Em todos os outros aspectos, é o mesmo painel.
Se o alerta ou os alertas pertencerem a outro incidente existente, selecione Ligar a um incidente existente. Caso contrário, selecione Criar um novo incidente. Os alertas têm de pertencer a um incidente.
Ligar alertas ou alertas a um incidente existente
Se tiver selecionado Vincular a um incidente existente, um novo campo de texto, Nome do incidente ou ID, é apresentado imediatamente após a seleção. Comece a escrever o nome ou o número de ID do incidente ao qual pretende ligar o alerta ou os alertas. À medida que escreve, a lista de incidentes disponíveis é apresentada e filtrada dinamicamente pelo que escreve. Quando vir o que pretende na lista, selecione-o.
No campo Comentário , escreva um comentário a explicar o motivo pelo qual pretende mover os alertas.
Selecione Guardar na parte inferior do painel para executar a movimentação.
Ligar alertas ou alertas a um novo incidente
Se selecionou Criar um novo incidente, tudo o que precisa de fazer é introduzir um comentário a explicar o motivo pelo qual pretende mover os alertas.
Selecione Guardar na parte inferior do painel para executar a movimentação.
Quando o processo estiver concluído, é criado um novo incidente com o alerta ou alertas que moveu para o mesmo. O incidente recebe automaticamente um nome com base no nome do alerta ou alertas.
Registo de atividades
Quando um alerta está correlacionado com um incidente, é escrita uma mensagem no registo de atividades do incidente, atestando que o alerta foi correlacionado com o mesmo. Esta mensagem é escrita em qualquer uma das seguintes circunstâncias:
- É criado um alerta e correlacionado automaticamente com um incidente novo ou existente.
- Um alerta é desassociado de um incidente e ligado a outro. A mensagem é apresentada no registo do incidente de destino.