Navegar, triar e gerenciar incidentes do Microsoft Sentinel no portal do Azure
Este artigo descreve como navegar e executar a triagem básica em seus incidentes no portal do Azure.
Pré-requisitos
A atribuição da função Microsoft Sentinel Responder é necessária para investigar incidentes.
Saiba mais sobre as funções no Microsoft Sentinel.
Se você tiver um usuário convidado que precise atribuir incidentes, o usuário deverá receber a função Leitor de Diretório em seu locatário do Microsoft Entra. Os usuários regulares (não convidados) têm essa função atribuída por padrão.
Navegar e triar incidentes
No menu de navegação do Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes.
A página Incidentes fornece informações básicas sobre todos os seus incidentes abertos. Por exemplo:
Na parte superior da tela, você tem uma barra de ferramentas com ações que você pode executar fora de um incidente específico, seja na grade como um todo ou em vários incidentes selecionados. Você também tem as contagens de incidentes abertos, novos ou ativos, e as contagens de incidentes abertos por gravidade.
No painel central, você tem uma grade de incidentes, que é uma lista de incidentes filtrados pelos controles de filtragem na parte superior da lista, e uma barra de pesquisa para localizar incidentes específicos.
Ao lado, você tem um painel de detalhes que mostra informações importantes sobre o incidente destacado na lista central, juntamente com botões para tomar certas ações específicas em relação a esse incidente.
Sua equipe de operações de segurança pode ter regras de automação em vigor para executar a triagem básica de novos incidentes e atribuí-los ao pessoal adequado.
Nesse caso, filtre a lista de incidentes por Proprietário para limitar a lista aos incidentes atribuídos a você ou à sua equipe. Este conjunto filtrado representa a sua carga de trabalho pessoal.
Caso contrário, você mesmo pode realizar uma triagem básica. Comece filtrando a lista de incidentes por critérios de filtragem disponíveis, seja status, gravidade ou nome do produto. Para obter mais informações, consulte Pesquisar incidentes.
Faça a triagem de um incidente específico e tome as medidas iniciais imediatamente, diretamente do painel de detalhes na página Incidentes, sem ter que entrar na página completa de detalhes do incidente. Por exemplo:
Investigar incidentes do Microsoft Defender XDR no Microsoft Defender XDR: Siga o link Investigar no Microsoft Defender XDR para pivotar para o incidente paralelo no portal do Defender. Todas as alterações feitas no incidente no Microsoft Defender XDR são sincronizadas com o mesmo incidente no Microsoft Sentinel.
Abra a lista de tarefas atribuídas: os incidentes com tarefas atribuídas exibem uma contagem de tarefas concluídas e totais e um link Exibir detalhes completos. Siga o link para abrir a página Tarefas de incidente para ver a lista de tarefas para este incidente.
Atribua a propriedade do incidente a um usuário ou grupo selecionando na lista suspensa Proprietário .
Os usuários e grupos selecionados recentemente aparecem na parte superior da lista suspensa ilustrada.
Atualize o status do incidente (por exemplo, de Novo para Ativo ou Fechado) selecionando na lista suspensa Status. Ao fechar um incidente, é necessário especificar um motivo. Para obter mais informações, consulte Fechar um incidente.
Altere a gravidade do incidente selecionando na lista suspensa Gravidade .
Adicione tags para categorizar seus incidentes. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar tags.
Adicione comentários para registrar suas ações, ideias, perguntas e muito mais. Talvez seja necessário rolar para baixo até a parte inferior do painel de detalhes para ver onde adicionar comentários.
Se as informações no painel de detalhes forem suficientes para solicitar mais ações de correção ou mitigação, selecione o botão Ações na parte inferior para seguir um destes procedimentos:
Ação Descrição Investigar Use a ferramenta de investigação gráfica para descobrir relações entre alertas, entidades e atividades, tanto neste incidente como em outros incidentes. Executar manual Execute um manual sobre esse incidente para tomar ações específicas de enriquecimento, colaboração ou resposta, como seus engenheiros SOC podem ter disponibilizado. Criar regra de automação Crie uma regra de automação que seja executada apenas em incidentes como este (gerados pela mesma regra de análise) no futuro, a fim de reduzir sua carga de trabalho futura ou para levar em conta uma alteração temporária nos requisitos (como para um teste de penetração). Criar equipa (Pré-visualização) Crie uma equipa no Microsoft Teams para colaborar com outros indivíduos ou equipas entre departamentos no tratamento do incidente. Por exemplo:
Se forem necessárias mais informações sobre o incidente, selecione Ver detalhes completos no painel de detalhes para abrir e ver os detalhes do incidente na íntegra, incluindo os alertas e entidades no incidente, uma lista de incidentes semelhantes e informações principais selecionadas.
Pesquisa de incidentes
Para encontrar um incidente específico rapidamente, insira uma cadeia de pesquisa na caixa de pesquisa acima da grade de incidentes e pressione Enter para modificar a lista de incidentes mostrada de acordo. Se o incidente não estiver incluído nos resultados, convém restringir a pesquisa usando as opções de pesquisa avançada.
Para modificar os parâmetros de pesquisa, selecione o botão Pesquisar e, em seguida, selecione os parâmetros onde deseja executar a pesquisa.
Por exemplo:
Por padrão, as pesquisas de incidentes são executadas apenas nos valores ID do incidente, Título, Tags, Proprietário e Nome do produto. No painel de pesquisa, role a lista para baixo para selecionar um ou mais parâmetros para pesquisar e selecione Aplicar para atualizar os parâmetros de pesquisa. Selecione Definir como padrão redefinir os parâmetros selecionados para a opção padrão.
Nota
As pesquisas no campo Proprietário suportam nomes e endereços de e-mail.
O uso de opções de pesquisa avançada altera o comportamento de pesquisa da seguinte maneira:
| Comportamento da pesquisa | Description |
|---|---|
| Cor do botão Pesquisar | A cor do botão de pesquisa muda, dependendo dos tipos de parâmetros atualmente usados na pesquisa.
|
| Atualização automática | O uso de parâmetros de pesquisa avançada impede que você selecione para atualizar automaticamente seus resultados. |
| Parâmetros da entidade | Todos os parâmetros de entidade são suportados para pesquisas avançadas. Ao pesquisar em qualquer parâmetro de entidade, a pesquisa é executada em todos os parâmetros de entidade. |
| Cadeias de caracteres de pesquisa | A pesquisa de uma cadeia de palavras inclui todas as palavras na consulta de pesquisa. As cadeias de caracteres de pesquisa diferenciam maiúsculas de minúsculas. |
| Suporte a espaços de trabalho cruzados | Não há suporte para pesquisas avançadas para exibições entre espaços de trabalho. |
| Número de resultados da pesquisa exibidos | Quando você usa parâmetros de pesquisa avançada, apenas 50 resultados são mostrados de cada vez. |
Gorjeta
Se não conseguir encontrar o incidente que procura, remova os parâmetros de pesquisa para expandir a sua pesquisa. Se a pesquisa resultar em muitos itens, adicione mais filtros para restringir os resultados.
Fechar um incidente
Depois de resolver um incidente específico (por exemplo, quando a investigação chegar à conclusão), defina o status do incidente como Fechado. Ao fazer isso, você será solicitado a classificar o incidente especificando o motivo pelo qual está fechando-o. Este passo é obrigatório.
Selecione Selecionar classificação e escolha uma das seguintes opções na lista suspensa:
- True Positive – atividade suspeita
- Benigno Positivo – suspeito, mas esperado
- Falso positivo – lógica de alerta incorreta
- Falso positivo – dados incorretos
- Indeterminado
Para obter mais informações sobre falsos positivos e positivos benignos, consulte Manipular falsos positivos no Microsoft Sentinel.
Depois de escolher a classificação apropriada, adicione algum texto descritivo no campo Comentário . Isso é útil no caso de você precisar se referir a este incidente. Selecione Aplicar quando terminar e o incidente for fechado.
Próximo passo
Para obter mais informações, consulte Investigar incidentes do Microsoft Sentinel em profundidade no portal do Azure