Investigar alertas no Microsoft Defender XDR

Observação

Este artigo descreve os alertas de segurança no Microsoft Defender XDR. No entanto, pode utilizar políticas de alerta para enviar notificações por email a si próprio ou a outros administradores quando os utilizadores efetuam atividades específicas no Microsoft 365. Para obter mais informações, veja Políticas de alerta no portal do Microsoft Defender.

Observação

Embora este artigo seja específico para Defender XDR, você não precisa necessariamente de uma licença XDR para acessar esses alertas. Por exemplo, se você tiver Microsoft Defender para Office 365, receberá alertas nos locais mencionados neste artigo. Dependendo do nível de licença, você tem acesso a algumas configurações de Defender XDR no catálogo de configurações do Defender. Para obter mais informações sobre Defender para 365, consulte a documentação do Microsoft Defender para Office 365.

Os alertas são sinais resultantes de várias atividades de deteção de ameaças. Estes sinais são produzidos pelos muitos serviços de segurança que residem no portal Microsoft Defender e indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente.

Estes eventos suspeitos normalmente fazem parte de uma história de ataque mais ampla. No portal do Microsoft Defender, os alertas representam itens individuais de evidência que o Defender XDR correlaciona para formar incidentes (consulte Visão geral dos incidentes). Incidentes contam toda a história do ataque; No entanto, a análise de alertas pode ser útil quando é necessária uma análise mais profunda.

A fila de alertas mostra o conjunto atual de alertas. Você pode ver toda a fila de alertas em Incidentes & alertas > Alertas na inicialização rápida do portal do Microsoft Defender. Você também pode ver os alertas para cada incidente na fila Incidentes e na página de cada incidente individual, na guia Alertas .

A secção Alertas no portal do Microsoft Defender

Alertas de diferentes soluções de segurança da Microsoft, como Microsoft Defender para Endpoint, Defender para Office 365, Microsoft Sentinel, Defender para Nuvem, Defender for Identity, Defender para Aplicativos de Nuvem, Defender XDR, Governança de Aplicativos, Microsoft Entra ID Protection e Microsoft Data Loss Prevention, aparecem aqui.

Por predefinição, a fila de alertas no portal do Microsoft Defender apresenta os alertas novos e em curso dos últimos sete dias. O alerta mais recente fica na parte superior da lista para que você possa vê-lo primeiro. Também pode encontrar o número total de alertas na fila indicada junto à Barra de pesquisa. O número total de alertas varia consoante os filtros utilizados na fila.

Na fila de alertas predefinida, pode selecionar Filtrar para ver todos os filtros disponíveis a partir dos quais pode especificar um subconjunto dos alertas. Veja um exemplo.

Todos os filtros disponíveis na fila Alertas no portal do Microsoft Defender

Você pode filtrar alertas de acordo com estes critérios:

  • Severidade
  • Estado
  • Categorias
  • Origens de serviço/deteção
  • Etiquetas
  • Política/Regra de política
  • Tipo de Alerta
  • Nome do produto
  • ID da subscrição de alerta
  • Entidades (os ativos afetados)
  • Estado de investigação automatizada
  • Espaço de trabalho
  • Fluxo de dados (carga de trabalho ou localização)
  • Rótulo de confidencialidade

Observação

Os clientes do Microsoft Defender XDR agora podem filtrar incidentes com alertas nos quais um dispositivo comprometido se comunicou com dispositivos de tecnologia operacional (OT) conectados à rede corporativa por meio da integração de descoberta de dispositivos do Microsoft Defender para IoT e do Microsoft Defender para Endpoint. Para filtrar estes incidentes, selecione Qualquer nas Origens de serviço/deteção e, em seguida, selecione Microsoft Defender para IoT no Nome do produto ou veja Investigar incidentes e alertas no Microsoft Defender para IoT no portal do Defender. Você também pode usar grupos de dispositivos para filtrar alertas de um site específico. Para obter mais informações sobre os pré-requisitos do Defender para IoT, veja Introdução à monitorização de IoT empresarial no Microsoft Defender XDR.

Um alerta pode ter etiquetas de sistema e/ou etiquetas personalizadas com determinados fundos de cor. As etiquetas personalizadas utilizam o fundo branco, enquanto as etiquetas de sistema utilizam normalmente cores de fundo vermelhas ou pretas. As etiquetas de sistema identificam o seguinte num incidente:

  • Um tipo de ataque, como ransomware ou phishing de credenciais
  • Ações automáticas, como investigação e resposta automáticas e interrupção automática de ataques
  • Especialistas do Defender atendendo a um incidente
  • Recursos críticos envolvidos no incidente

Dica

O Gerenciamento de Exposição da Segurança da Microsoft, com base em classificações predefinidas, identifica automaticamente dispositivos, identidades e recursos da cloud como um recurso crítico. Esta funcionalidade pronta para uso garante a proteção dos ativos mais valiosos e importantes de uma organização. Também ajuda as equipas de operações de segurança a priorizar a investigação e a remediação. Saiba mais sobre a gestão de recursos críticos.

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias expressas ou implícitas relativamente às informações aqui fornecidas.

Pode procurar alertas através de um intervalo de data e hora personalizado ou através da barra de pesquisa para procurar alertas específicos. Para procurar alertas num intervalo de data ou hora específico, selecione Intervalo personalizado no seletor de datas e, em seguida, especifique as datas e horas de início e de fim.

Realçar a opção de intervalo personalizado no seletor de data e hora na fila Alertas.

Para procurar alertas específicos, introduza o termo de pesquisa na barra de pesquisa. Pode procurar alertas com base no título do alerta ou no ID do alerta.

Realçar a barra de pesquisa na fila de Alertas

Permissions

O acesso a alertas no portal Microsoft Defender é controlado por permissões Microsoft Defender e atribuições de função.

Atribuições de função

Você pode receber as permissões necessárias para exibir alertas por meio dessas atribuições de função:

  • Funções do Microsoft Entra, como Leitor de Segurança, Operador de Segurança ou Administrador de Segurança.
  • Funções personalizadas do Microsoft Defender que incluem permissões para acessar dados de segurança, como Noções básicas dos dados de segurança (leitura).

Para obter mais informações, consulte Permissões no controle de acesso baseado em função (RBAC) unificado do Microsoft Defender.

Observação

Os dados do Microsoft Sentinel continuam usando as permissões do workspace do Microsoft Sentinel. Para visualizar alertas que contêm dados do Microsoft Sentinel, você precisa das permissões apropriadas do RBAC do Azure no espaço de trabalho correspondente do Sentinel. Para obter mais informações, confira Como conectar o Microsoft Sentinel ao portal do Microsoft Defender.

Analisar um alerta

Para ver a página de alerta principal, selecione o nome do alerta. Veja um exemplo.

Captura de ecrã a mostrar os detalhes de um alerta no portal do Microsoft Defender

Também pode selecionar a ação Abrir a página de alerta principal no painel Gerir alerta .

Uma página de alerta é composta por estas seções:

  • História do alerta, que é a cadeia de eventos e alertas relacionados com este alerta por ordem cronológica
  • Detalhes do resumo

Em uma página de alerta, você pode selecionar as reticências (...) ao lado de qualquer entidade para ver as ações disponíveis, como vincular o alerta a outro incidente. A lista de ações disponíveis depende do tipo de alerta.

Fontes de alerta

Os alertas do Microsoft Defender XDR vêm de soluções como Microsoft Defender para Endpoint, Defender para Office 365, Defender para Identidade, Defender para Aplicativos de Nuvem, o complemento de governança de aplicativos do Microsoft Defender para Aplicativos de Nuvem, Microsoft Entra ID Protection e Microsoft Data Loss Prevention. Você pode notar alertas com caracteres acrescentados no início. A tabela a seguir fornece diretrizes para ajudar você a entender o mapeamento de fontes de alerta com base no caractere que precede o alerta.

Observação

  • Os GUIDs prefixados são específicos apenas para experiências unificadas, como fila unificada de alertas, página unificada de alertas, investigação unificada e incidente unificado.
  • O caractere adicionado no início não altera o GUID do alerta. A única alteração no GUID é o componente prefixado.
Fonte do alerta ID do alerta com caracteres adicionados no início
Microsoft Defender XDR ra{GUID}
ta{GUID} para alertas de ThreatExperts
ea{GUID} para alertas de detecções personalizadas
Microsoft Defender para Office 365 fa{GUID}
Exemplo: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender para Endpoint da{GUID}
ed{GUID} para alertas de detecções personalizadas
Microsoft Defender para Identidade aa{GUID}
ri{GUID} para alertas do mecanismo de detecção do XDR
Exemplo: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender para Aplicativos de Nuvem ca{GUID}
ma{GUID} para alertas de deteções e políticas de Governação de Aplicações
rm{GUID} para alertas do mecanismo de detecção do XDR
Exemplo: ca123a456b-c789-1d2e-12f1g33h445h6i
Proteção do Entra ID da Microsoft ad{GUID}
Governação de Aplicações ma{GUID}
Prevenção de Perda de Dados da Microsoft dl{GUID}
Microsoft Defender para Nuvem dc{GUID}
Microsoft Sentinel sn{GUID}
Gerenciamento de Riscos Internos do Microsoft Purview ir{GUID}
Copilot da Segurança da Microsoft sc{GUID}

Observação

Se você tiver acesso provisionado ao Gerenciamento de Riscos Internos do Microsoft Purview, poderá exibir e gerenciar alertas do Gerenciamento de Riscos Internos e pesquisar eventos do Gerenciamento de Riscos Internos no portal do Microsoft Defender. Para obter mais informações, veja Investigar ameaças de risco interno no portal do Microsoft Defender.

Configurar as definições do serviço de alertas

Para configurar as definições do serviço de alertas no Microsoft Defender XDR:

  1. Aceda ao portal do Microsoft Defender (security.microsoft.com), selecione Definições>Microsoft Defender XDR.

  2. Na lista, selecione Definições do serviço de alerta e, em seguida, configure as definições de alerta para o serviço.

    Importante

    A partir de 11 de dezembro de 2025, o Microsoft Defender XDR começará a disponibilizar opções de configuração aprimoradas para alertas do Entra ID Protection em versão prévia pública. Estas atualizações dão-lhe um controlo mais granular sobre alertas baseados no risco. A nova predefinição é apenas deteções de alto risco. Altere a predefinição para Alta + Média ou Todas as deteções com base nas necessidades da sua organização.

    Captura de tela da configuração de alertas do Microsoft Entra ID Protection no portal do Microsoft Defender.

Também pode aceder às definições do Serviço de alertas diretamente a partir da página Incidentes no portal do Microsoft Defender.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Analisar ativos afetados

Em uma página de detalhes de alerta, a seção Ações executadas lista ativos afetados, como caixas de correio, dispositivos e usuários afetados pelo alerta.

Também pode selecionar Ver no centro de ação para ver o separador Histórico do Centro de ação no portal Microsoft Defender.

Rastrear a função de um alerta na história do alerta

A história do alerta exibe todos os ativos ou entidades relacionados ao alerta em uma exibição de árvore de processo. Na página de detalhes do alerta, o alerta nomeado no título da página é aquele inicialmente em foco. Os recursos na história do alerta são expansíveis e clicáveis. Eles fornecem informações adicionais e aceleram sua resposta, permitindo que você execute uma ação imediatamente no contexto da página de alerta.

Observação

A seção da história do alerta pode conter mais de um alerta, com alertas adicionais relacionados à mesma árvore de execução que aparecem antes ou depois do alerta que você selecionou.

Exibir mais informações de alerta na página de detalhes

A página de detalhes mostra os detalhes do alerta selecionado, com detalhes e ações relacionados com o mesmo. Se você selecionar qualquer um dos ativos ou entidades afetados na história de alerta, a página de detalhes será alterada para fornecer informações contextuais e ações para o objeto selecionado.

Depois de selecionar uma entidade de interesse, a página de detalhes muda para apresentar informações sobre o tipo de entidade selecionado, informações históricas quando esta estiver disponível e opções para tomar medidas nesta entidade diretamente a partir da página de alerta.

Gerenciar alertas

Para gerenciar um alerta, selecione Gerenciar alerta na seção de detalhes resumidos da página do alerta. Para um único alerta, veja um exemplo do painel Gerenciar alerta.

Captura de ecrã da secção Gerir alerta no portal do Microsoft Defender

O painel Gerir alerta permite-lhe ver ou especificar:

  • O status do alerta (Novo, Resolvido, Em andamento).
  • A conta de usuário a quem o alerta foi atribuído.
  • A classificação do alerta:
    • Não Definido (predefinição).
    • Verdadeiro positivo associado a um tipo de ameaça. Use essa classificação para alertas que indicam com precisão uma ameaça real. Ao especificar esse tipo de ameaça, você permite que sua equipe de segurança identifique padrões de ameaças e atue para defender sua organização contra elas.
    • Atividade informativa e esperada com um tipo de atividade. Utilize esta opção para alertas tecnicamente precisos, mas que representem um comportamento normal ou atividade de ameaça simulada. Em geral, você deve ignorar esses alertas, mas deve esperá-los em atividades semelhantes no futuro, quando essas atividades forem desencadeadas por invasores reais ou malware. Utilize as opções nesta categoria para classificar alertas para testes de segurança, atividade da equipa vermelha e comportamento invulgar esperado de aplicações e utilizadores fidedignos.
    • Falso positivo refere-se a tipos de alertas que foram gerados mesmo quando não há atividade maliciosa, ou seja, um alarme falso. Utilize as opções nesta categoria para classificar alertas identificados por engano como eventos ou atividades normais como maliciosos ou suspeitos. Ao contrário dos alertas de "Atividade informativa e esperada", que também podem ser úteis para detectar ameaças reais, geralmente você não quer ver esses alertas novamente. Classificar alertas como falsos positivos ajuda Microsoft Defender XDR melhorar a qualidade de deteção.
  • Um comentário sobre o alerta.

Observação

  • Em agosto de 2022, os valores de determinação de alertas (Apt e SecurityPersonnel) anteriormente suportados foram preteridos e já não estão disponíveis através da API.

  • Uma forma de gerir alertas através da utilização de etiquetas. O recurso de marcação do Microsoft Defender para Office 365 está atualmente em versão prévia e está sendo disponibilizado gradualmente.

Atualmente, os nomes de etiquetas modificados só são aplicados a alertas criados após a atualização. Os alertas que foram gerados antes da modificação não refletirão o nome da etiqueta atualizada.

Para gerir um conjunto de alertas semelhante a um alerta específico, selecione Ver alertas semelhantes na caixa INSIGHT na secção de detalhes de resumo da página de alerta.

Captura de ecrã a mostrar a seleção de um alerta no portal do Microsoft Defender

No painel Gerenciar alertas, você pode classificar todos os alertas relacionados ao mesmo tempo. Veja um exemplo.

Captura de ecrã da gestão de alertas relacionados no portal do Microsoft Defender

Se alertas semelhantes já foram classificados anteriormente, você pode economizar tempo usando as recomendações do Microsoft Defender XDR para entender como os outros alertas foram resolvidos. Na seção de detalhes resumidos, selecione Recomendações.

Captura de ecrã a mostrar um exemplo de recomendações para um alerta

A guia Recomendações fornece ações de próxima etapa e conselhos para investigação, correção e prevenção. Veja um exemplo.

Captura de ecrã de um exemplo de recomendações de alertas

Regras de otimização de alertas incorporadas

O Microsoft Defender XDR inclui regras internas de ajuste de alertas que ajudam a reduzir o ruído de notificações gerado por atividades benignas comuns. Essas regras internas suprimem alertas sem afetar outros recursos, como investigações do AIR e notificações por e-mail. Se a investigação do AIR detetar atividade maliciosa ou suspeita, o novo alerta será reativado.

Para ver as regras internas de ajuste de alertas no portal do Microsoft Defender, acesse Sistema>Configurações>Microsoft Defender XDR>Regras seção >Ajuste de alertas ou diretamente na página Ajuste de alertas em https://security.microsoft.com/securitysettings/defender/alert_suppression.

Certifique-se de que revê estas regras para compreender como podem afetar os alertas apresentados no portal do Microsoft Defender.

Observação

O Agente de Triagem de Phishing do Microsoft Security Copilot não classifica alertas suprimidos pelo ajuste de alertas. Certifique-se de desativar a regra interna de ajuste de alertas Auto-Resolve - Email denunciado pelo usuário como malware ou phishing e quaisquer regras de ajuste personalizadas que suprimam esse alerta.

Ajustar um alerta

Enquanto analista do centro de operações de segurança (SOC), um dos principais problemas é a triagem do número total de alertas que são acionados diariamente. Embora os analistas queiram se concentrar apenas em alertas de alta gravidade e alta prioridade, eles também precisam triar e resolver alertas de menor prioridade, o que tende a ser um processo manual. O ajuste de alertas (anteriormente, supressão de alertas) permite ocultar ou resolver alertas automaticamente quando ocorre o comportamento esperado da organização e as condições da regra são atendidas. Isto simplifica a fila de alertas e poupa tempo de triagem.

As regras de otimização de alertas suportam condições com base em tipos de provas , como ficheiros, processos, tarefas agendadas e outros tipos de provas que acionam alertas. Depois de criar uma regra de otimização de alertas, aplique-a ao alerta selecionado ou a qualquer tipo de alerta que cumpra as condições definidas para otimizar o alerta.

O Microsoft Defender XDR inclui regras internas de ajuste de alertas que ajudam a reduzir o ruído nos relatórios causado por atividades benignas comuns. Essas regras internas suprimem alertas sem afetar outros recursos, como investigações do AIR e notificações por e-mail. Se a investigação AIR detectar atividade maliciosa ou suspeita, o Defender XDR reativa o alerta suprimido.

Também pode criar as suas próprias regras de otimização de alertas personalizadas para efetuar uma das seguintes ações quando forem cumpridas condições específicas:

  • Ocultar alerta: suprime o alerta e impede a criação de incidentes. Os alertas ocultos permanecem nas tabelas AlertInfo e AlertEvidence . Esta ação se aplica apenas a alertas do Defender for Endpoint.
  • Resolver alerta: resolve automaticamente o alerta e os incidentes relacionados. Os alertas correspondentes e os incidentes associados são acionados com status resolvidos.
  • Definir como comportamento: Converte sinais correspondentes em comportamentos. Eles não aparecerão na fila de alertas nem dispararão incidentes. Os dados permanecem nas tabelas BehaviorInfo e BehaviorEntities para investigação. Esta ação não é suportada para o Defender para Cloud ou Microsoft Defender para alertas de Office 365.

Microsoft Defender XDR também inclui regras internas de ajuste de alertas que suprimem alertas de atividades benignas comuns sem afetar as investigações de Investigação e Resposta Automatizadas (AIR) nem as notificações por e-mail.

Cuidado

Utilize a otimização de alertas com cuidado, para cenários em que aplicações empresariais internas conhecidas ou testes de segurança acionam a atividade esperada.

Criar condições de regra para otimizar alertas

Crie regras de otimização de alertas a partir da área definições do Microsoft Defender XDR ou a partir de uma página de detalhes de alerta. Selecione uma das seguintes abas para continuar.

Para criar uma regra de ajuste de alerta na página Configurações, siga estas etapas:

  1. No portal Microsoft Defender, selecione Definições > Microsoft Defender XDR > Otimização de alertas.

    Captura de ecrã da opção Otimização de alertas na página Definições do Microsoft Defender XDR.

  2. Selecione Adicionar nova regra para otimizar um novo alerta ou selecione uma linha de regra existente para fazer alterações. Selecionar o título da regra abre uma página de detalhes da regra, onde pode ver uma lista de alertas associados, editar condições ou ativar e desativar a regra.

  3. No painel Otimizar alerta , em Selecionar origens de serviço, selecione as origens de serviço onde pretende aplicar a regra. Apenas os serviços onde tem permissões são apresentados na lista. Por exemplo:

    Captura de ecrã a mostrar o menu pendente origem do serviço na página Otimizar um alerta.

  4. Na área Condições , adicione uma condição para os acionadores do alerta. Por exemplo, se quiser impedir que um alerta seja acionado quando é criado um ficheiro específico, defina uma condição para o acionador Ficheiro:Personalizado e defina os detalhes do ficheiro:

    Captura de tela do menu IOC na página Ajustar um alerta.

    • Os acionadores listados diferem consoante as origens de serviço que selecionou. Os acionadores são todos indicadores de comprometimento (IOCs), como ficheiros, processos, tarefas agendadas e outros tipos de provas que podem acionar um alerta, incluindo scripts da Interface de Análise AntiMalware (AMSI), eventos do Windows Management Instrumentation (WMI) ou tarefas agendadas.

    • Para definir várias condições de regra, selecione Adicionar filtro e utilize AS, OU e opções de agrupamento para definir as relações entre os vários tipos de evidência que acionam o alerta. As propriedades de evidências adicionais são preenchidas automaticamente em um novo subgrupo, onde você pode definir os valores da condição. Os valores da condição não diferenciam maiúsculas de minúsculas, e algumas propriedades oferecem suporte a caracteres curinga.

  5. Na área Ação do painel Otimizar alerta , selecione a ação relevante que pretende que a regra realize. Escolha a partir de Ocultar alerta, Resolver alerta ou Definir como comportamento.

  6. Introduza um nome significativo para o alerta e um comentário para descrever o alerta e, em seguida, selecione Guardar.

Observação

O título do alerta (Nome) baseia-se no tipo de alerta (IoaDefinitionId), que decide o título do alerta. Dois alertas com o mesmo tipo de alerta podem ser alterados para um título de alerta diferente. A funcionalidade Ocultar alerta só está disponível nos alertas do Defender para Endpoint.

Depois de criar sua regra de ajuste de alerta na página de detalhes do alerta, na página Criação de regra bem-sucedida exibida, adicione qualquer um dos IOCs relacionados ao alerta como indicadores em uma lista de permissão para evitar que sejam bloqueados no futuro. Os IOCs configurados como parte da regra de ajuste de alertas são selecionados por padrão. Por exemplo:

  1. Adicione um arquivo à lista Selecionar indicadores (IOC) a permitir. Por predefinição, o ficheiro que acionou o alerta já está selecionado.
  2. Defina um escopo para o valor Selecionar escopo ao qual aplicar. Por predefinição, o âmbito que se aplica ao alerta está selecionado.
  3. Selecione Guardar para adicionar o ficheiro a uma lista de permissões e impedir que seja bloqueado.

Resolver um alerta

Depois de analisar um alerta e este poder ser resolvido, aceda ao painel Gerir alertas para o alerta ou alertas semelhantes e marque o status como Resolvido e, em seguida, classifique-o como um Verdadeiro positivo com um tipo de ameaça, uma atividade Informativa, esperada com um tipo de atividade ou um Falso positivo.

Classificar alertas ajuda a Microsoft Defender XDR melhorar a qualidade da deteção.

Utilizar o Power Automate para fazer a triagem de alertas

As equipas de operações de segurança modernas (SecOps) precisam de automatização para funcionar eficazmente. Para se concentrarem em caçar e investigar ameaças reais, as equipes de SecOps utilizam o Power Automate para fazer a triagem da lista de alertas e eliminar os alertas que não representam ameaças.

Critérios para resolver alertas

Neste Power Automate exemplo, o fluxo verifica os seguintes critérios para decidir se o alerta será resolvido automaticamente:

  • O utilizador tem a mensagem Fora do Escritório ativada
  • O utilizador não está identificado como de alto risco

Se o usuário tiver uma mensagem fora do escritório ativada e não for marcada como de alto risco, o SecOps marcará o alerta como uma viagem legítima e o resolverá. Uma notificação é publicada no Microsoft Teams depois de o alerta ser resolvido.

Ligar o Power Automate ao Microsoft Defender para Aplicativos de Nuvem

Para criar a automatização, precisará de um token de API antes de poder ligar o Power Automate ao Microsoft Defender para Aplicativos de Nuvem.

  1. Abra o portal do Microsoft Defender e selecione Configurações>Aplicativos de Nuvem>Token de API e, em seguida, selecione Adicionar token na guia Tokens de API.

  2. Forneça um nome para o token e, em seguida, selecione Gerar. Guarde o token, pois irá precisar dele mais tarde.

Criar um fluxo automatizado

Assista ao vídeo a seguir para saber como conectar Power Automate a Defender para Aplicativos de Nuvem e criar um fluxo de trabalho de triagem de alerta automatizado.

Utilizar o Agente de Deteção de Ameaças Dinâmica para fazer a triagem de alertas

Microsoft Security Copilot no Microsoft Defender inclui o Agente de Deteção de Ameaças Dinâmicas, um serviço de back-end sempre ligado e adaptável que deteta ameaças ocultas em ambientes do Defender e Microsoft Sentinel. Utiliza IA para identificar lacunas e descobrir falsos negativos ao correlacionar alertas, eventos, anomalias e informações sobre ameaças. Quando o agente identifica uma lacuna, ele gera um alerta dinâmico com todo o contexto nos detalhes do alerta, incluindo explicações em linguagem natural, técnicas do MITRE ATT&CK mapeadas e etapas de remediação personalizadas.

Para obter mais informações, veja Microsoft Security Copilot Agente de Deteção de Ameaças Dinâmicas.

Próximas etapas

Conforme necessário para incidentes em processo, continue sua investigação de incidentes.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.