Exibir e gerenciar ações no Centro de Ações
Aplica-se a:
- Microsoft Defender XDR
Os recursos de proteção contra ameaças em Microsoft Defender XDR podem resultar em determinadas ações de correção. Aqui estão alguns exemplos:
- Investigações automatizadas podem resultar em ações de correção que são tomadas automaticamente ou aguardam sua aprovação.
- Antivírus, antimalware e outros recursos de proteção contra ameaças podem resultar em ações de correção, como bloquear um arquivo, URL ou processo ou enviar um artefato para quarentena.
- Sua equipe de operações de segurança pode executar ações de correção manualmente, como durante a busca avançada ou durante a investigação de alertas ou incidentes.
Observação
Você deve ter permissões apropriadas para aprovar ou rejeitar ações de correção. Para obter mais informações, confira os pré-requisitos.
Para navegar até o Centro de Ações, siga uma das seguintes etapas:
- Vá para https://security.microsoft.com/action-center; ou
- No portal Microsoft Defender (https://security.microsoft.com), no cartão de resposta de & de investigação automatizada, selecione Aprovar na Central de Ações.
Revisar ações pendentes na Central de Ações
É importante aprovar (ou rejeitar) ações pendentes o mais rápido possível, para que suas investigações automatizadas possam prosseguir e ser concluídas a tempo.
Acesse Microsoft Defender portal e entre.
No painel de navegação em Ações e envios, escolha Centro de ações.
Na central de ações, na guia Pending , selecione um item na lista. Seu painel de sobrevoo é aberto. Veja um exemplo.
Examine as informações no painel de sobrevoo e siga uma das seguintes etapas:
- Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir que uma ação pendente seja executada.
- Selecione Ir caçar para ir à caça avançada.
Dica
Agora você tem mais opções para examinar e aprovar/rejeitar uma ação de correção. Além de usar o Centro de Ações, você também pode aprovar ou rejeitar uma ação de correção durante a revisão de um incidente. Para obter mais informações, consulte Aprovar ou rejeitar ações de correção.
Desfazer ações concluídas
Se você determinou que um dispositivo ou um arquivo não é uma ameaça, você pode desfazer as ações de correção que foram tomadas, se essas ações foram tomadas automaticamente ou manualmente. Na central de ações, na guia Histórico , você pode desfazer qualquer uma das seguintes ações:
| Fonte de ação | Ações com suporte |
|---|---|
| – Investigação automatizada - Microsoft Defender Antivírus – Ações de resposta manual |
- Isolar dispositivo – Restringir a execução de código - Colocar um arquivo em quarentena - Remover uma chave do registro - Parar um serviço - Desabilitar um driver - Remover uma tarefa agendada |
Desfazer uma ação de correção
Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.
Na guia Histórico , selecione uma ação que você deseja desfazer.
No painel no lado direito da tela, selecione Desfazer.
Desfazer várias ações de correção
Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.
Na guia Histórico , selecione as ações que você deseja desfazer. Selecione itens com o mesmo tipo de ação. Um painel de sobrevoo é aberto.
No painel de sobrevoo, selecione Desfazer.
Para remover um arquivo da quarentena em vários dispositivos
Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.
Na guia Histórico , selecione um arquivo que tenha um tipo de ação de arquivo de quarentena .
No painel no lado direito da tela, selecione Aplicar a X mais instâncias deste arquivo e selecione Desfazer.
Próximas etapas
- Exibir os detalhes e resultados de uma investigação automatizada
- Abordar falsos positivos ou falsos negativos
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.