Ações de remediação no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Durante e após uma investigação automatizada no Microsoft Defender XDR, as ações de remediação são identificadas para itens maliciosos ou suspeitos. Alguns tipos de ações de remediação são efetuadas em dispositivos, também conhecidos como pontos finais. Outras ações de remediação são realizadas em identidades, contas e conteúdos de e-mail. Além disso, alguns tipos de ações de remediação podem ocorrer automaticamente, enquanto outros tipos de ações de remediação são realizados manualmente pela equipa de segurança da sua organização. Quando uma investigação automatizada resulta numa ou mais ações de remediação, a investigação só é concluída quando as ações de remediação são tomadas, aprovadas ou rejeitadas.
Importante
Se as ações de remediação são executadas automaticamente ou apenas após aprovação depende de determinadas definições, como níveis de automatização. Para saber mais, veja estes artigos:
A tabela seguinte resume as ações de remediação atualmente suportadas no Microsoft Defender XDR.
| Ações de remediação do dispositivo (ponto final) | Ações de correção de email | Utilizadores (contas) |
|---|---|---|
| - Recolher pacote de investigação - Isolar o dispositivo (esta ação pode ser anulada) - Máquina offboard - Execução do código de versão - Libertação da quarentena - Exemplo de pedido - Restringir a execução de código (esta ação pode ser anulada) - Executar verificação de antivírus - Parar e colocar em quarentena - Conter dispositivos da rede |
- Bloquear URL (tempo de clique) - Eliminar mensagens de e-mail ou clusters de eliminação recuperável - Colocar o e-mail em quarentena - Colocar um anexo de e-mail em quarentena - Desativar o reencaminhamento de correio externo |
- Desativar utilizador - Repor palavra-passe do utilizador - Confirmar o utilizador como comprometido |
As ações de remediação, quer estejam pendentes ou já concluídas, podem ser visualizadas no Centro de ação.
Ações de remediação que seguem investigações automatizadas
Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada prova envolvida. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de correção são executadas automaticamente, em outros casos, as ações de correção aguardam aprovação. Tudo depende da forma como a investigação e a resposta automatizadas são configuradas.
A tabela a seguir lista os possíveis verditos e resultados:
| Verdito | Entidades afetadas | Resultados |
|---|---|---|
| Mal-intencionado | Dispositivos (pontos de extremidade) | As ações de remediação são executadas automaticamente (partindo do princípio de que os grupos de dispositivos da sua organização estão definidos como Completo – remediar ameaças automaticamente) |
| Comprometido | Usuários | As ações de correção são tomadas automaticamente |
| Mal-intencionado | Conteúdo do email (URLs ou anexos) | As ações de correção recomendadas estão aguardando aprovação |
| Suspeito | Conteúdo de dispositivos ou emails | As ações de correção recomendadas estão aguardando aprovação |
| Nenhuma ameaça encontrada | Conteúdo de dispositivos ou emails | Nenhuma ação de correção é necessária |
Ações de remediação que são executadas manualmente
Além das ações de remediação que seguem investigações automatizadas, a sua equipa de operações de segurança pode realizar determinadas ações de remediação manualmente. Essas ações incluem:
- Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de ficheiros
- Ação de e-mail manual, como eliminar mensagens de e-mail de eliminação recuperável
- Ação manual do utilizador, como desativar o utilizador ou repor a palavra-passe do utilizador
- Ação de investigação avançada em dispositivos, utilizadores ou e-mail
- Ação do explorador em conteúdos de e-mail, como mover e-mails para lixo, eliminar e-mails de forma recuperável ou eliminar e-mails
- Ação de resposta em direto manual, como eliminar um ficheiro, parar um processo e remover uma tarefa agendada
- Ação de resposta em direto com as APIs do Microsoft Defender para Endpoint, como isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro
Próximas etapas
- Visite a Central de Ações
- Exibir e gerenciar ações de correção
- Resolver falsos positivos ou falsos negativos
- Conter dispositivos da rede
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.