Gerenciar investigações automatizadas

  • 3 minutos

Gerenciar investigações automatizadas

Sua equipe de operações de segurança recebe um alerta sempre que o Microsoft Defender detecta um artefato mal-intencionado ou suspeito de um Ponto de extremidade. As equipes de operações de segurança enfrentam desafios para lidar com a infinidade de alertas que surgem do fluxo aparentemente interminável de ameaças. O Microsoft Defender para Ponto de Extremidade inclui recursos de AIR (investigação e correção automatizadas) que podem ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente.

A tecnologia na investigação automatizada usa vários algoritmos de inspeção e baseia-se em processos usados por analistas de segurança. Os recursos AIR se destinam a examinar os alertas e a tomar providências imediatas para resolver as violações. Os recursos de AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. A Central de Ações mantém o controle de todas as investigações iniciadas automaticamente, juntamente com os detalhes, como status da investigação, origem da detecção e quaisquer ações pendentes ou concluídas.

Como a investigação automatizada começa

Quando um alerta é disparado, um guia estratégico de segurança entra em vigor. Dependendo do guia, uma investigação automatizada pode ser iniciada. Por exemplo, suponha que um arquivo mal-intencionado resida em um dispositivo. Quando esse arquivo é detectado, um alerta é disparado, e o processo de investigação automatizada é iniciado. O Microsoft Defender para Ponto de Extremidade verifica se o arquivo mal-intencionado está presente em outros dispositivos da organização. Os detalhes da investigação, incluindo os vereditos (Mal-intencionado, Suspeito e Nenhuma ameaça encontrada), estão disponíveis durante e após a investigação automatizada. Para saber mais sobre o que acontece depois que um veredito é definido, confira os resultados da investigação automatizada e as ações de correção.

Detalhes de uma investigação automatizada

Durante e após uma investigação automatizada, você pode exibir os detalhes sobre a investigação. Selecione um alerta de gatilho para exibir os detalhes da investigação. A partir daí, você pode ir para o grafo Investigação e as guias Alertas, Dispositivos, Evidência, Entidades e Log.

  • Alertas – os alertas que iniciaram a investigação.

  • Dispositivos – os dispositivos em que a ameaça foi encontrada.

  • Evidência – as entidades consideradas mal-intencionadas durante uma investigação.

  • Entidades – detalhes sobre cada entidade analisada, incluindo uma determinação para cada tipo de entidade (Mal-intencionada, Suspeita ou Nenhuma ameaça encontrada).

  • Log – a exibição cronológica e detalhada de todas as ações de investigação executadas no alerta.

  • Ações pendentes – se houver alguma ação aguardando aprovação como resultado da investigação, a guia Ações pendentes será exibida. Na guia Ações pendentes, você pode aprovar ou rejeitar cada ação.

Como uma investigação automatizada expande seu escopo

Enquanto uma investigação está em execução, todos os outros alertas gerados do dispositivo são adicionados a uma investigação automatizada contínua até que ela seja concluída. Além disso, se a mesma ameaça for encontrada em outros dispositivos, eles serão adicionados à investigação.

Se uma entidade incriminada for encontrada em outro dispositivo, o processo de investigação automatizada expandirá seu escopo para incluir esse dispositivo, e um guia estratégico de segurança geral será iniciado no dispositivo. Se dez ou mais dispositivos forem encontrados durante esse processo de expansão da mesma entidade, essa ação de expansão exigirá aprovação e ficará visível na guia Ações pendentes.

Como as ameaças são corrigidas

À medida que os alertas são disparados e uma investigação automatizada é executada, um veredito é gerado para cada evidência investigada. Os vereditos podem ser Mal-intencionado, Suspeito ou Nenhuma ameaça encontrada.

Conforme os vereditos são definidos, as investigações automatizadas podem resultar em uma ou mais ações de correção. Exemplos de ações de correção incluem o envio de um arquivo para quarentena, a interrupção de um serviço, a remoção de uma tarefa agendada e muito mais. (Confira Ações de correção).

Dependendo do nível de automação definido para sua organização, e outras configurações de segurança, as ações de correção podem ocorrer automaticamente ou apenas mediante aprovação da equipe de operações de segurança. Outras configurações de segurança que podem afetar a correção automática incluem proteção contra PUA (aplicativos potencialmente indesejados).

Todas as ações de correção, sejam elas pendentes ou concluídas, podem ser exibidas na Central de Ações https://security.microsoft.com. Se necessário, sua equipe de operações de segurança poderá desfazer uma ação de correção.

Níveis de automação em recursos de investigação e correção automatizadas

Os recursos de AIR (investigação e correção automatizadas) no Microsoft Defender para Ponto de Extremidade podem ser configurados para um dos vários níveis de automação. Seu nível de automação afeta se as ações de correção seguindo as investigações de AIR são executadas automaticamente ou apenas mediante aprovação.

  • Automação completa (recomendado) significa que as ações de correção são executadas automaticamente em artefatos considerados mal-intencionados.

  • Semiautomação significa que algumas ações de correção são executadas automaticamente, mas outras ações aguardam aprovação antes de serem executadas. (Confira a tabela em Níveis de automação).

  • Todas as ações de correção, sejam elas pendentes ou concluídas, são rastreadas na Central de Ações

Níveis de automação

Completa – corrigir ameaças automaticamente (também conhecida como automação completa)

Com a automação completa, as ações de correção são executadas automaticamente. Todas as ações de correção realizadas são exibidas na Central de Ações, na guia Histórico. Se necessário, é possível desfazer uma ação de correção.

Semi – exigir aprovação para qualquer correção (também conhecida como semiautomação)

Nesse nível, é necessário aprovação para qualquer ação de correção. Essas ações pendentes podem ser exibidas e aprovadas na Central de Ações, na guia Pendente.

Semi – exigir aprovação para a correção de pastas principais (também um tipo de semiautomação)

Com esse nível de semiautomação, é preciso obter aprovação para qualquer ação de correção necessária em arquivos ou executáveis que estão nas pastas principais. As pastas principais incluem diretórios do sistema operacional, como o Windows (\windows*).

As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão em outras pastas (não principais).

As ações pendentes para arquivos ou executáveis em pastas principais podem ser exibidas e aprovadas na Central de Ações, na guia Pendente.

As ações que foram realizadas em arquivos ou executáveis em outras pastas podem ser exibidas na Central de Ações, na guia Histórico.

Semi – exigir aprovação para a correção de pastas não temporárias (também um tipo de semiautomação)

Com esse nível de semiautomação, é preciso obter aprovação para qualquer ação de correção necessária em arquivos ou executáveis que não estão nas pastas temporárias.

As pastas temporárias podem incluir os seguintes exemplos:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \arquivos de programas\

  • \program files (x86)*

  • \documents and settings*\users*

As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão nas pastas temporárias.

As ações pendentes para arquivos ou executáveis que não estão nas pastas temporárias podem ser exibidas e aprovadas na Central de Ações, na guia Pendente.

As ações que foram executadas em arquivos ou executáveis nas pastas temporárias podem ser exibidas e aprovadas na Central de Ações, na guia Histórico.

Nenhuma resposta automatizada (também conhecida como sem automação)

Sem automação, a investigação automatizada não é executada nos dispositivos de sua organização. Sendo assim, nenhuma ação de correção é realizada ou fica pendente como resultado de uma investigação automatizada. No entanto, outros recursos de proteção contra ameaças, como proteção contra aplicativos potencialmente indesejados, podem estar em vigor, dependendo de como seus recursos de proteção antivírus e de última geração são configurados.

Não é recomendável usar a opção sem automação porque ela reduz a postura de segurança dos dispositivos de sua organização. Considere configurar seu nível de automação para automação completa (ou, pelo menos, semiautomação).

Pontos importantes sobre os níveis de automação

A automação completa provou ser confiável, eficiente e segura e é recomendada para todos os clientes. A automação completa libera seus recursos de segurança críticos para que eles possam se concentrar mais em suas iniciativas estratégicas. Se a sua equipe de segurança tiver definido grupos de dispositivos com um nível de automação, essas configurações não serão alteradas pelas novas configurações padrão que estão sendo implementadas.