Usar a Central de Ações

  • 14 minutos

Central de ações

A Central de Ações unificada do portal do Microsoft Defender lista as ações de correção pendentes e concluídas para seus dispositivos, email e conteúdo de colaboração e identidades em apenas um local.

A Central de Ações unificada reúne ações de correção no Defender para EndPoint e no Defender para Office 365. Ele define um idioma comum para todas as ações de correção e fornece uma experiência de investigação unificada. Sua equipe de operações de segurança tem uma experiência de "painel único" para exibir e gerenciar ações de correção.

A Central de Ações consiste em itens pendentes e históricos:

  • Pendentes exibe uma lista de investigações em andamento que exigem atenção. As ações recomendadas são apresentadas para que sua equipe de operações de segurança possa aprovar ou rejeitar. A guia Pendente será exibida somente se houver ações pendentes a serem aprovadas (ou rejeitadas).

  • Histórico atua como um log de auditoria para todos os seguintes itens:

    • Ações de correção que foram executadas como resultado de uma investigação automatizada

    • Ações de correção que foram aprovadas pela equipe de operações de segurança (algumas ações, como enviar um arquivo para quarentena, podem ser desfeitas)

    • Comandos que foram executados e ações de correção que foram aplicadas em sessões de resposta ao vivo (algumas ações podem ser desfeitas)

    • Ações de correção que foram aplicadas pelo Microsoft Defender Antivírus (algumas ações podem ser desfeitas)

Selecione Investigações Automatizadas e Central de ações.

Screenshot of the Microsoft Defender XDR Action center.

Quando uma investigação automatizada é executada, um veredito é gerado para cada evidência investigada. Os vereditos podem ser Mal-intencionado, Suspeito ou Nenhuma ameaça encontrada, dependendo do:

  • Tipo de ameaça

  • Veredito resultante

  • Modo como os grupos de dispositivos da sua organização são configurados

As ações de correção podem ocorrer automaticamente ou somente mediante aprovação da equipe de operações de segurança de sua organização.

Examinar ações pendentes

Para aprovar ou rejeitar uma ação pendente:

  • Selecione qualquer item na guia Pendente.

  • Selecione uma investigação de qualquer uma das categorias para abrir um painel no qual você pode aprovar ou rejeitar ações de correção.

Outros detalhes, como os de arquivo, serviço, investigação e alerta, são exibidos. No painel, você pode selecionar o link Abrir página da investigação para ver os detalhes da investigação. Você também pode selecionar várias investigações para aprovar ou rejeitar ações em todas elas.

Examinar as ações concluídas

Para examinar as ações concluídas:

  • Selecione a guia Histórico. Se necessário, expanda o período de tempo para exibir mais dados.

  • Selecione um item para exibir mais detalhes sobre essa ação de correção.

Desfazer ações concluídas

Você determinou que um dispositivo ou arquivo não é uma ameaça. Você pode desfazer as ações de correção que foram executadas, tenham elas sido realizadas de forma automática ou manual. Você pode desfazer qualquer uma das seguintes opções:

  • Fonte

    • Investigação automatizada

    • Microsoft Defender Antivírus

    • Ações de resposta manuais

  • Ações com Suporte

    • Isolar o dispositivo

    • Restringir a execução de código

    • Colocar um arquivo em quarentena

    • Remover uma chave do Registro

    • Parar um serviço

    • Desabilitar um driver

    • Remover uma tarefa agendada

Remover um arquivo da quarentena entre vários dispositivos

Para remover um arquivo da quarentena entre vários dispositivos:

  1. Na guia Histórico, selecione um arquivo que tenha o Tipo de ação Arquivo de quarentena.

  2. No painel no lado direito da tela, selecione Aplicar a X outras instâncias deste arquivo e selecione Desfazer.

Exibindo detalhes da origem da ação

A Central de Ações inclui uma coluna de origem da Ação que informa de onde veio cada ação. A tabela abaixo descreve possíveis valores de fonte de ação:

Valor de fonte de ação Descrição
Ação manual no dispositivo Uma ação manual realizada em um dispositivo. Os exemplos incluem isolamento de dispositivo ou quarentena de arquivos.
Ação manual no email Uma ação manual executada no email. Um exemplo inclui a exclusão reversível de mensagens de email ou a correção de uma mensagem de email.
Ação automatizada no dispositivo Uma ação automatizada realizada em uma entidade, como um arquivo ou processo. Exemplos de ações automatizadas incluem o envio de um arquivo para quarentena, a interrupção de um processo e a remoção de uma chave do registro.
Ação automatizada no email Uma ação automatizada realizada no conteúdo de um email, como uma mensagem de email, um anexo ou uma URL. Exemplos de ações automatizadas incluem a exclusão reversível de mensagens de email, o bloqueio de URLs e a desativação do encaminhamento de emails externos.
Ação de busca avançada Ações executadas em dispositivos ou email com busca avançada.
Ação do Explorer Ações executadas no conteúdo de um email com o Explorer.
Ação de resposta dinâmica manual Ações executadas em um dispositivo com resposta ao vivo. Os exemplos incluem a exclusão de um arquivo, a interrupção de um processo e a remoção de uma tarefa agendada.
Ação de resposta dinâmica Ações executadas em um dispositivo com o Microsoft Defender para APIs de Ponto de Extremidade. Exemplos de ações incluem o isolamento de um dispositivo, a execução de uma verificação antivírus e a obtenção de informações sobre um arquivo.

Envios

Em organizações do Microsoft 365 com caixas de correio do Exchange Online, os administradores podem usar o portal Envios no portal do Microsoft Defender para enviar mensagens de email, URLs e anexos à Microsoft para verificação.

Ao enviar uma mensagem de email para análise, você receberá:

  • Verificação de autenticação de email: detalhes sobre se a autenticação de email foi aprovada ou reprovada quando foi entregue.
  • Ocorrências de política: informações sobre quaisquer políticas que possam ter permitido ou bloqueado o email de entrada no seu locatário, substituindo nossos veredictos de filtro de serviço.
  • Reputação/detonação de conteúdo: exame atualizado de qualquer URL e anexo na mensagem.
  • Análise do avaliador: revisão feita por avaliadores humanos para confirmar se as mensagens são mal-intencionadas ou não.

Importante

A reputação/detonação de conteúdo e a análise de avaliador não são feitas em todos os locatários. As informações são impedidas de sair da organização quando os dados não devem sair do limite do locatário para fins de conformidade.

O que você precisa saber antes de começar?

  • Para enviar mensagens e arquivos à Microsoft, você precisa ter uma das seguintes funções:

    Administrador da segurança ou leitor da segurança no portal do Microsoft Defender.

  • Os administradores poderão enviar mensagens com até 30 dias, se elas ainda estiverem disponíveis na caixa de correio e não forem limpas pelo usuário ou por outro administrador.

  • Envios pelos administradores são limitados às seguintes taxas:

    Máximo de envios em qualquer período de 15 minutos: 150 envios

    Mesmos envios em um período de 24 horas: Três envios

    Mesmos envios em um período de 15 minutos: Um envio

Relatar conteúdo suspeito à Microsoft

Na página Envios, verifique se a guia Emails, Anexos de email ou URLs está selecionada com base no tipo de conteúdo que você deseja relatar. Em seguida, selecione o ícone Enviar à Microsoft para análise. Envie à Microsoft para análise.

Use o submenu Enviar à Microsoft para análise exibido para enviar o respectivo tipo de conteúdo (email, URL ou anexo de email).

Observação

Os envios de arquivo e URL não estão disponíveis nas nuvens que não permitem que os dados saiam do ambiente. A capacidade de selecionar Arquivo ou URL ficará esmaecida.

Notificar usuários de dentro do portal

Na página Envios, selecione a guia Mensagens relatadas pelo usuário e selecione a mensagem que deseja marcar e notificar.

Selecione a lista suspensa Marcar como e notificar e, em seguida, selecione Nenhuma ameaça encontrada > Phishing ou Lixo Eletrônico.

A mensagem relatada será marcada como falso positivo ou falso negativo. Uma notificação por email é enviada automaticamente de dentro do portal para o usuário que reportou a mensagem.

Enviar um email questionável para a Microsoft

  1. Na caixa Selecionar o tipo de envio, verifique se o Email está selecionado na lista suspensa.

  2. Na seção Adicionar a ID da mensagem de rede ou carregar o arquivo de email, use uma das seguintes opções:

    • Adicione a ID da mensagem de rede de email: a ID é um valor GUID disponível no cabeçalho X-MS-Exchange-Organization-Network-Message-Id na mensagem ou no cabeçalho X-MS-Office365-Filtering-Correlation-Id em mensagens em quarentena.

    • Faça upload do arquivo de email (.msg ou .eml): selecione Procurar arquivos. Na caixa de diálogo que é aberta, localize e selecione o arquivo .eml ou .msg e selecione Abrir.

    Na caixa Escolher um destinatário que tinha um problema, especifique o destinatário em relação ao qual você gostaria de executar uma verificação de política. A verificação de política determinará se o email ignorou a verificação devido a políticas de usuário ou organização.

  3. Na seção Selecionar um motivo para enviar à Microsoft, selecione uma das seguintes opções:

    • Não deveria ter sido bloqueado (falso positivo)
    • Deveria ter sido bloqueado (falso negativo): na seção "O email deveria ter sido categorizado como" exibida, selecione um dos seguintes valores (se você não tiver certeza, use seu melhor julgamento): Phish, Malware ou Spam

  4. Quando terminar, selecione Enviar.

Enviar uma URL suspeita para a Microsoft

  1. Na caixa Selecionar o tipo de envio, selecione URL na lista suspensa.

  2. Na caixa URL exibida, insira a URL completa. Por exemplo, https://www.fabrikam.com/marketing.html.

  3. Na seção Selecionar um motivo para enviar à Microsoft, selecione uma das seguintes opções:

    • Não deveria ter sido bloqueado (falso positivo)
    • Deveria ter sido bloqueado (falso negativo): na seção "Essa URL deveria ter sido categorizada como" exibida, selecione um dos seguintes valores (se você não tiver certeza, use seu melhor julgamento): Phish, Malware

  4. Quando terminar, selecione Enviar.

Enviar um anexo de email suspeito para a Microsoft

  1. Na caixa Selecionar o tipo de envio, selecione Anexo de email na lista suspensa.

  2. Na seção Arquivo exibida, selecione Procurar arquivos. Na caixa de diálogo que é aberta, localize e selecione o arquivo e selecione Abrir.

  3. Na seção Selecionar um motivo para enviar à Microsoft, selecione uma das seguintes opções:

    • Não deveria ter sido bloqueado (falso positivo)
    • Deveria ter sido bloqueado (falso negativo): na seção "Esse arquivo deveria ter sido categorizado como" exibida, selecione um dos seguintes valores (se você não tiver certeza, use seu melhor julgamento): Phish, Malware

  4. Quando terminar, selecione Enviar.

Observação

Se a filtragem de malware tiver substituído os anexos de mensagem pelo arquivo Malware Alert Text.txt, você precisará enviar a mensagem original da quarentena que contém os anexos originais. Para obter mais informações sobre quarentena e como liberar mensagens com falsos positivos de malware, consulte Gerenciar mensagens e arquivos em quarentena como administrador.

Exibir envios de administrador para a Microsoft

Na página Envios, verifique se a guia Emails, URL ou Anexo de Email está selecionada.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para mostrar no máximo sete colunas. Os valores padrão são marcados com um asterisco (*):

  • Nome do envio*
  • Remetente*
  • Destinatário
  • Data de envio*
  • Motivo para envio*
  • Status*
  • Resultado*
  • Veredicto de filtro
  • Motivo de entrega/bloqueio
  • ID de envio
  • ID da mensagem de rede/ID do objeto
  • Direção
  • IP do remetente
  • Nível de conformidade em massa (BCL)
  • Destino
  • Ação de política
  • Enviado por
  • Simulação de phish
  • Marcas*
  • Allow

Quando tiver terminado, selecione Aplicar.

Detalhes do resultado de envios de administrador

As mensagens enviadas em envios de administrador são revisadas e os resultados mostrados no submenu de detalhes de envios:

  • Se houve uma falha na autenticação de email do remetente no momento da entrega.
  • Informações sobre quaisquer ocorrências de política que possam ter afetado ou substituído o veredicto de uma mensagem.
  • Resultados de detonação atuais para ver se as URLs ou arquivos contidos na mensagem são mal-intencionados ou não.
  • Comentários dos avaliadores.

Se uma substituição tiver sido encontrada, o resultado deverá estar disponível em vários minutos. Se não houve um problema na autenticação de email ou se a entrega não tiver sido afetada por uma substituição, os comentários dos avaliadores poderão levar até um dia.

Exibir envios de usuário para a Microsoft

Se você implantou o suplemento Mensagem de Relatório, o suplemento Phishing de Relatório ou se as pessoas usam o relatório interno no Outlook na Web, você pode ver o que os usuários estão reportando na guia Mensagem relatada pelo usuário.

Na página Envios, selecione a guia Mensagens relatadas pelo usuário.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para mostrar as opções. Os valores padrão são marcados com um asterisco (*):

  • Assunto do email*
  • Relatado por*
  • Data do relatório*
  • Remetente*
  • Motivo relatado*
  • Resultado*
  • ID relatada de mensagem
  • ID da mensagem de rede
  • IP do remetente
  • Relatado de
  • Simulação de phish
  • Convertido em envio de administrador
  • Marcas*
  • Marcado como*
  • Marcado por
  • Data da marcação

Quando tiver terminado, selecione Aplicar.

Observação

Se as organizações estiverem configuradas para enviar mensagens relatadas pelo usuário somente para a caixa de correio personalizada, as mensagens relatadas aparecerão em Mensagens relatadas pelo usuário, mas seus resultados sempre estarão vazios (pois não teriam sido verificados novamente).

Desfazer envios de usuário

Depois que um usuário envia um email suspeito para a caixa de correio personalizada, o usuário e o administrador não têm a opção de desfazer o envio. Se o usuário quiser recuperar o email, ele estará disponível para recuperação nas pastas Itens Excluídos ou Lixo Eletrônico.

Convertendo mensagens relatadas pelo usuário da caixa de correio personalizada em um envio de administrador

Se você tiver configurado a caixa de correio personalizada para interceptar mensagens relatadas pelo usuário sem enviar as mensagens à Microsoft, poderá encontrar e enviar mensagens específicas à Microsoft para análise.

Na guia Mensagens relatadas pelo usuário, selecione uma mensagem na lista, selecione Enviar à Microsoft para análise e selecione um dos seguintes valores na lista suspensa:

  • Reportar limpeza
  • Reportar phishing
  • Reportar malware
  • Reportar spam
  • Acionar investigação