Descrição geral das investigações automatizadas

Aplica-se a:

Plataformas

  • Windows

Quer ver como funciona? Veja o seguinte vídeo:

A tecnologia na investigação automatizada utiliza vários algoritmos de inspeção e baseia-se em processos que são utilizados por analistas de segurança. As capacidades AIR foram concebidas para examinar alertas e tomar medidas imediatas para resolver falhas de segurança. As capacidades AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. Todas as ações de remediação, quer estejam pendentes ou concluídas, são controladas no Centro de ação. No Centro de ação, as ações pendentes são aprovadas (ou rejeitadas) e as ações concluídas podem ser anuladas, se necessário.

Este artigo fornece uma descrição geral do AIR e inclui ligações para os próximos passos e recursos adicionais.

Sugestão

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Como é iniciada a investigação automatizada

Uma investigação automatizada pode começar quando um alerta é acionado ou quando um operador de segurança inicia a investigação.

Situação O que acontece
É acionado um alerta Em geral, uma investigação automatizada começa quando um alerta é acionado e é criado um incidente . Por exemplo, suponha que um ficheiro malicioso reside num dispositivo. Quando esse ficheiro é detetado, é acionado um alerta e é criado um incidente. É iniciado um processo de investigação automatizado no dispositivo. À medida que são gerados outros alertas devido ao mesmo ficheiro noutros dispositivos, são adicionados ao incidente associado e à investigação automatizada.
Uma investigação é iniciada manualmente Uma investigação automatizada pode ser iniciada manualmente pela sua equipa de operações de segurança. Por exemplo, suponha que um operador de segurança está a rever uma lista de dispositivos e repara que um dispositivo tem um nível de risco elevado. O operador de segurança pode selecionar o dispositivo na lista para abrir a lista de opções e, em seguida, selecionar Iniciar Investigação Automatizada.

Como uma investigação automatizada expande o âmbito

Enquanto uma investigação está em execução, quaisquer outros alertas gerados a partir do dispositivo são adicionados a uma investigação automatizada em curso até que essa investigação esteja concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos serão adicionados à investigação.

Se uma entidade incriminada for vista noutro dispositivo, o processo de investigação automatizada expande o âmbito para incluir esse dispositivo e é iniciado um manual de procedimentos de segurança geral nesse dispositivo. Se forem encontrados 10 ou mais dispositivos durante este processo de expansão a partir da mesma entidade, essa ação de expansão requer uma aprovação e é visível no separador Ações pendentes .

Como as ameaças são remediadas

À medida que os alertas são acionados, e uma investigação automatizada é executada, é gerado um veredicto para cada prova investigada. Os veredictos podem ser:

  • Malicioso;
  • Suspeito; ou
  • Não foram encontradas ameaças.

À medida que os veredictos são alcançados, as investigações automatizadas podem resultar em uma ou mais ações de remediação. Exemplos de ações de remediação incluem o envio de um ficheiro para quarentena, a paragem de um serviço, a remoção de uma tarefa agendada e muito mais. Para saber mais, veja Ações de remediação.

Dependendo do nível de automatização definido para a sua organização, bem como de outras definições de segurança, as ações de remediação podem ocorrer automaticamente ou apenas após a aprovação pela sua equipa de operações de segurança. As definições de segurança adicionais que podem afetar a remediação automática incluem proteção contra aplicações potencialmente indesejadas (PUA).

Todas as ações de remediação, quer estejam pendentes ou concluídas, são controladas no Centro de ação. Se necessário, a equipa de operações de segurança pode anular uma ação de remediação. Para saber mais, veja Rever e aprovar ações de remediação após uma investigação automatizada.

Sugestão

Veja a nova página de investigação unificada no portal Microsoft Defender. Para saber mais, veja a página Investigação unificada.

Requisitos do AIR

A sua subscrição tem de incluir o Defender para Endpoint ou o Defender para Empresas.

Nota

A investigação e resposta automatizadas requerem Microsoft Defender Antivírus para execução no modo passivo ou no modo ativo. Se Microsoft Defender Antivírus estiver desativado ou desinstalado, a Investigação Automatizada e a Resposta não funcionarão corretamente.

Atualmente, o AIR só suporta as seguintes versões do SO:

  • Windows Server 2012 R2 (Pré-visualização)
  • Windows Server 2016 (Pré-visualização)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versão 1709 (Compilação 16299.1085 do SO com KB4493441) ou posterior
  • Windows 10, versão 1803 (Compilação 17134.704 do SO com KB4493464) ou posterior
  • Windows 10, versão 1803 ou posterior
  • Windows 11

Nota

A investigação e resposta automatizadas no Windows Server 2012 R2 e Windows Server 2016 requer a instalação do Agente Unificado.

Passos seguintes

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.