Detalhes e resultados de uma investigação automatizada no Microsoft 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Quando uma investigação automatizada ocorre no Microsoft Defender para Office 365, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se tiver as permissões necessárias, pode ver esses detalhes no portal do Microsoft Defender. Os detalhes da investigação fornecem-lhe o estado atualizado e a capacidade de aprovar quaisquer ações pendentes.

Sugestão

Veja a nova página de investigação unificada no portal Microsoft Defender. Para saber mais, consulte (NOVO!) Página de investigação unificada.

Estado da investigação

O estado da investigação indica o progresso da análise e das ações. À medida que a investigação é executada, o estado muda para indicar se foram encontradas ameaças e se as ações foram aprovadas.

Estado Descrição
A iniciar A investigação foi acionada e está à espera de começar a ser executada.
Em execução O processo de investigação começou e está em curso. Este estado também ocorre quando as ações pendentes são aprovadas.
Não Foram Encontradas Ameaças A investigação foi concluída e não foram identificadas ameaças (conta de utilizador, mensagem de e-mail, URL ou ficheiro).

SUGESTÃO: se suspeitar que algo falhou (por exemplo, um falso negativo), pode tomar medidas com o Explorador de Ameaças.

Parcialmente Investigado A investigação automatizada encontrou problemas, mas não existem ações de remediação específicas para resolver esses problemas.

O estado Parcialmente Investigado pode ocorrer quando algum tipo de atividade do utilizador foi identificado, mas não estão disponíveis ações de limpeza. Os exemplos incluem qualquer uma das seguintes atividades de utilizador:


Nota: este estado Parcialmente Investigado costumava ser identificado como Ameaças Encontradas.

A investigação não encontrou URLs, ficheiros ou mensagens de e-mail maliciosos para remediar e nenhuma atividade de caixa de correio para corrigir, como desativar o reencaminhamento de regras ou delegação.

SUGESTÃO: se suspeitar que algo falhou (como um falso negativo), pode investigar e tomar medidas com o Explorador de Ameaças

Terminado por Sistema A investigação parou. Uma investigação pode parar por vários motivos:
  • As ações pendentes da investigação expiraram. Tempo limite das ações pendentes após aguardar aprovação durante uma semana
  • Existem demasiadas ações. Por exemplo, se existirem demasiados utilizadores a clicar em URLs maliciosos, pode exceder a capacidade da investigação de executar todos os analisadores, pelo que a investigação para

SUGESTÃO: se uma investigação parar antes de serem efetuadas ações, tente utilizar o Explorador de Ameaças para localizar e resolver ameaças.
Ação Pendente A investigação encontrou uma ameaça, como um e-mail malicioso, um URL malicioso ou uma definição de caixa de correio arriscada, e uma ação para remediar essa ameaça aguarda aprovação.

O estado Ação Pendente é acionado quando é encontrada qualquer ameaça com uma ação correspondente. No entanto, a lista de ações pendentes pode aumentar à medida que uma investigação é executada. Veja os detalhes da investigação para ver se outros itens ainda estão pendentes de conclusão.

Remediado O inquérito foi concluído e todas as ações de remediação foram aprovadas (notadas como totalmente remediadas).

NOTA: as ações de remediação aprovadas podem ter erros que impedem a realização das ações. Independentemente de as ações de remediação serem concluídas com êxito, o estado da investigação não é alterado. Ver detalhes da investigação.

Parcialmente Remediado A investigação resultou em ações de remediação e algumas foram aprovadas e concluídas. Outras ações ainda estão pendentes.
Falhou Pelo menos um analisador de investigação encontrou um problema em que não foi possível concluir corretamente.

NOTA Se uma investigação falhar após a aprovação das ações de remediação, as ações de remediação ainda poderão ter sido bem-sucedidas. Veja os detalhes da investigação.

Em fila de tempo por limitação Uma investigação está a ser realizada numa fila. Quando outras investigações estiverem concluídas, as investigações em fila começam. A limitação ajuda a evitar um fraco desempenho do serviço.

SUGESTÃO: as ações pendentes podem limitar o número de novas investigações que podem ser executadas. Confirme que aprova (ou rejeita) ações pendentes.

Terminado por Limitação Se uma investigação for mantida na fila por muito tempo, para.

SUGESTÃO: pode iniciar uma investigação a partir do Explorador de Ameaças.

Ver detalhes de uma investigação

  1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
  2. No painel de navegação, selecione Ações & submissões>Centro de ação.
  3. Nos separadores Pendente ou Histórico , selecione uma ação. O painel de lista de opções é aberto.
  4. No painel de lista de opções, selecione Abrir página de investigação.
  5. Utilize os vários separadores para saber mais sobre a investigação.

Determinados tipos de alertas acionam uma investigação automatizada no Microsoft 365. Para saber mais, veja políticas de alerta que acionam investigações automatizadas.

  1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
  2. No painel de navegação, selecione Centro de ação.
  3. Nos separadores Pendente ou Histórico , selecione uma ação. O painel de lista de opções é aberto.
  4. No painel de lista de opções, selecione Abrir página de investigação.
  5. Selecione o separador Alertas para ver uma lista de todos os alertas associados a essa investigação.
  6. Selecione um item na lista para abrir o respetivo painel de lista de opções. Aí, pode ver mais informações sobre o alerta.

Tenha em atenção os seguintes pontos

  • Email contagens são calculadas no momento da investigação e algumas contagens são recalculadas quando abre listas de opções de investigação (com base numa consulta subjacente).

  • As contagens de e-mail apresentadas para os clusters de e-mail no separador Email e o valor da quantidade de e-mail apresentado na lista de opções do cluster são calculadas no momento da investigação e não são alteradas.

  • A contagem de e-mails apresentada na parte inferior do separador Email da lista de opções do cluster de e-mail e a contagem de mensagens de e-mail apresentadas no Explorador refletem as mensagens de e-mail recebidas após a análise inicial da investigação.

    Assim, um cluster de e-mail que mostra uma quantidade original de 10 mensagens de e-mail mostraria um total de 15 listas de e-mail quando chegam mais cinco mensagens de e-mail entre a fase de análise de investigação e quando o administrador revê a investigação. Da mesma forma, as investigações antigas podem começar a mostrar contagens mais elevadas do que as consultas do Explorador mostram, porque os dados no Microsoft Defender para Office 365 Plano 2 expiram após sete dias para avaliações e após 30 dias para licenças pagas.

    A apresentação da contagem de contagens históricas e atuais em vistas diferentes é feita para indicar o impacto do e-mail no momento da investigação e o impacto atual até ao momento em que a remediação é executada.

  • No contexto do e-mail, poderá ver uma superfície de ameaça de anomalias de volume como parte da investigação. Uma anomalia de volume indica um pico em mensagens de e-mail semelhantes em torno da hora do evento de investigação em comparação com timeframes anteriores. Um pico no tráfego de e-mail juntamente com determinadas características (por exemplo, domínio do assunto e remetente, semelhança do corpo e IP do remetente) é típico do início de campanhas de e-mail ou ataques. No entanto, as campanhas de correio eletrónico em massa, spam e legítimas partilham frequentemente estas características.

  • As anomalias de volume representam uma potencial ameaça e, consequentemente, podem ser menos graves em comparação com software maligno ou ameaças de phish identificadas com motores antivírus, detonação ou reputação maliciosa.

  • Não tem de aprovar todas as ações. Se não concordar com a ação recomendada ou se a sua organização não escolher determinados tipos de ações, pode optar por Rejeitar as ações ou simplesmente ignorá-las e não tomar nenhuma ação.

  • Aprovar e/ou rejeitar todas as ações permite que a investigação seja totalmente fechada (o estado é remediado), ao mesmo tempo que deixa algumas ações incompletas, o que resulta na alteração do estado da investigação para um estado parcialmente remediado.

Passos seguintes