A Central de Ações
Aplica-se a:
- Microsoft Defender XDR
O Centro de Ação fornece uma experiência de "painel único de vidro" para tarefas de incidente e alerta, como:
- Aprovando ações pendentes de correção.
- Exibindo um log de auditoria de ações de correção já aprovadas.
- Revendo as ações de correção concluídas.
Como o Centro de Ações fornece uma visão abrangente de Microsoft Defender XDR no trabalho, sua equipe de operações de segurança pode operar de forma mais eficaz e eficiente.
O centro de ação unificado
O centro de ação unificado (https://security.microsoft.com/action-center) lista ações de correção pendentes e concluídas para seus dispositivos, conteúdo de colaboração & email e identidades em um único local.
Por exemplo:
- Se você estiver usando o Centro de Ações no Central de Segurança do Microsoft Defender (https://securitycenter.windows.com/action-center), experimente o Centro de Ação unificado no portal Microsoft Defender.
- Se você já estivesse usando o portal Microsoft Defender, verá várias melhorias no Centro de Ações (https://security.microsoft.com/action-center).
O Centro de Ação Unificada reúne ações de correção em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365. Ele define uma linguagem comum para todas as ações de correção e fornece uma experiência de investigação unificada. Sua equipe de operações de segurança tem uma experiência de "painel único de vidro" para exibir e gerenciar ações de correção.
Você pode usar a Central de Ações unificada se tiver permissões apropriadas e uma ou mais das seguintes assinaturas:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender XDR
Dica
Para saber mais, confira Requisitos.
Você pode navegar até a lista de ações pendentes de aprovação de duas maneiras diferentes:
- Vá para https://security.microsoft.com/action-center; ou
- No portal Microsoft Defender (https://security.microsoft.com), no cartão de resposta de & de investigação automatizada, selecione Aprovar na Central de Ações.
Usando o Centro de Ações
Acesse Microsoft Defender portal e entre.
No painel de navegação em Ações e envios, escolha Centro de ações. Ou, no cartão de resposta de & de investigação automatizada, selecione Aprovar no Centro de Ações.
Use as guias Ações pendentes e Histórico . A tabela a seguir resume o que você verá em cada guia:
Guia Descrição Pending Exibe uma lista de ações que exigem atenção. Você pode aprovar ou rejeitar ações uma de cada vez ou selecionar várias ações se elas tiverem o mesmo tipo de ação (como arquivo de quarentena).
Verifique e aprove (ou rejeite) ações pendentes o mais rápido possível para que suas investigações automatizadas possam ser concluídas em tempo hábil.Histórico Serve como um log de auditoria para ações que foram tomadas, como: - >Ações de correção que foram tomadas como resultado de investigações automatizadas
- Ações de correção que foram tomadas em mensagens de email suspeitas ou mal-intencionadas, arquivos ou URLs
- Ações de correção aprovadas pela sua equipe de operações de segurança
- Comandos executados e ações de correção que foram aplicados durante as sessões de Resposta Ao Vivo
- Ações de correção que foram tomadas pela proteção contra antivírus
Fornece uma maneira de desfazer determinadas ações (consulte Desfazer ações concluídas).Você pode personalizar, classificar, filtrar e exportar dados no Centro de Ações.
- Selecione um título de coluna para classificar itens em ordem crescente ou decrescente.
- Use o filtro de período para exibir dados do último dia, semana, 30 dias ou 6 meses.
- Escolha as colunas que você deseja exibir.
- Especifique quantos itens incluir em cada página de dados.
- Use filtros para exibir apenas os itens que você deseja ver.
- Selecione Exportar para exportar resultados para um arquivo .csv.
Ações rastreadas no Centro de Ações
Todas as ações, estejam elas com aprovação pendente ou já executadas, são rastreadas na Central de ações. As ações disponíveis incluem o seguinte:
- Coletar pacote de investigação
- Isolar dispositivo (essa ação pode ser desfeita)
- Desintegrar computador
- Execução do código de liberação
- Liberar da quarentena
- Solicitar amostra
- Restringir a execução de código (essa ação pode ser desfeita)
- Executar verificação de antivírus
- Interromper e colocar o arquivo em quarentena
- Conter dispositivos da rede
Além das ações de correção que são tomadas automaticamente como resultado de investigações automatizadas, a Central de Ações também rastreia ações que sua equipe de segurança tomou para lidar com ameaças detectadas e ações que foram tomadas como resultado de recursos de proteção contra ameaças em Microsoft Defender XDR. Para obter mais informações sobre ações de correção automática e manual, consulte Ações de correção.
Exibir detalhes da origem da ação
O centro de ação aprimorado inclui uma coluna de origem da ação que informa de onde veio cada ação. A tabela a seguir descreve possíveis valores de origem da ação :
Valor de origem da ação | Descrição |
---|---|
Ação manual do dispositivo | Uma ação manual tomada em um dispositivo. Exemplos incluem isolamento de dispositivo ou quarentena de arquivo. |
Ação de email manual | Uma ação manual feita por email. Um exemplo inclui excluir mensagens de email ou corrigir uma mensagem de email. |
Ação automatizada do dispositivo | Uma ação automatizada tomada em uma entidade, como um arquivo ou processo. Exemplos de ações automatizadas incluem enviar um arquivo para quarentena, interromper um processo e remover uma chave do registro. (Consulte Ações de correção em Microsoft Defender para Ponto de Extremidade.) |
Ação de email automatizada | Uma ação automatizada tomada no conteúdo de email, como uma mensagem de email, anexo ou URL. Exemplos de ações automatizadas incluem excluir mensagens de email, bloquear URLs e desativar o encaminhamento de email externo. (Consulte Ações de correção em Microsoft Defender para Office 365.) |
Ação de caça avançada | Ações realizadas em dispositivos ou email com caça avançada. |
Explorer ação | Ações realizadas no conteúdo de email com Explorer. |
Ação de resposta ao vivo manual | Ações realizadas em um dispositivo com resposta ao vivo. Exemplos incluem excluir um arquivo, interromper um processo e remover uma tarefa agendada. |
Ação de resposta ao vivo | Ações realizadas em um dispositivo com APIs Microsoft Defender para Ponto de Extremidade. Exemplos de ações incluem isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivo. |
Permissões necessárias para tarefas da Central de ações
Para executar tarefas, como aprovar ou rejeitar ações pendentes no Centro de Ações, você precisa de permissões específicas. Você tem as seguintes opções:
Microsoft Entra permissões: a associação a essas funções fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365:
Microsoft Defender para Ponto de Extremidade correção (dispositivos): Associação à função administrador de segurança.
Microsoft Defender para Office 365 correção (conteúdo e email do Office):
- Associação à função administrador de segurança .
and
- Associação a um grupo de funções em Email & permissões de colaboração com a função Pesquisar e Limpar atribuída. Por padrão, essa função é atribuída apenas aos grupos de funções do Pesquisador de Dados e gerenciamento de organizações em permissões de colaboração Email &. Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções em Email & permissões de colaboração com a função Pesquisar e Limpar atribuída e adicionar os usuários ao grupo de funções personalizado.
Email & permissões de colaboração no portal do Microsoft Defender:
Microsoft Defender para Office 365 correção (conteúdo e email do Office):
- Associação ao grupo de funções administrador de segurança
and
- Associação a um grupo de funções em Email & permissões de colaboração com a função Pesquisar e Limpar atribuída. Por padrão, essa função é atribuída apenas aos grupos de funções do Pesquisador de Dados e gerenciamento de organizações em permissões de colaboração Email &. Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções em Email & permissões de colaboração com a função Pesquisar e Limpar atribuída e adicionar os usuários ao grupo de funções personalizado.
Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada)
- Microsoft Defender para Ponto de Extremidade correção: operações de segurança \ Dados de segurança \ Resposta (gerenciar).
-
Microsoft Defender para Office 365 correção (conteúdo e email do Office, se Email & colaboração>Defender para Office 365 permissões estiverem ativas. Afeta somente o portal do Defender, não o PowerShell):
- Acesso de leitura para cabeçalhos de mensagens de email e teams: operações de segurança/dados brutos (colaboração de email &)/Email & metadados de colaboração (leitura).
- Corrigir email mal-intencionado: operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerenciar).
Dica
A associação ao grupo de funções administrador de segurança Email & permissões de colaboração não concede acesso ao Centro de Ações ou Microsoft Defender XDR recursos. Para eles, você precisa ser um membro da função administrador de segurança em permissões de Microsoft Entra.
Permissões do Defender para Ponto de Extremidade:
- Microsoft Defender para Ponto de Extremidade correção (dispositivos): Associação à função ações de correção ativa.
Dica
Os membros da função administrador global no Microsoft Entra ID podem aprovar ou rejeitar qualquer ação pendente no Centro de Ações. No entanto, como uma prática recomendada, você deve limitar os membros da função de Administrador Global . Recomendamos usar as funções alternativas e os grupos de funções, conforme descrito na lista anterior para permissões do Centro de Ações.
Próxima etapa
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.