Compartilhar via


Detalhes e resultados de uma investigação automatizada

Aplica-se a:

  • Microsoft Defender XDR

Com Microsoft Defender XDR, quando uma investigação automatizada é executada, detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se você tiver as permissões necessárias, poderá exibir esses detalhes em uma exibição de detalhes da investigação que fornece status atualizados e a capacidade de aprovar quaisquer ações pendentes.

(NOVO) Página de investigação unificada

A página de investigação foi atualizada recentemente para incluir informações em seus dispositivos, email e conteúdo de colaboração. A nova página de investigação unificada define uma linguagem comum e fornece uma experiência unificada para investigações automáticas entre Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365. Para acessar a página de investigação unificada, selecione o link na faixa amarela em que você verá:

Abrir a exibição de detalhes da investigação

Você pode abrir a exibição de detalhes da investigação usando um destes métodos:

Selecionar um item na central de Ações

O Centro de Ação aprimorado (https://security.microsoft.com/action-center) reúne ações de correção em seus dispositivos, conteúdo de colaboração & email e identidades. As ações listadas incluem ações de correção que foram executadas automaticamente ou manualmente. Na Central de ações, você pode exibir ações que estão aguardando aprovação e ações que já foram aprovadas ou concluídas. Você também pode navegar para obter mais detalhes, como uma página de investigação.

Dica

Você deve ter certas permissões para aprovar, rejeitar ou desfazer ações.

  1. Acesse Microsoft Defender portal e entre.

  2. No painel de navegação, escolha Central de ações.

  3. Na guia Pendenteou Histórico, selecione um item. Seu painel de sobrevoo é aberto.

  4. Examine as informações no painel de sobrevoo e siga uma das seguintes etapas:

    • Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
    • Selecione Aprovar para iniciar uma ação pendente.
    • Selecione Rejeitar para impedir que uma ação pendente seja executada.
    • Selecione Ir caçar para ir à caça avançada.

Abrir uma investigação em uma página de detalhes do incidente

Use uma página de detalhes do incidente para exibir informações detalhadas sobre um incidente, incluindo os alertas que foram disparados com informações sobre os dispositivos afetados, contas de usuários ou caixas de correio.

  1. Acesse Microsoft Defender portal e entre.

  2. No painel de navegação, escolha Incidentes & alertas Incidentes>.

  3. Selecione um item na lista e escolha Abrir página de incidentes.

  4. Selecione a guia Investigações e, em seguida, selecione uma investigação na lista. Seu painel de sobrevoo é aberto.

  5. Selecione Abrir página de investigação.

Veja um exemplo.

A página de investigação no portal Microsoft Defender

Detalhes da investigação

Use o modo de exibição de detalhes da investigação para ver as atividades antigas, atuais e pendentes referentes a uma investigação. Veja um exemplo.

A página de detalhes da investigação no portal Microsoft Defender

Na exibição de detalhes da investigação, você pode ver as informações nas guias Gráfico de Investigação, Alertas, Dispositivos, Identidades, Principais descobertas, Entidades,Log e Ações pendentes, descritas na tabela a seguir.

Observação

As guias específicas que você vê em uma página de detalhes de investigação dependem do que sua assinatura inclui. Por exemplo, se sua assinatura não incluir Microsoft Defender para Office 365 Plano 2, você não verá uma guia Caixas de Correio.

Guia Descrição
Gráficos de investigação Oferece uma representação visual da investigação. Descreve entidades e lista as ameaças encontradas, juntamente com os alertas, e se as ações estão aguardando aprovação.
Você pode selecionar um item no gráfico para exibir mais detalhes. Por exemplo, selecionar o ícone Evidência leva você para a guia Evidências , onde você pode ver entidades detectadas e seus veredictos.
Alertas Lista os alertas associados à investigação. Os alertas podem vir de recursos de proteção contra ameaças no dispositivo do usuário, em aplicativos do Office, Microsoft Defender para Aplicativos de Nuvem e outros recursos Microsoft Defender XDR.

Se você vir o tipo de alerta sem suporte, significa que os recursos de investigação automatizados não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente.
Dispositivos Listas dispositivos incluídos na investigação junto com seu nível de correção. (Os níveis de correção correspondem ao nível de automação para grupos de dispositivos.)
Caixas de correio Listas caixas de correio afetadas por ameaças detectadas.
Usuários Listas contas de usuário afetadas por ameaças detectadas.
Evidências Listas evidências levantadas por alertas ou investigações. Inclui os vereditos (Mal-intencionado, Suspeito, Desconhecido ou Nenhuma ameaça encontrada) e o status da correção.
Entities Fornece detalhes sobre cada entidade analisada, incluindo um veredito para cada tipo de entidade (Maliciosa, Suspeita ou Nenhuma ameaça encontrada).
Log Fornece uma exibição cronológica e detalhada de todas as ações de investigação executadas depois que um alerta foi disparado.
Histórico de ações pendentes Lista os itens que exigem aprovação para prosseguir. Acesse a Central de Ações (https://security.microsoft.com/action-center) para aprovar ações pendentes.

Estados de investigação

A tabela a seguir lista os estados de investigação e o que eles indicam.

Estado de investigação Definição
Benigno Artefatos foram investigados e foi feita uma determinação de que nenhuma ameaça foi encontrada.
PendingResource Uma investigação automatizada é pausada porque uma ação de correção está pendente de aprovação ou o dispositivo no qual um artefato foi encontrado está temporariamente indisponível.
UnsupportedAlertType Uma investigação automatizada não está disponível para esse tipo de alerta. Uma investigação adicional pode ser feita manualmente usando a caça avançada.
Falhou Pelo menos um analisador de investigação teve um problema em que não pôde concluir a investigação. Se uma investigação falhar após a aprovação das ações de correção, as ações de correção ainda poderão ter sido bem-sucedidas.
Correção com êxito Uma investigação automatizada foi concluída e todas as ações de correção foram concluídas ou aprovadas.

Para fornecer mais contexto sobre como os estados de investigação aparecem, a tabela a seguir lista alertas e seu estado de investigação automatizado correspondente. Esta tabela é incluída como um exemplo do que uma equipe de operações de segurança pode ver no portal Microsoft Defender.

Nome do alerta Severity Estado de investigação Status Categoria
O malware foi detectado em um arquivo de imagem de disco wim Informativo Benigno Resolvido Malware
O malware foi detectado em um arquivo de arquivo rar Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo UnsupportedAlertType Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo UnsupportedAlertType Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo UnsupportedAlertType Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O hacktool do Wpakill foi impedido Baixo Falhou Novo Malware
GendowsBatch hacktool foi impedido Baixo Falhou Novo Malware
O hacktool keygen foi evitado Baixo Falhou Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo zip Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de arquivo rar Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de imagem de disco iso Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de imagem de disco iso Informativo PendingResource Novo Malware
O malware foi detectado em um arquivo de dados do outlook pst Informativo UnsupportedAlertType Novo Malware
O malware foi detectado em um arquivo de dados do outlook pst Informativo UnsupportedAlertType Novo Malware
MediaGet detectado Médio Parcialmente Investigado Novo Malware
TrojanEmailFile Médio Com êxitoRemediado Resolvido Malware
O malware CustomEnterpriseBlock foi evitado Informativo Com êxitoRemediado Resolvido Malware
Um malware CustomEnterpriseBlock ativo foi bloqueado Baixo Com êxitoRemediado Resolvido Malware
Um malware CustomEnterpriseBlock ativo foi bloqueado Baixo Com êxitoRemediado Resolvido Malware
Um malware CustomEnterpriseBlock ativo foi bloqueado Baixo Com êxitoRemediado Resolvido Malware
TrojanEmailFile Médio Benigno Resolvido Malware
O malware CustomEnterpriseBlock foi evitado Informativo UnsupportedAlertType Novo Malware
O malware CustomEnterpriseBlock foi evitado Informativo Com êxitoRemediado Resolvido Malware
TrojanEmailFile Médio Com êxitoRemediado Resolvido Malware
TrojanEmailFile Médio Benigno Resolvido Malware
Um malware CustomEnterpriseBlock ativo foi bloqueado Baixo PendingResource Novo Malware

Próximas etapas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.