Ações de remediação no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Durante e após uma investigação automatizada no Microsoft Defender XDR, as ações de remediação são identificadas para itens maliciosos ou suspeitos. Alguns tipos de ações de remediação são efetuadas em dispositivos, também conhecidos como pontos finais. Outras ações de remediação são realizadas em identidades, contas e conteúdos de e-mail. As investigações automatizadas são concluídas após as ações de remediação serem tomadas, aprovadas ou rejeitadas.
Importante
Se as ações de remediação são executadas automaticamente ou apenas após aprovação depende de determinadas definições, como níveis de automatização. Para saber mais, veja estes artigos:
A tabela seguinte resume as ações de remediação atualmente suportadas no Microsoft Defender XDR.
Ações de remediação do dispositivo (ponto final) | Ações de correção de email | Utilizadores (contas) |
---|---|---|
- Recolher pacote de investigação - Isolar o dispositivo (esta ação pode ser anulada) - Máquina offboard - Execução do código de versão - Libertação da quarentena - Exemplo de pedido - Restringir a execução de código (esta ação pode ser anulada) - Executar verificação de antivírus - Parar e colocar em quarentena - Conter dispositivos da rede |
- Bloquear URL (tempo de clique) - Eliminar mensagens de e-mail ou clusters de eliminação recuperável - Colocar o e-mail em quarentena - Colocar um anexo de e-mail em quarentena - Desativar o reencaminhamento de correio externo |
- Desativar utilizador - Repor palavra-passe do utilizador - Confirmar o utilizador como comprometido |
As ações de remediação, quer estejam pendentes ou já concluídas, podem ser visualizadas no Centro de ação.
Ações de remediação que seguem investigações automatizadas
Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada prova envolvida. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de correção são executadas automaticamente, em outros casos, as ações de correção aguardam aprovação. Tudo depende da forma como a investigação e a resposta automatizadas são configuradas.
A tabela a seguir lista os possíveis verditos e resultados:
Verdito | Entidades afetadas | Resultados |
---|---|---|
Mal-intencionado | Dispositivos (pontos de extremidade) | As ações de remediação são executadas automaticamente (partindo do princípio de que os grupos de dispositivos da sua organização estão definidos como Completo – remediar ameaças automaticamente) |
Comprometido | Usuários | As ações de correção são tomadas automaticamente |
Mal-intencionado | Conteúdo do email (URLs ou anexos) | As ações de correção recomendadas estão aguardando aprovação |
Suspeito | Conteúdo de dispositivos ou emails | As ações de correção recomendadas estão aguardando aprovação |
Nenhuma ameaça encontrada | Conteúdo de dispositivos ou emails | Nenhuma ação de correção é necessária |
Ações de remediação que são executadas manualmente
Além das ações de remediação que seguem investigações automatizadas, a sua equipa de operações de segurança pode realizar determinadas ações de remediação manualmente. Essas ações incluem:
- Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de ficheiros
- Ação de e-mail manual, como eliminar mensagens de e-mail de eliminação recuperável
- Ação manual do utilizador, como desativar o utilizador ou repor a palavra-passe do utilizador
- Ação de investigação avançada em dispositivos, utilizadores ou e-mail
- Ação do explorador em conteúdos de e-mail, como mover e-mails para lixo, eliminar e-mails de forma recuperável ou eliminar e-mails
- Ação de resposta em direto manual, como eliminar um ficheiro, parar um processo e remover uma tarefa agendada
- Ação de resposta em direto com as APIs do Microsoft Defender para Endpoint, como isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro
Próximas etapas
- Visite a Central de Ações
- Exibir e gerenciar ações de correção
- Resolver falsos positivos ou falsos negativos
- Conter dispositivos da rede
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de