Ver e gerir ações no Centro de ação
Aplica-se a:
- Microsoft Defender XDR
As funcionalidades de proteção contra ameaças no Microsoft Defender XDR podem resultar em determinadas ações de remediação. Eis alguns exemplos:
- As investigações automatizadas podem resultar em ações de remediação que são executadas automaticamente ou aguardam a sua aprovação.
- O antivírus, o antimalware e outras funcionalidades de proteção contra ameaças podem resultar em ações de remediação, como bloquear um ficheiro, URL ou processo, ou enviar um artefacto para quarentena.
- A sua equipa de operações de segurança pode realizar ações de remediação manualmente, como durante a investigação avançada ou durante a investigação de alertas ou incidentes.
Nota
Tem de ter as permissões adequadas para aprovar ou rejeitar ações de remediação. Para obter mais informações, veja os pré-requisitos.
Para navegar para o Centro de ação, siga um dos seguintes passos:
- Aceda a https://security.microsoft.com/action-center; ou
- No portal de Microsoft Defender (https://security.microsoft.com), no cartão de resposta & investigação automatizada, selecione Aprovar no Centro de Ação.
Rever ações pendentes no Centro de ação
É importante aprovar (ou rejeitar) ações pendentes o mais rapidamente possível para que as suas investigações automatizadas possam prosseguir e concluir em tempo útil.
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, em Ações e submissões, selecione Centro de ação.
No Centro de ação, no separador Pendente , selecione um item na lista. O painel de lista de opções é aberto. Eis um exemplo.
Reveja as informações no painel de lista de opções e, em seguida, siga um dos seguintes passos:
- Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir a realização de uma ação pendente.
- Selecione Ir investigar para aceder à Investigação avançada.
Sugestão
Agora tem mais opções para rever e aprovar/rejeitar uma ação de remediação. Além de utilizar o Centro de ação, também pode aprovar ou rejeitar uma ação de remediação ao rever um incidente. Para obter mais informações, veja Aprovar ou rejeitar ações de remediação.
Anular ações concluídas
Se determinou que um dispositivo ou um ficheiro não é uma ameaça, pode anular as ações de remediação executadas, quer essas ações tenham sido executadas automaticamente ou manualmente. No Centro de ação, no separador Histórico , pode anular qualquer uma das seguintes ações:
Origem da ação | Ações Suportadas |
---|---|
- Investigação automatizada - Antivírus Microsoft Defender - Ações de resposta manuais |
- Isolar dispositivo - Restringir a execução de código - Colocar um ficheiro em quarentena - Remover uma chave de registo - Parar um serviço - Desativar um controlador - Remover uma tarefa agendada |
Anular uma ação de remediação
Aceda ao Centro de ação (https://security.microsoft.com/action-center) e inicie sessão.
No separador Histórico , selecione uma ação que pretende anular.
No painel do lado direito do ecrã, selecione Anular.
Anular várias ações de remediação
Aceda ao Centro de ação (https://security.microsoft.com/action-center) e inicie sessão.
No separador Histórico , selecione as ações que pretende anular. Certifique-se de que seleciona itens com o mesmo tipo de Ação. É aberto um painel de lista de opções.
No painel de lista de opções, selecione Anular.
Para remover um ficheiro da quarentena em vários dispositivos
Aceda ao Centro de ação (https://security.microsoft.com/action-center) e inicie sessão.
No separador Histórico , selecione um ficheiro que tenha um Tipo de Ação de ficheiro de Quarentena .
No painel do lado direito do ecrã, selecione Aplicar a X mais instâncias deste ficheiro e, em seguida, selecione Anular.
Passos seguintes
- Ver os detalhes e resultados de uma investigação automatizada
- Resolver falsos positivos ou falsos negativos
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.