Partilhar via


Ações de remediação no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR

Durante e após uma investigação automatizada no Microsoft Defender XDR, as ações de remediação são identificadas para itens maliciosos ou suspeitos. Alguns tipos de ações de remediação são efetuadas em dispositivos, também conhecidos como pontos finais. Outras ações de remediação são realizadas em identidades, contas e conteúdos de e-mail. Além disso, alguns tipos de ações de remediação podem ocorrer automaticamente, enquanto outros tipos de ações de remediação são realizados manualmente pela equipa de segurança da sua organização. Quando uma investigação automatizada resulta numa ou mais ações de remediação, a investigação só é concluída quando as ações de remediação são tomadas, aprovadas ou rejeitadas.

Importante

Se as ações de remediação são executadas automaticamente ou apenas após aprovação depende de determinadas definições, como níveis de automatização. Para saber mais, veja os seguintes artigos:

A tabela seguinte resume as ações de remediação atualmente suportadas no Microsoft Defender XDR.

Ações de remediação do dispositivo (ponto final) Ações de remediação de e-mail Utilizadores (contas)
- Recolher pacote de investigação
- Isolar o dispositivo (esta ação pode ser anulada)
- Máquina offboard
- Execução do código de versão
- Libertação da quarentena
- Exemplo de pedido
- Restringir a execução de código (esta ação pode ser anulada)
- Executar análise antivírus
- Parar e colocar em quarentena
- Conter dispositivos da rede
- Bloquear URL (tempo de clique)
- Eliminar mensagens de e-mail ou clusters de eliminação recuperável
- Colocar o e-mail em quarentena
- Colocar um anexo de e-mail em quarentena
- Desativar o reencaminhamento de correio externo
- Desativar utilizador
- Repor palavra-passe do utilizador
- Confirmar o utilizador como comprometido

As ações de remediação, quer estejam pendentes ou já concluídas, podem ser visualizadas no Centro de ação.

Ações de remediação que seguem investigações automatizadas

Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada prova envolvida. Dependendo do veredicto, as ações de remediação são identificadas. Em alguns casos, as ações de remediação são executadas automaticamente; noutros casos, as ações de remediação aguardam aprovação. Tudo depende da forma como a investigação e a resposta automatizadas são configuradas.

A tabela seguinte lista possíveis veredictos e resultados:

Veredicto Entidades afetadas Resultados
Malicioso Dispositivos (pontos finais) As ações de remediação são executadas automaticamente (partindo do princípio de que os grupos de dispositivos da sua organização estão definidos como Completo – remediar ameaças automaticamente)
Comprometido Utilizadores As ações de remediação são executadas automaticamente
Malicioso Conteúdo de e-mail (URLs ou anexos) As ações de remediação recomendadas estão pendentes de aprovação
Suspeito Dispositivos ou conteúdo de e-mail As ações de remediação recomendadas estão pendentes de aprovação
Não foram encontradas ameaças Dispositivos ou conteúdo de e-mail Não são necessárias ações de remediação

Ações de remediação que são executadas manualmente

Além das ações de remediação que seguem investigações automatizadas, a sua equipa de operações de segurança pode realizar determinadas ações de remediação manualmente. Estas ações incluem:

  • Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de ficheiros
  • Ação de e-mail manual, como eliminar mensagens de e-mail de eliminação recuperável
  • Ação manual do utilizador, como desativar o utilizador ou repor a palavra-passe do utilizador
  • Ação de investigação avançada em dispositivos, utilizadores ou e-mail
  • Ação do explorador em conteúdos de e-mail, como mover e-mails para lixo, eliminar e-mails de forma recuperável ou eliminar e-mails
  • Ação de resposta em direto manual, como eliminar um ficheiro, parar um processo e remover uma tarefa agendada
  • Ação de resposta em direto com as APIs do Microsoft Defender para Endpoint, como isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro

Passos seguintes

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.