Compartilhar via


Investigar dispositivos na lista Microsoft Defender para Ponto de Extremidade Dispositivos

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Investigue os detalhes de um alerta gerado em um dispositivo específico para identificar outros comportamentos ou eventos que possam estar relacionados ao alerta ou ao escopo potencial da violação.

Observação

Como parte do processo de investigação ou resposta, você pode coletar um pacote de investigação de um dispositivo. Veja como: Coletar pacote de investigação de dispositivos.

Você pode selecionar em dispositivos afetados sempre que vê-los no portal para abrir um relatório detalhado sobre esse dispositivo. Os dispositivos afetados são identificados nas seguintes áreas:

  • Lista de dispositivos
  • Fila de alertas
  • Qualquer alerta individual
  • Qualquer exibição de detalhes de arquivo individual
  • Qualquer endereço IP ou exibição de detalhes de domínio

Ao investigar um dispositivo específico, você verá:

  • Detalhes do dispositivo
  • Ações de resposta
  • Guias (visão geral, alertas, linha do tempo, recomendações de segurança, inventário de software, vulnerabilidades descobertas, KBs ausentes)
  • Cartões (alertas ativos, conectados a usuários, avaliação de segurança, status de integridade do dispositivo)

A exibição do dispositivo

Observação

Devido a restrições de produto, o perfil do dispositivo não considera todas as evidências cibernéticas ao determinar o período 'Last Seen' (como visto na página do dispositivo também). Por exemplo, o valor "Visto pela última vez" na página Dispositivo pode mostrar um período de tempo mais antigo, embora alertas ou dados mais recentes estão disponíveis no linha do tempo do computador.

Detalhes do dispositivo

A seção de detalhes do dispositivo fornece informações como o domínio, o sistema operacional e o estado de integridade do dispositivo. Se houver um pacote de investigação disponível no dispositivo, você verá um link que permite baixar o pacote.

Ações de resposta

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

  • Exibir no mapa
  • Valor do dispositivo
  • Definir a criticidade
  • Gerenciar marcas
  • Isolar dispositivo
  • Restringir a execução de aplicativo
  • Executar verificação de antivírus
  • Coletar pacote de investigação
  • Iniciar sessão de resposta ao vivo
  • Iniciar investigação automatizada
  • Consultar um especialista em ameaças
  • Central de Ações

Você pode executar ações de resposta no Centro de ações, em uma página de dispositivo específica ou em uma página de arquivo específica.

Para obter mais informações sobre como agir em um dispositivo, consulte Tomar medidas de resposta em um dispositivo.

Para obter mais informações, consulte Investigar entidades de usuário.

Observação

Exibir no mapa e definir a criticidade são recursos do Gerenciamento de Exposição da Microsoft, que está atualmente em versão prévia pública.

Guias

As guias fornecem informações relevantes de segurança e prevenção de ameaças relacionadas ao dispositivo. Em cada guia, você pode personalizar as colunas mostradas selecionando Personalizar colunas na barra acima dos cabeçalhos de coluna.

Visão Geral

A guia Visão geral exibe os cartões para alertas ativos, usuários conectados e avaliação de segurança.

A guia Visão geral na página do dispositivo

Incidentes e alertas

A guia Incidentes e alertas fornece uma lista de incidentes e alertas associados ao dispositivo. Esta lista é uma versão filtrada da fila Alertas e mostra uma breve descrição do incidente, alerta, gravidade (alta, média, baixa, informativa), status na fila (nova, em andamento, resolvida), classificação (não definida, alerta falso, alerta verdadeiro), estado de investigação, categoria de alerta, quem está abordando o alerta e a última atividade. Você também pode filtrar os alertas.

A guia dos alertas relacionados ao dispositivo

Quando um alerta é selecionado, um fly-out é exibido. Neste painel, você pode gerenciar o alerta e exibir mais detalhes, como número de incidente e dispositivos relacionados. Vários alertas podem ser selecionados por vez.

Para ver uma exibição de página completa de um alerta, selecione o título do alerta.

Linha do tempo

A guia Linha do Tempo fornece uma exibição cronológica dos eventos e alertas associados que foram observados no dispositivo. Isso pode ajudá-lo a correlacionar todos os eventos, arquivos e endereços IP em relação ao dispositivo.

O linha do tempo também permite que você aprofunde seletivamente os eventos ocorridos em um determinado período de tempo. Você pode exibir a sequência temporal de eventos ocorridos em um dispositivo durante um período de tempo selecionado. Para controlar ainda mais sua exibição, você pode filtrar por grupos de eventos ou personalizar as colunas.

Observação

Para que eventos de firewall sejam exibidos, você precisará habilitar a política de auditoria, consulte Conexão da Plataforma de Filtragem de Auditoria.

O firewall aborda os seguintes eventos:

  • 5025 – serviço de firewall interrompido
  • 5031 – aplicativo impedido de aceitar conexões de entrada na rede
  • 5157 – conexão bloqueada

O dispositivo linha do tempo com eventos

Algumas das funcionalidades incluem:

  • Pesquisa para eventos específicos
    • Use a barra de pesquisa para procurar eventos linha do tempo específicos.
  • Filtrar eventos de uma data específica
    • Selecione o ícone de calendário no canto superior esquerdo da tabela para exibir eventos no último dia, semana, 30 dias ou intervalo personalizado. Por padrão, o dispositivo linha do tempo está definido para exibir os eventos dos últimos 30 dias.
    • Use o linha do tempo para saltar para um momento específico no tempo realçando a seção. As setas no linha do tempo identificam investigações automatizadas
  • Exportar eventos detalhados de linha do tempo de dispositivo
    • Exporte o dispositivo linha do tempo para a data atual ou um intervalo de datas especificado até sete dias.

Mais detalhes sobre determinados eventos são fornecidos na seção Informações adicionais . Esses detalhes variam dependendo do tipo de evento, por exemplo:

  • Contido por Application Guard - o evento do navegador da Web foi restrito por um contêiner isolado
  • Ameaça ativa detectada - a detecção de ameaças ocorreu enquanto a ameaça estava em execução
  • Correção sem sucesso - uma tentativa de corrigir a ameaça detectada foi invocada, mas falhou
  • Correção bem-sucedida - a ameaça detectada foi interrompida e limpa
  • Aviso ignorado pelo usuário - o aviso Windows Defender SmartScreen foi descartado e substituído por um usuário
  • Script suspeito detectado - um script potencialmente mal-intencionado foi encontrado em execução
  • A categoria de alerta – se o evento levou à geração de um alerta, a categoria de alerta (Movimento Lateral, por exemplo) será fornecida

Detalhes do evento

Selecione um evento para exibir detalhes relevantes sobre esse evento. Um painel é exibido para mostrar informações gerais do evento. Quando aplicável e os dados estão disponíveis, um grafo mostrando entidades relacionadas e suas relações também são mostrados.

Para inspecionar ainda mais o evento e os eventos relacionados, você pode executar rapidamente uma consulta de caça avançada selecionando Caçar para eventos relacionados. A consulta retorna o evento selecionado e a lista de outros eventos que ocorreram na mesma hora no mesmo ponto de extremidade.

O painel de detalhes do evento

Recomendações de segurança

As recomendações de segurança são geradas a partir do recurso de Gerenciamento de Vulnerabilidades do Microsoft Defender para Ponto de Extremidade. Selecionar uma recomendação mostra um painel em que você pode exibir detalhes relevantes, como a descrição da recomendação e os riscos potenciais associados à não promulgação. Consulte Recomendação de segurança para obter detalhes.

Políticas de segurança

A guia Políticas de segurança mostra as políticas de segurança do ponto de extremidade que são aplicadas no dispositivo. Você vê uma lista de políticas, tipo, status e última marcar tempo. Selecionar o nome de uma política leva você para a página de detalhes da política em que você pode ver as configurações de política status, dispositivos aplicados e grupos atribuídos.

A guia Políticas de segurança

Inventário de software

A guia Inventário de software permite exibir o software no dispositivo, juntamente com quaisquer fraquezas ou ameaças. Selecionar o nome do software leva você para a página de detalhes do software em que você pode exibir recomendações de segurança, vulnerabilidades descobertas, dispositivos instalados e distribuição de versão. Consulte Inventário de software para obter detalhes.

A guia Inventário de software

Vulnerabilidades descobertas

A guia Vulnerabilidades descobertas mostra os insights de nome, gravidade e ameaça de vulnerabilidades descobertas no dispositivo. Se você selecionar uma vulnerabilidade específica, verá uma descrição e detalhes.

A guia Vulnerabilidades Descobertas

KBs ausentes

A guia KBs ausente lista as atualizações de segurança ausentes para o dispositivo.

A guia KBs Ausentes

Cartões

Alertas ativos

O Azure Advanced Threat Protection cartão exibe uma visão geral de alto nível dos alertas relacionados ao dispositivo e ao nível de risco, se você estiver usando o recurso Microsoft Defender para Identidade e houver alertas ativos. Mais informações estão disponíveis no detalhamento alertas .

Os alertas ativos cartão

Observação

Você precisará habilitar a integração no Microsoft Defender para Identidade e no Defender para Ponto de Extremidade para usar esse recurso. No Defender para Ponto de Extremidade, você pode habilitar esse recurso em recursos avançados. Para obter mais informações sobre como habilitar recursos avançados, consulte Ativar recursos avançados.

Usuários conectados

Os usuários conectados cartão mostra quantos usuários se conectaram nos últimos 30 dias, juntamente com os usuários mais e menos frequentes. Selecionar o link Ver todos os usuários abre o painel de detalhes, que exibe informações como tipo de usuário, tipo de entrada e quando o usuário foi visto pela primeira e última vez. Para obter mais informações, consulte Investigar entidades de usuário.

O painel de detalhes do usuário

Observação

O valor de usuário 'mais frequente' é calculado apenas com base em evidências de usuários que se conectaram com êxito interativamente. No entanto, o painel lateral Todos os usuários calcula todos os tipos de logons de usuário, portanto, espera-se ver usuários mais frequentes no painel lateral, dado que esses usuários podem não ser interativos.

Avaliações de segurança

As avaliações de segurança cartão mostra o nível geral de exposição, recomendações de segurança, software instalado e vulnerabilidades descobertas. O nível de exposição de um dispositivo é determinado pelo impacto cumulativo de suas recomendações de segurança pendentes.

As avaliações de segurança cartão

Status de integridade do serviço

O cartão de status de integridade do dispositivo mostra um relatório de integridade resumido para o dispositivo específico. Uma das mensagens a seguir é exibida na parte superior do cartão para indicar o status geral do dispositivo (listado em ordem de prioridade mais alta a menor):

  • O Defender Antivírus não está ativo
  • A inteligência de segurança não está atualizada
  • O mecanismo não está atualizado
  • Falha na verificação rápida
  • Falha na verificação completa
  • A plataforma não está atualizada
  • A atualização de inteligência de segurança status é desconhecida
  • O status de atualização do mecanismo é desconhecido
  • O status de verificação rápida é desconhecido
  • A status de verificação completa é desconhecida
  • O status de atualização da plataforma é desconhecido
  • O dispositivo está atualizado
  • Status não disponível para o macOS & Linux

Outras informações no cartão incluem: a última verificação completa, a última verificação rápida, a versão de atualização de inteligência de segurança, a versão de atualização do mecanismo, a versão de atualização da plataforma e o modo Defender Antivírus.

Um círculo cinza indica que os dados são desconhecidos.

Observação

A mensagem de status geral para dispositivos macOS e Linux atualmente aparece como "Status não disponível para macOS & Linux". Atualmente, o resumo do status só está disponível para dispositivos Windows. Todas as outras informações na tabela estão atualizadas para mostrar os estados individuais de cada sinal de integridade do dispositivo para todas as plataformas com suporte.

Para obter uma visão detalhada do relatório de integridade do dispositivo, você pode acessar a integridade de Dispositivos de Relatórios>. Para obter mais informações, consulte Relatório de integridade e conformidade do dispositivo no Microsoft Defender para Ponto de Extremidade.

Observação

No momento, a data e a hora do modo Defender Antivírus não estão disponíveis.

O status cartão de integridade do dispositivo

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.