Compartilhar via

Tomar medidas sobre os resultados avançados da consulta de investigação

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Pode conter rapidamente ameaças ou lidar com recursos comprometidos que encontra na investigação avançada através de opções de ação avançadas e abrangentes. Com estas opções, pode:

  • Efetuar várias ações em dispositivos
  • Colocar ficheiros em quarentena

Permissões obrigatórias

Para tomar medidas em dispositivos através da investigação avançada, precisa de uma função no Microsoft Defender para Endpoint com permissões para submeter ações de remediação em dispositivos. Se não conseguir tomar medidas, contacte um administrador global para obter a seguinte permissão:

Ações de remediação ativas > Gestão de ameaças e vulnerabilidades – Processamento de remediação

Para tomar medidas em e-mails através de investigação avançada, precisa de uma função no Microsoft Defender para Office 365 para procurar e remover e-mails.

Efetuar várias ações em dispositivos

Pode efetuar as seguintes ações em dispositivos identificados pela DeviceId coluna nos resultados da consulta:

  • Isolar os dispositivos afetados para conter uma infecção ou impedir que os ataques se movam lateralmente
  • Recolher o pacote de investigação para obter mais informações forenses
  • Execute uma análise antivírus para localizar e remover ameaças com as atualizações de informações de segurança mais recentes
  • Iniciar uma investigação automatizada para verificar e remediar ameaças no dispositivo e possivelmente noutros dispositivos afetados
  • Restringir a execução de aplicações apenas a ficheiros executáveis assinados pela Microsoft, impedindo a subsequente atividade de ameaças através de software maligno ou outros executáveis não fidedignos

Para saber mais sobre como estas ações de resposta são executadas através do Microsoft Defender para Endpoint, leia sobre as ações de resposta nos dispositivos.

Colocar ficheiros em quarentena

Pode implementar a ação de quarentena em ficheiros para que sejam colocados em quarentena automaticamente quando forem encontrados. Ao selecionar esta ação, pode escolher entre as seguintes colunas para identificar quais os ficheiros na consulta que resultam na quarentena:

  • SHA1: Na maioria das tabelas de investigação avançadas, esta coluna refere-se ao SHA-1 do ficheiro que foi afetado pela ação registada. Por exemplo, se um ficheiro tiver sido copiado, este ficheiro afetado seria o ficheiro copiado.
  • InitiatingProcessSHA1: Nas tabelas de investigação mais avançadas, esta coluna refere-se ao ficheiro responsável por iniciar a ação registada. Por exemplo, se um processo subordinado fosse iniciado, este ficheiro de iniciador faria parte do processo principal.
  • SHA256: esta coluna é o equivalente SHA-256 do ficheiro identificado pela SHA1 coluna.
  • InitiatingProcessSHA256: esta coluna é o equivalente SHA-256 do ficheiro identificado pela InitiatingProcessSHA1 coluna.

Para saber mais sobre como as ações de quarentena são executadas e como os ficheiros podem ser restaurados, leia sobre as ações de resposta nos ficheiros.

Observação

Para localizar ficheiros e colocar os ficheiros em quarentena, os resultados da consulta também devem incluir DeviceId valores como identificadores de dispositivo.

Para efetuar qualquer uma das ações descritas, selecione um ou mais registos nos resultados da consulta e, em seguida, selecione Tomar medidas. Um assistente irá guiá-lo ao longo do processo de seleção e, em seguida, submeter as suas ações preferenciais.

Opção Tomar medidas no portal do Microsoft Defender

Efetuar várias ações em e-mails

Para além dos passos de remediação focados no dispositivo, também pode efetuar algumas ações em e-mails a partir dos resultados da consulta. Selecione os registos em que pretende efetuar uma ação, selecione Tomar ações e, em seguida, em Escolher ações, selecione a sua escolha a partir do seguinte:

  • Move to mailbox folder - selecione esta opção para mover as mensagens de e-mail para a pasta Lixo, Caixa de Entrada ou Itens eliminados

    A opção Tomar medidas no portal do Microsoft Defender

  • Delete email - selecione esta opção para mover mensagens de e-mail para a pasta Itens eliminados (Eliminação recuperável) ou elimine-as permanentemente (Eliminação rápida)

    Selecionar Eliminação recuperável também elimina automaticamente as mensagens da pasta Itens Enviados do remetente se o remetente estiver na organização.

    Captura de ecrã da opção tomar medidas no portal do Microsoft Defender

    A eliminação recuperável automática da cópia do remetente está disponível para resultados através das EmailEvents tabelas e EmailPostDeliveryEvents , mas não da UrlClickEvents tabela. Além disso, o resultado deve conter as colunas EmailDirection e SenderFromAddress colunas para que esta opção de ação seja apresentada no assistente Tomar ações. A limpeza da cópia do remetente aplica-se a e-mails intra-organização e e-mails de saída, garantindo que apenas a cópia do remetente é eliminada de forma recuperável para estas mensagens de e-mail. As mensagens de entrada estão fora do âmbito.

    Veja a seguinte consulta como referência:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

Também pode fornecer um nome de remediação e uma breve descrição da ação tomada para controlá-la facilmente no histórico do centro de ação. Também pode utilizar o ID de Aprovação para filtrar estas ações no centro de ação. Este ID é fornecido no final do assistente:

assistente de ações a mostrar a escolha de ações para entidades

Estas ações de e-mail também são aplicáveis a deteções personalizadas .

Rever as ações executadas

Cada ação é gravada individualmente no centro de ação emHistórico do Centro > de Ação(security.microsoft.com/action-center/history). Aceda ao centro de ação para verificar o estado de cada ação.

Observação

Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative o Microsoft Defender XDR para procurar ameaças com mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados do Microsoft Defender para Endpoint para o Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.