Detalhes e resultados de uma investigação automatizada
Aplica-se a:
- Microsoft Defender XDR
Com Microsoft Defender XDR, quando uma investigação automatizada é executada, detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se você tiver as permissões necessárias, poderá exibir esses detalhes em uma exibição de detalhes da investigação que fornece status atualizados e a capacidade de aprovar quaisquer ações pendentes.
(NOVO) Página de investigação unificada
A página de investigação foi atualizada recentemente para incluir informações em seus dispositivos, email e conteúdo de colaboração. A nova página de investigação unificada define uma linguagem comum e fornece uma experiência unificada para investigações automáticas entre Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365. Para acessar a página de investigação unificada, selecione o link na faixa amarela em que você verá:
- Qualquer página de investigação no portal de conformidade do Microsoft Purview
- Qualquer página de investigação no portal do Microsoft Defender (https://security.microsoft.com)
- Qualquer incidente ou experiência do Centro de Ações no portal do Microsoft Defender
Abrir a exibição de detalhes da investigação
Você pode abrir a exibição de detalhes da investigação usando um destes métodos:
- Selecionar um item na central de Ações
- Selecionar uma investigação em uma página de detalhes do incidente
Selecionar um item na central de Ações
O Centro de Ação aprimorado (https://security.microsoft.com/action-center) reúne ações de correção em seus dispositivos, conteúdo de colaboração & email e identidades. As ações listadas incluem ações de correção que foram executadas automaticamente ou manualmente. Na Central de ações, você pode exibir ações que estão aguardando aprovação e ações que já foram aprovadas ou concluídas. Você também pode navegar para obter mais detalhes, como uma página de investigação.
Dica
Você deve ter certas permissões para aprovar, rejeitar ou desfazer ações.
Acesse Microsoft Defender portal e entre.
No painel de navegação, escolha Central de ações.
Na guia Pendenteou Histórico, selecione um item. Seu painel de sobrevoo é aberto.
Examine as informações no painel de sobrevoo e siga uma das seguintes etapas:
- Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir que uma ação pendente seja executada.
- Selecione Ir caçar para ir à caça avançada.
Abrir uma investigação em uma página de detalhes do incidente
Use uma página de detalhes do incidente para exibir informações detalhadas sobre um incidente, incluindo os alertas que foram disparados com informações sobre os dispositivos afetados, contas de usuários ou caixas de correio.
Acesse Microsoft Defender portal e entre.
No painel de navegação, escolha Incidentes & alertas Incidentes>.
Selecione um item na lista e escolha Abrir página de incidentes.
Selecione a guia Investigações e, em seguida, selecione uma investigação na lista. Seu painel de sobrevoo é aberto.
Selecione Abrir página de investigação.
Veja um exemplo.
Detalhes da investigação
Use o modo de exibição de detalhes da investigação para ver as atividades antigas, atuais e pendentes referentes a uma investigação. Veja um exemplo.
Na exibição de detalhes da investigação, você pode ver as informações nas guias Gráfico de Investigação, Alertas, Dispositivos, Identidades, Principais descobertas, Entidades,Log e Ações pendentes, descritas na tabela a seguir.
Observação
As guias específicas que você vê em uma página de detalhes de investigação dependem do que sua assinatura inclui. Por exemplo, se sua assinatura não incluir Microsoft Defender para Office 365 Plano 2, você não verá uma guia Caixas de Correio.
| Guia | Descrição |
|---|---|
| Gráficos de investigação | Oferece uma representação visual da investigação. Descreve entidades e lista as ameaças encontradas, juntamente com os alertas, e se as ações estão aguardando aprovação. Você pode selecionar um item no gráfico para exibir mais detalhes. Por exemplo, selecionar o ícone Evidência leva você para a guia Evidências , onde você pode ver entidades detectadas e seus veredictos. |
| Alertas | Lista os alertas associados à investigação. Os alertas podem vir de recursos de proteção contra ameaças no dispositivo do usuário, em aplicativos do Office, Microsoft Defender para Aplicativos de Nuvem e outros recursos Microsoft Defender XDR. Se você vir o tipo de alerta sem suporte, significa que os recursos de investigação automatizados não podem pegar esse alerta para executar uma investigação automatizada. No entanto, você pode investigar esses alertas manualmente. |
| Dispositivos | Listas dispositivos incluídos na investigação junto com seu nível de correção. (Os níveis de correção correspondem ao nível de automação para grupos de dispositivos.) |
| Caixas de correio | Listas caixas de correio afetadas por ameaças detectadas. |
| Usuários | Listas contas de usuário afetadas por ameaças detectadas. |
| Evidências | Listas evidências levantadas por alertas ou investigações. Inclui os vereditos (Mal-intencionado, Suspeito, Desconhecido ou Nenhuma ameaça encontrada) e o status da correção. |
| Entities | Fornece detalhes sobre cada entidade analisada, incluindo um veredito para cada tipo de entidade (Maliciosa, Suspeita ou Nenhuma ameaça encontrada). |
| Log | Fornece uma exibição cronológica e detalhada de todas as ações de investigação executadas depois que um alerta foi disparado. |
| Histórico de ações pendentes | Lista os itens que exigem aprovação para prosseguir. Acesse a Central de Ações (https://security.microsoft.com/action-center) para aprovar ações pendentes. |
Estados de investigação
A tabela a seguir lista os estados de investigação e o que eles indicam.
| Estado de investigação | Definição |
|---|---|
| Benigno | Artefatos foram investigados e foi feita uma determinação de que nenhuma ameaça foi encontrada. |
| PendingResource | Uma investigação automatizada é pausada porque uma ação de correção está pendente de aprovação ou o dispositivo no qual um artefato foi encontrado está temporariamente indisponível. |
| UnsupportedAlertType | Uma investigação automatizada não está disponível para esse tipo de alerta. Uma investigação adicional pode ser feita manualmente usando a caça avançada. |
| Falhou | Pelo menos um analisador de investigação teve um problema em que não pôde concluir a investigação. Se uma investigação falhar após a aprovação das ações de correção, as ações de correção ainda poderão ter sido bem-sucedidas. |
| Correção com êxito | Uma investigação automatizada foi concluída e todas as ações de correção foram concluídas ou aprovadas. |
Para fornecer mais contexto sobre como os estados de investigação aparecem, a tabela a seguir lista alertas e seu estado de investigação automatizado correspondente. Esta tabela é incluída como um exemplo do que uma equipe de operações de segurança pode ver no portal Microsoft Defender.
| Nome do alerta | Severity | Estado de investigação | Status | Categoria |
|---|---|---|---|---|
| O malware foi detectado em um arquivo de imagem de disco wim | Informativo | Benigno | Resolvido | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | UnsupportedAlertType | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | UnsupportedAlertType | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | UnsupportedAlertType | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O hacktool do Wpakill foi impedido | Baixo | Falhou | Novo | Malware |
| GendowsBatch hacktool foi impedido | Baixo | Falhou | Novo | Malware |
| O hacktool keygen foi evitado | Baixo | Falhou | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo zip | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de arquivo rar | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de imagem de disco iso | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de imagem de disco iso | Informativo | PendingResource | Novo | Malware |
| O malware foi detectado em um arquivo de dados do outlook pst | Informativo | UnsupportedAlertType | Novo | Malware |
| O malware foi detectado em um arquivo de dados do outlook pst | Informativo | UnsupportedAlertType | Novo | Malware |
| MediaGet detectado | Médio | Parcialmente Investigado | Novo | Malware |
| TrojanEmailFile | Médio | Com êxitoRemediado | Resolvido | Malware |
| O malware CustomEnterpriseBlock foi evitado | Informativo | Com êxitoRemediado | Resolvido | Malware |
| Um malware CustomEnterpriseBlock ativo foi bloqueado | Baixo | Com êxitoRemediado | Resolvido | Malware |
| Um malware CustomEnterpriseBlock ativo foi bloqueado | Baixo | Com êxitoRemediado | Resolvido | Malware |
| Um malware CustomEnterpriseBlock ativo foi bloqueado | Baixo | Com êxitoRemediado | Resolvido | Malware |
| TrojanEmailFile | Médio | Benigno | Resolvido | Malware |
| O malware CustomEnterpriseBlock foi evitado | Informativo | UnsupportedAlertType | Novo | Malware |
| O malware CustomEnterpriseBlock foi evitado | Informativo | Com êxitoRemediado | Resolvido | Malware |
| TrojanEmailFile | Médio | Com êxitoRemediado | Resolvido | Malware |
| TrojanEmailFile | Médio | Benigno | Resolvido | Malware |
| Um malware CustomEnterpriseBlock ativo foi bloqueado | Baixo | PendingResource | Novo | Malware |
Próximas etapas
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.