Configurar recursos avançados no Defender para Ponto de Extremidade

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dependendo dos produtos de segurança da Microsoft usados, alguns recursos avançados podem estar disponíveis para integrar o Defender para Ponto de Extremidade.

Habilitar recursos avançados

  1. Faça logon no Microsoft 365 Defender usando uma conta com o administrador de segurança ou Administrador global função atribuída.

  2. No painel de navegação, selecione Configurações>Pontos de ExtremidadeRecursos avançados>.

  3. Selecione o recurso avançado que você deseja configurar e alterne a configuração entre Ativado e Desativado.

  4. Selecione Salvar preferências.

Use os seguintes recursos avançados para obter melhor proteção contra arquivos potencialmente mal-intencionados e obter uma melhor visão durante investigações de segurança.

Investigação automatizada

Ative esse recurso para aproveitar os recursos automatizados de investigação e correção do serviço. Para obter mais informações, consulte Investigação automatizada.

Resposta Imediata

Observação

A resposta ao vivo requer que a investigação automatizada seja ativada antes que você possa habilitá-la na seção de configurações avançadas no portal Microsoft Defender para Ponto de Extremidade.

Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo em dispositivos.

Para obter mais informações sobre atribuições de função, consulte Criar e gerenciar funções.

Resposta dinâmica para servidores

Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo em servidores.

Para obter mais informações sobre atribuições de função, consulte Criar e gerenciar funções.

Execução de script sem sinal de resposta ao vivo

Habilitar esse recurso permite que você execute scripts não assinados em uma sessão de resposta ao vivo.

Sempre corrigir PUA

Aplicativos potencialmente indesejados (PUA) são uma categoria de software que pode fazer com que seu computador seja executado lentamente, exibir anúncios inesperados ou, na pior das hipóteses, instalar outro software, o que pode ser inesperado ou indesejado.

Ative esse recurso para que aplicativos potencialmente indesejados (PUA) sejam corrigidos em todos os dispositivos em seu locatário, mesmo que a proteção PUA não esteja configurada nos dispositivos. Essa ativação do recurso ajuda a proteger os usuários de instalar inadvertidamente aplicativos indesejados em seu dispositivo. Quando desativada, a correção depende da configuração do dispositivo.

Restringir a correlação a dentro de grupos de dispositivos com escopo

Essa configuração pode ser usada para cenários em que as operações locais do SOC gostariam de limitar as correlações de alerta apenas aos grupos de dispositivos que podem acessar. Ao ativar essa configuração, um incidente composto por alertas que os grupos entre dispositivos não serão mais considerados um único incidente. Em seguida, o SOC local pode tomar medidas sobre o incidente porque eles têm acesso a um dos grupos de dispositivos envolvidos. No entanto, o SOC global verá vários incidentes diferentes por grupo de dispositivos em vez de um incidente. Não recomendamos ativar essa configuração a menos que isso supere os benefícios da correlação de incidentes em toda a organização.

Observação

  • Alterar essa configuração afeta apenas correlações de alerta futuras.

  • Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Habilitar o EDR no modo de bloco

O EDR (detecção e resposta) de ponto de extremidade no modo de bloco fornece proteção contra artefatos mal-intencionados, mesmo quando Microsoft Defender Antivírus está em execução no modo passivo. Quando ativado, o EDR no modo de bloco bloqueia artefatos mal-intencionados ou comportamentos detectados em um dispositivo. O EDR no modo de bloco funciona nos bastidores para corrigir artefatos mal-intencionados detectados após a violação.

Alertas corrigidos do Autoresolve

Para locatários criados em ou após Windows 10, versão 1809, a investigação automatizada e a capacidade de correção são configuradas por padrão para resolver alertas em que o status do resultado da análise automatizada é "Nenhuma ameaça encontrada" ou "Remediada". Se você não quiser ter alertas resolvidos automaticamente, precisará desativar manualmente o recurso.

Dica

Para locatários criados antes dessa versão, você precisará ativar manualmente esse recurso na página Recursos avançados .

Observação

  • O resultado da ação de resolução automática pode influenciar o cálculo do nível de risco do dispositivo, que se baseia nos alertas ativos encontrados em um dispositivo.
  • Se um analista de operações de segurança definir manualmente o status de um alerta como "Em andamento" ou "Resolvido" a funcionalidade de resolução automática não o substituirá.

Permitir ou bloquear arquivo

O bloqueio só estará disponível se sua organização atender a esses requisitos:

  • Usa Microsoft Defender Antivírus como a solução antimalware ativa e,
  • O recurso de proteção baseado em nuvem está habilitado

Esse recurso permite bloquear arquivos potencialmente mal-intencionados em sua rede. Bloquear um arquivo impedirá que ele seja lido, gravado ou executado em dispositivos em sua organização.

Para ativar Permitir ou bloquear arquivos:

  1. No painel de navegação, selecione Configurações> Pontos de ExtremidadeRecursos>avançados>gerais>Permitir ou bloquear arquivo.

  2. Alterne a configuração entre Ativar e Desativar.

    A tela Pontos de Extremidade

  3. Selecione Salvar preferências na parte inferior da página.

Depois de ativar esse recurso, você pode bloquear arquivos por meio da guia Adicionar Indicador na página de perfil de um arquivo.

Indicadores de rede personalizados

Ativar esse recurso permite que você crie indicadores para endereços IP, domínios ou URLs, que determinam se eles serão permitidos ou bloqueados com base em sua lista de indicadores personalizados.

Para usar esse recurso, os dispositivos devem estar executando Windows 10 versão 1709 ou posterior ou Windows 11. Eles também devem ter proteção de rede no modo de bloco e versão 4.18.1906.3 ou posterior da plataforma antimalware ver KB 4052623.

Para obter mais informações, consulte Gerenciar indicadores.

Observação

A proteção de rede aproveita os serviços de reputação que processam solicitações em locais que podem estar fora do local selecionado para os dados do Defender para Ponto de Extremidade.

Proteção contra adulteração

Durante alguns tipos de ataques cibernéticos, maus atores tentam desabilitar recursos de segurança, como proteção antivírus, em seus computadores. Os maus atores gostam de desabilitar seus recursos de segurança para obter acesso mais fácil aos seus dados, instalar malware ou explorar seus dados, identidade e dispositivos.

A proteção contra adulteração essencialmente bloqueia Microsoft Defender Antivírus e impede que suas configurações de segurança sejam alteradas por meio de aplicativos e métodos.

Esse recurso estará disponível se sua organização usar Microsoft Defender Proteção baseada em Nuvem e Antivírus está habilitada. Para obter mais informações, confira Usar tecnologias de próxima geração no Microsoft Defender Antivírus por meio da proteção fornecida pela nuvem.

Mantenha a proteção contra adulteração ativada para evitar alterações indesejadas em sua solução de segurança e seus recursos essenciais.

Mostrar detalhes do usuário

Ative esse recurso para que você possa ver os detalhes do usuário armazenados no Azure Active Directory. Os detalhes incluem as informações de imagem, nome, título e departamento de um usuário ao investigar entidades de conta de usuário. Você pode encontrar informações da conta de usuário nas seguintes exibições:

  • Fila de alertas
  • Página de detalhes do dispositivo

Para obter mais informações, consulte Investigar uma conta de usuário.

integração Skype for Business

Habilitar a integração Skype for Business oferece a capacidade de se comunicar com usuários usando Skype for Business, email ou telefone. Essa ativação pode ser útil quando você precisa se comunicar com o usuário e mitigar riscos.

Observação

Quando um dispositivo está sendo isolado da rede, há um pop-up em que você pode optar por habilitar as comunicações do Outlook e do Skype que permitem comunicações com o usuário enquanto eles são desconectados da rede. Essa configuração se aplica à comunicação do Skype e do Outlook quando os dispositivos estão no modo de isolamento.

integração Microsoft Defender para Identidade

A integração com Microsoft Defender para Identidade permite que você gire diretamente em outro produto de segurança do Microsoft Identity. Microsoft Defender para Identidade aumenta uma investigação com mais informações sobre uma conta comprometida suspeita e recursos relacionados. Ao habilitar esse recurso, você enriquecerá a funcionalidade de investigação baseada em dispositivo, pivotando em toda a rede do ponto de vista de identificação.

Observação

Você precisará ter a licença apropriada para habilitar esse recurso.

Office 365 conexão com a Inteligência contra Ameaças

Esse recurso só estará disponível se você tiver um Office 365 E5 ativo ou o complemento inteligência contra ameaças. Para obter mais informações, consulte a página do produto Office 365 Enterprise E5.

Ao ativar esse recurso, você poderá incorporar dados de Microsoft Defender para Office 365 em Microsoft 365 Defender para conduzir uma investigação de segurança abrangente em caixas de correio Office 365 e dispositivos Windows.

Observação

Você precisará ter a licença apropriada para habilitar esse recurso.

Para receber a integração de dispositivo contextual no Office 365 Inteligência contra Ameaças, você precisará habilitar as configurações do Defender para Ponto de Extremidade no painel Conformidade de Segurança&. Para obter mais informações, consulte Investigação e resposta contra ameaças.

Notificações de ataque do ponto de extremidade

As Notificações de Ataque do Ponto de Extremidade permitem que a Microsoft procure ativamente ameaças críticas a serem priorizadas com base na urgência e no impacto sobre os dados do ponto de extremidade.

Para a busca proativa em todo o escopo de Microsoft 365 Defender, incluindo ameaças que abrangem email, colaboração, identidade, aplicativos de nuvem e pontos de extremidade, saiba mais sobre Microsoft Defender Experts.

Microsoft Defender for Cloud Apps

Habilitar essa configuração encaminha os sinais do Defender para Ponto de Extremidade para Microsoft Defender para Aplicativos de Nuvem para fornecer uma visibilidade mais profunda sobre o uso do aplicativo na nuvem. Os dados encaminhados são armazenados e processados no mesmo local que os dados do Defender para Aplicativos de Nuvem.

Observação

Esse recurso estará disponível com uma licença E5 para Enterprise Mobility + Security em dispositivos que executam Windows 10, versão 1709 (Build 16299.1085 do sistema operacional com KB4493441), Windows 10, versão 1803 (BUILD do SISTEMA OPERACIONAL 17134.704 com KB4493464), Windows 10, versão 1809 (Compilação do sistema operacional 17763.379 com KB4489899), versões posteriores Windows 10 ou Windows 11.

Habilitar a integração Microsoft Defender para Ponto de Extremidade do portal Microsoft Defender para Identidade

Para receber a integração de dispositivo contextual no Microsoft Defender para Identidade, você também precisará habilitar o recurso no portal Microsoft Defender para Identidade.

  1. Entre no portal Microsoft Defender para Identidade com uma função administrador global ou administrador de segurança.

  2. Selecione Criar sua instância.

  3. Alterne a configuração de integração para Ativado e selecione Salvar.

Depois de concluir as etapas de integração em ambos os portais, você poderá ver alertas relevantes na página de detalhes do dispositivo ou detalhes do usuário.

Filtragem de conteúdo da Web

Bloqueie o acesso a sites que contêm conteúdo indesejado e acompanhe a atividade da Web em todos os domínios. Para especificar as categorias de conteúdo da Web que você deseja bloquear, crie uma política de filtragem de conteúdo da Web. Verifique se você tem proteção de rede no modo de bloco ao implantar a linha de base de segurança Microsoft Defender para Ponto de Extremidade.

Compartilhar alertas de ponto de extremidade com portal de conformidade do Microsoft Purview

Encaminha alertas de segurança do ponto de extremidade e seu status de triagem para portal de conformidade do Microsoft Purview, permitindo que você aprimore as políticas de gerenciamento de riscos internos com alertas e corrija riscos internos antes que eles causem danos. Os dados encaminhados são processados e armazenados no mesmo local que seus dados de Office 365.

Depois de configurar os indicadores de violação da política de segurança nas configurações de gerenciamento de risco interno, os alertas do Defender para Ponto de Extremidade serão compartilhados com o gerenciamento de risco interno para usuários aplicáveis.

Telemetria autenticada

Você pode ativar a telemetria autenticada para evitar a falsificação da telemetria no painel.

Microsoft Intune conexão

O Defender para Ponto de Extremidade pode ser integrado com Microsoft Intune para habilitar o acesso condicional baseado em risco do dispositivo. Ao ativar esse recurso, você poderá compartilhar informações de dispositivo do Defender para Ponto de Extremidade com Intune, aprimorando a aplicação da política.

Importante

Você precisará habilitar a integração no Intune e no Defender para Ponto de Extremidade para usar esse recurso. Para obter mais informações sobre etapas específicas, consulte Configurar acesso condicional no Defender para Ponto de Extremidade.

Esse recurso só estará disponível se você tiver os seguintes pré-requisitos:

  • Um locatário licenciado para Enterprise Mobility + Security E3 e Windows E5 (ou Microsoft 365 Enterprise E5)
  • Um ambiente de Microsoft Intune ativo, com dispositivos Windows gerenciados por Intune Azure AD unidos.

Política de acesso condicional

Quando você habilita Intune integração, Intune criará automaticamente uma política clássica de AC (Acesso Condicional). Essa política clássica de AC é um pré-requisito para configurar relatórios de status para Intune. Ele não deve ser excluído.

Observação

A política de AC clássica criada por Intune é distinta das políticas modernas de acesso condicional, que são usadas para configurar pontos de extremidade.

Descoberta de dispositivo

Ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras ou alterações de processo complicadas. Usando dispositivos integrados, você pode encontrar dispositivos não gerenciados em sua rede e avaliar vulnerabilidades e riscos. Para obter mais informações, consulte Descoberta de dispositivo.

Observação

Você sempre pode aplicar filtros para excluir dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração em consultas de API para filtrar dispositivos não gerenciados.

Visualização prévia de recursos

Saiba mais sobre os novos recursos na versão prévia do Defender para Ponto de Extremidade. Experimente os próximos recursos ativando a experiência de visualização.

Você terá acesso aos recursos futuros, sobre os quais você pode fornecer comentários para ajudar a melhorar a experiência geral antes que os recursos estejam geralmente disponíveis.

Baixar arquivos em quarentena

Fazer backup de arquivos em quarentena em um local seguro e compatível para que eles possam ser baixados diretamente da quarentena. O botão Baixar arquivo sempre estará disponível na página do arquivo. Essa configuração é ativada por padrão. Saiba mais sobre os requisitos