Configurar recursos avançados no Defender para Ponto de Extremidade

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Dependendo dos produtos de segurança da Microsoft usados, alguns recursos avançados podem estar disponíveis para integrar o Defender para Ponto de Extremidade.

Habilitar recursos avançados

1. Faça logon no Microsoft Defender XDR usando uma conta com o administrador de segurança ou Administrador global função atribuída.

2. No painel de navegação, selecione Configurações>Pontos de ExtremidadeRecursos avançados>.

3. Selecione o recurso avançado que você deseja configurar e alterne a configuração entre Ativar e Desativar.

4. Selecione Salvar preferências.

Use os seguintes recursos avançados para obter melhor proteção contra arquivos potencialmente mal-intencionados e obter uma melhor visão durante investigações de segurança.

Resposta Imediata

Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo em dispositivos.

Para obter mais informações sobre atribuições de função, consulte Criar e gerenciar funções.

Resposta dinâmica para servidores

Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo em servidores.

Para obter mais informações sobre atribuições de função, consulte Criar e gerenciar funções.

Execução de script sem sinal de resposta ao vivo

Habilitar esse recurso permite que você execute scripts não assinados em uma sessão de resposta ao vivo.

Restringir a correlação a dentro de grupos de dispositivos com escopo

Essa configuração pode ser usada para cenários em que as operações locais do SOC gostariam de limitar as correlações de alerta apenas aos grupos de dispositivos que podem acessar. Ao ativar essa configuração, um incidente composto por alertas que os grupos entre dispositivos não serão mais considerados um único incidente. Em seguida, o SOC local pode tomar medidas sobre o incidente porque eles têm acesso a um dos grupos de dispositivos envolvidos. No entanto, o SOC global verá vários incidentes diferentes por grupo de dispositivos em vez de um incidente. Não recomendamos ativar essa configuração a menos que isso supere os benefícios da correlação de incidentes em toda a organização.

Observação

• Alterar essa configuração afeta apenas correlações de alerta futuras.

• Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Habilitar o EDR no modo de bloco

O EDR (detecção e resposta) de ponto de extremidade no modo de bloco fornece proteção contra artefatos mal-intencionados, mesmo quando Microsoft Defender Antivírus está em execução no modo passivo. Quando ativado, o EDR no modo de bloco bloqueia artefatos mal-intencionados ou comportamentos detectados em um dispositivo. O EDR no modo de bloco funciona nos bastidores para corrigir artefatos mal-intencionados detectados após a violação.

Alertas corrigidos do Autoresolve

Para locatários criados em ou após Windows 10, versão 1809, a investigação automatizada e a capacidade de correção são configuradas por padrão para resolve alertas em que o resultado da análise automatizada status é "Nenhuma ameaça encontrada" ou "Correção". Se você não quiser ter alertas resolvidos automaticamente, precisará desativar manualmente o recurso.

Dica

Para locatários criados antes dessa versão, você precisará ativar manualmente esse recurso na página Recursos avançados .

Observação

• O resultado da ação de resolve automática pode influenciar o cálculo do nível de risco do dispositivo, que se baseia nos alertas ativos encontrados em um dispositivo.
• Se um analista de operações de segurança definir manualmente o status de um alerta como "Em andamento" ou "Resolvido" o recurso de resolve automático não o substituirá.

Permitir ou bloquear arquivo

O bloqueio só estará disponível se sua organização atender a esses requisitos:

• Usa Microsoft Defender Antivírus como a solução antimalware ativa e,
• O recurso de proteção baseado em nuvem está habilitado

Esse recurso permite bloquear arquivos potencialmente mal-intencionados em sua rede. Bloquear um arquivo impedirá que ele seja lido, gravado ou executado em dispositivos em sua organização.

Para ativar Permitir ou bloquear arquivos:

1. No painel de navegação, selecione Configurações> Pontos de ExtremidadeRecursos>avançados>gerais>Permitir ou bloquear arquivo.

2. Alterne a configuração entre Ativar e Desativar.

   

3. Selecione Salvar preferências na parte inferior da página.

Depois de ativar esse recurso, você pode bloquear arquivos por meio da guia Adicionar Indicador na página de perfil de um arquivo.

Ocultar registros de dispositivo duplicados potenciais

Ao habilitar esse recurso, você pode garantir que está vendo as informações mais precisas sobre seus dispositivos escondendo possíveis registros duplicados do dispositivo. Há diferentes razões para que registros de dispositivo duplicados possam ocorrer, por exemplo, a funcionalidade de descoberta de dispositivos em Microsoft Defender para Ponto de Extremidade pode examinar sua rede e descobrir um dispositivo que já está integrado ou foi recentemente desativado.

Esse recurso identificará possíveis dispositivos duplicados com base em seu nome de host e na última vez vista. Os dispositivos duplicados serão ocultos de várias experiências no portal, como inventário de dispositivos, páginas Gerenciamento de Vulnerabilidades do Microsoft Defender e APIs públicas para dados de máquina, deixando o registro de dispositivo mais preciso visível. No entanto, as duplicatas ainda estarão visíveis em páginas de pesquisa global, caça avançada, alertas e incidentes.

Essa configuração é ativada por padrão e é aplicada em todo o locatário. Se você não quiser ocultar possíveis registros duplicados do dispositivo, precisará desativar manualmente o recurso.

Indicadores de rede personalizados

Ativar esse recurso permite que você crie indicadores para endereços IP, domínios ou URLs, que determinam se eles serão permitidos ou bloqueados com base em sua lista de indicadores personalizados.

Para usar esse recurso, os dispositivos devem estar executando Windows 10 versão 1709 ou posterior ou Windows 11. Eles também devem ter proteção de rede no modo de bloco e versão 4.18.1906.3 ou posterior da plataforma antimalware ver KB 4052623.

Para obter mais informações, consulte Gerenciar indicadores.

Observação

A proteção de rede aproveita os serviços de reputação que processam solicitações em locais que podem estar fora do local selecionado para os dados do Defender para Ponto de Extremidade.

Proteção contra adulteração

Durante alguns tipos de ataques cibernéticos, maus atores tentam desabilitar recursos de segurança, como proteção contra antivírus, em seus computadores. Os maus atores gostam de desabilitar seus recursos de segurança para obter acesso mais fácil aos seus dados, instalar malware ou explorar seus dados, identidade e dispositivos. A proteção contra adulteração essencialmente bloqueia Microsoft Defender Antivírus e impede que suas configurações de segurança sejam alteradas por meio de aplicativos e métodos.

Para obter mais informações, incluindo como configurar a proteção contra adulterações, consulte Proteger configurações de segurança com proteção contra adulteração.

Mostrar detalhes do usuário

Ative esse recurso para que você possa ver os detalhes do usuário armazenados em Microsoft Entra ID. Os detalhes incluem as informações de imagem, nome, título e departamento de um usuário ao investigar entidades de conta de usuário. Você pode encontrar informações da conta de usuário nas seguintes exibições:

• Fila de alertas
• Página de detalhes do dispositivo

Para obter mais informações, consulte Investigar uma conta de usuário.

integração Skype for Business

Habilitar a integração Skype for Business oferece a capacidade de se comunicar com usuários usando Skype for Business, email ou telefone. Essa ativação pode ser útil quando você precisa se comunicar com o usuário e mitigar riscos.

Observação

Quando um dispositivo está sendo isolado da rede, há um pop-up em que você pode optar por habilitar as comunicações do Outlook e do Skype que permitem comunicações com o usuário enquanto eles são desconectados da rede. Essa configuração se aplica à comunicação do Skype e do Outlook quando os dispositivos estão no modo de isolamento.

Office 365 conexão com a Inteligência contra Ameaças

Importante

Essa configuração foi usada quando Microsoft Defender para Office 365 e Microsoft Defender para Ponto de Extremidade estavam em portais diferentes anteriormente. Após a convergência de experiências de segurança em um portal unificado que agora é chamado de Microsoft Defender XDR, essas configurações são irrelevantes e não têm nenhuma funcionalidade associada a elas. Você pode ignorar com segurança o status do controle até que ele seja removido do portal.

Esse recurso só estará disponível se você tiver uma assinatura ativa para Office 365 E5 ou o complemento inteligência contra ameaças. Para obter mais informações, consulte a página Office 365 E5 produto.

Esse recurso permite que você incorpore dados de Microsoft Defender para Office 365 em Microsoft Defender XDR para conduzir uma investigação de segurança abrangente entre caixas de correio Office 365 e dispositivos Windows.

Observação

Você precisará ter a licença apropriada para habilitar esse recurso.

Para receber a integração de dispositivo contextual no Office 365 Inteligência contra Ameaças, você precisará habilitar as configurações do Defender para Ponto de Extremidade no dashboard de Conformidade do & de Segurança. Para obter mais informações, consulte Investigação e resposta contra ameaças.

Notificações de ataque do ponto de extremidade

As Notificações de Ataque do Ponto de Extremidade permitem que a Microsoft procure ativamente ameaças críticas a serem priorizadas com base na urgência e no impacto sobre os dados do ponto de extremidade.

Para a busca proativa em todo o escopo de Microsoft Defender XDR, incluindo ameaças que abrangem email, colaboração, identidade, aplicativos de nuvem e pontos de extremidade, saiba mais sobre Microsoft Defender Experts.

Microsoft Defender for Cloud Apps

Habilitar essa configuração encaminha os sinais do Defender para Ponto de Extremidade para Microsoft Defender para Aplicativos de Nuvem para fornecer uma visibilidade mais profunda sobre o uso do aplicativo na nuvem. Os dados encaminhados são armazenados e processados no mesmo local que os dados do Defender para Aplicativos de Nuvem.

Observação

Esse recurso estará disponível com uma licença E5 para Enterprise Mobility + Security em dispositivos que executam Windows 10, versão 1709 (Build 16299.1085 do sistema operacional com KB4493441), Windows 10, versão 1803 (Build 17134.704 do sistema operacional com KB4493464), Windows 10, versão 1809 (Compilação do sistema operacional 17763.379 com KB4489899), versões posteriores Windows 10 ou Windows 11.

Habilitar a integração Microsoft Defender para Ponto de Extremidade do portal Microsoft Defender para Identidade

Para receber a integração de dispositivo contextual no Microsoft Defender para Identidade, você também precisará habilitar o recurso no portal Microsoft Defender para Identidade.

1. Entre no portal Microsoft Defender para Identidade com uma função administrador global ou administrador de segurança.

2. Selecione Criar sua instância.

3. Alterne a configuração de integração para Ativado e selecione Salvar.

Depois de concluir as etapas de integração em ambos os portais, você poderá ver alertas relevantes na página de detalhes do dispositivo ou detalhes do usuário.

Filtragem de conteúdo da Web

Bloqueie o acesso a sites que contêm conteúdo indesejado e acompanhe a atividade da Web em todos os domínios. Para especificar as categorias de conteúdo da Web que você deseja bloquear, crie uma política de filtragem de conteúdo da Web. Verifique se você tem proteção de rede no modo de bloco ao implantar a linha de base de segurança Microsoft Defender para Ponto de Extremidade.

Compartilhar alertas de ponto de extremidade com portal de conformidade do Microsoft Purview

Encaminha alertas de segurança do ponto de extremidade e seus status de triagem para portal de conformidade do Microsoft Purview, permitindo que você aprimore as políticas de gerenciamento de riscos internos com alertas e corrija riscos internos antes que eles causem danos. Os dados encaminhados são processados e armazenados no mesmo local que seus dados de Office 365.

Depois de configurar os indicadores de violação da política de segurança nas configurações de gerenciamento de risco interno, os alertas do Defender para Ponto de Extremidade serão compartilhados com o gerenciamento de risco interno para usuários aplicáveis.

Telemetria autenticada

Você pode ativar a telemetria autenticada para evitar a falsificação da telemetria em seu dashboard.

Microsoft Intune conexão

O Defender para Ponto de Extremidade pode ser integrado com Microsoft Intune para habilitar o acesso condicional baseado em risco do dispositivo. Ao ativar esse recurso, você poderá compartilhar informações de dispositivo do Defender para Ponto de Extremidade com Intune, aprimorando a aplicação da política.

Importante

Você precisará habilitar a integração no Intune e no Defender para Ponto de Extremidade para usar esse recurso. Para obter mais informações sobre etapas específicas, consulte Configurar acesso condicional no Defender para Ponto de Extremidade.

Esse recurso só estará disponível se você tiver os seguintes pré-requisitos:

• Um locatário licenciado para Enterprise Mobility + Security E3 e Windows E5 (ou Microsoft 365 Enterprise E5)
• Um ambiente de Microsoft Intune ativo, com dispositivos Windows gerenciados por Intune Microsoft Entra unidos.

Política de acesso condicional

Quando você habilita Intune integração, Intune criará automaticamente uma política clássica de AC (Acesso Condicional). Essa política clássica de AC é um pré-requisito para configurar status relatórios para Intune. Ele não deve ser excluído.

Observação

A política de AC clássica criada por Intune é distinta das políticas modernas de acesso condicional, que são usadas para configurar pontos de extremidade.

Descoberta de dispositivo

Ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras ou alterações de processo complicadas. Usando dispositivos integrados, você pode encontrar dispositivos não gerenciados em sua rede e avaliar vulnerabilidades e riscos. Para obter mais informações, consulte Descoberta de dispositivo.

Observação

Você sempre pode aplicar filtros para excluir os dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.

Visualização prévia de recursos

Saiba mais sobre os novos recursos na versão prévia do Defender para Ponto de Extremidade. Experimente os próximos recursos ativando a experiência de visualização.

Você terá acesso aos recursos futuros, sobre os quais você pode fornecer comentários para ajudar a melhorar a experiência geral antes que os recursos estejam geralmente disponíveis.

Baixar arquivos em quarentena

Fazer backup de arquivos em quarentena em um local seguro e compatível para que eles possam ser baixados diretamente da quarentena. O botão Baixar arquivo sempre estará disponível na página do arquivo. Essa configuração é ativada por padrão. Saiba mais sobre os requisitos

Conectividade simplificada durante a integração do dispositivo (versão prévia)

Essa configuração definirá o pacote de integração padrão como "simplificado" para sistemas operacionais aplicáveis.

Você ainda terá a opção de usar o pacote de integração padrão na página de integração, mas precisará selecioná-lo especificamente na lista suspensa.

Tópicos relacionados

• Atualizar configurações de retenção de dados
• Configurar notificações de alerta

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.