Introdução ao plano 1 do Microsoft Defender para Ponto de Extremidade

Aplica-se a:

O portal Microsoft 365 Defender (https://security.microsoft.com) permite exibir informações sobre ameaças detectadas, gerenciar seus alertas e incidentes, tomar qualquer ação necessária sobre ameaças detectadas e gerenciar dispositivos. O portal Microsoft 365 Defender é onde você pode começar a interagir com as funcionalidades de proteção contra ameaças que você obtém com o Plano 1 do Defender para Ponto de Extremidade. As seções a seguir descrevem como começar:

O portal do Microsoft 365 Defender

O portal Microsoft 365 Defender (https://security.microsoft.com) é onde você exibirá alertas, gerenciará dispositivos e exibirá relatórios. Ao entrar no portal Microsoft 365 Defender, você começará com a página Inicial, conforme mostrado na seguinte imagem:

O portal do Microsoft 365 Defender

A página Inicial fornece à sua equipe de segurança uma exibição agregada de instantâneo de alertas, status do dispositivo e ameaças detectadas. O Defender para Nuvem está configurado para que sua equipe de operações de segurança possa encontrar as informações que estão procurando de forma rápida e fácil.

Observação

Nossos exemplos mostrados neste artigo podem ser diferentes do que você vê em seu portal de Microsoft 365 Defender. O que você vê em seu portal depende de suas licenças e permissões. Além disso, sua equipe de segurança pode personalizar o portal da sua organização adicionando, removendo e reorganizando cartões.

Cartões realçam informações de chave e incluem recomendações

A página Inicial inclui cartões, como o cartão incidentes ativo mostrado na seguinte imagem:

O cartão incidentes ativos

O cartão fornece informações rapidamente, juntamente com um link ou botão que você pode selecionar para exibir informações mais detalhadas. Referindo-se ao nosso exemplo de cartão de incidentes ativos, podemos selecionar Exibir todos os incidentes para navegar até nossa lista de incidentes.

A lista de incidentes

A barra de navegação no lado esquerdo da tela permite que você se mova facilmente entre incidentes, alertas, centro de ação, relatórios e configurações. A tabela a seguir descreve a barra de navegação.

Item da barra de navegação Descrição
Página Inicial Navega até a página Inicial do portal Microsoft 365 Defender.
Alertas de incidentes & Expande para mostrar Incidentes e Alertas.
Incidentes & alerta incidentes> Navega até a lista Incidentes . Os incidentes são criados quando os alertas são disparados e/ou ameaças são detectadas. Por padrão, a lista Incidentes exibe dados dos últimos 30 dias, com o incidente mais recente listado primeiro.

Para saber mais, confira Incidentes.
Alertas & de incidentes> Navega até a lista Alertas (também chamada de fila alertas). Os alertas são disparados quando um arquivo, processo ou comportamento suspeito ou mal-intencionado é detectado. Por padrão, a lista Alertas exibe dados dos últimos 30 dias, com o alerta mais recente listado primeiro.

Para saber mais, confira Alertas.
Centro de ações Navega até o Centro de Ações, que rastreia ações de correção e resposta manual. O Centro de Ações rastreia atividades como estas:
- Microsoft Defender Antivírus encontra um arquivo mal-intencionado e bloqueia/remove esse arquivo.
- Sua equipe de segurança isola um dispositivo.
– O Defender para Ponto de Extremidade detecta e coloca em quarentena um arquivo.

Para saber mais, confira Centro de ações.
Pontuação segura Exibe uma representação da postura de segurança da sua organização junto com uma lista de ações e métricas recomendadas.

Para saber mais, consulte Microsoft Pontuação Segura.
Hub de aprendizagem Navega até uma lista de caminhos de aprendizagem que você pode acessar para saber mais sobre Microsoft 365 recursos de segurança.
Extremidade>Busca Navega até uma página em que você pode pesquisar dispositivos específicos pelo nome do dispositivo. Na lista de resultados, você pode ver detalhes, como nível de risco e estado de integridade, de relance.
Extremidade>Inventário de dispositivos Navega até sua lista de dispositivos integrados ao Defender para Ponto de Extremidade. Fornece informações sobre dispositivos, como sua exposição e níveis de risco.

Para saber mais, confira Inventário de dispositivos.
Extremidade>Linhas de base de configuração & Expande para mostrar linhas de base de segurança e gerenciamento de configuração.
Extremidade>Linhas de base de configuração & Linhas>de base de segurança As linhas de base de segurança são políticas pré-configuradas e grupos de configurações que podem ajudá-lo a aplicar as configurações de segurança recomendadas de forma eficiente e eficaz. As linhas de base incluem configurações baseadas em práticas recomendadas do setor. Você pode manter as configurações padrão ou personalizar suas linhas de base para atender às necessidades da sua organização.

Para saber mais, confira Usar linhas de base de segurança para configurar Windows 10 dispositivos no Intune.
Extremidade>Gerenciamento de configuraçãode linhas de base de configuração &> Navega até a página Gerenciamento de configuração de dispositivo , onde você pode exibir informações sobre dispositivos integrados e tomar medidas para integrar mais dispositivos.
Relatórios Navega até seus relatórios, como seu relatório de proteção contra ameaças, relatório de integridade e conformidade do dispositivo e seu relatório de proteção da Web.
Integridade Inclui links para o centro de mensagens e Integridade do serviço.
Saúde>Integridade do serviço Navega até a página Integridade do serviço no Centro de administração do Microsoft 365. Esta página permite exibir o status de integridade em todos os serviços disponíveis com as assinaturas da sua organização.
Saúde>Centro de mensagens Navega até o centro de mensagens no Centro de administração do Microsoft 365. O Centro de Mensagens fornece informações sobre alterações planejadas. Cada mensagem descreve o que está por vir, como isso pode afetar os usuários e como gerenciar alterações.
Funções de permissões & Permite que você conceda permissões para usar o portal Microsoft 365 Defender. As permissões são concedidas por meio de funções no Azure Active Directory (Azure AD). Selecione uma função e um painel de sobrevoo será exibido. O flyout contém um link para Azure AD em que você pode adicionar ou remover membros em um grupo de funções.

Para saber mais, confira Gerenciar acesso ao portal usando o controle de acesso baseado em função.
Configurações Navega até configurações gerais para seu portal de Microsoft 365 Defender (listado como Central de Segurança) e Defender para Ponto de Extremidade (listado como Pontos de Extremidade).

Para saber mais, confira Configurações.
Mais recursos Exibe uma lista de mais portais e centros, como o Azure Active Directory e o portal de conformidade do Microsoft Purview.

Para saber mais, consulte Microsoft portais de segurança e centros de administração.

Dica

Para saber mais, confira a visão geral do portal Microsoft 365 Defender.

Exibir e gerenciar alertas de incidentes &

Ao entrar no portal do Microsoft 365 Defender, certifique-se de exibir e gerenciar seus incidentes e alertas. Comece com sua lista de incidentes . A imagem a seguir mostra uma lista de incidentes, incluindo um com alta gravidade e outro com gravidade média.

Lista de incidentes

Selecione um incidente para exibir detalhes sobre o incidente. Os detalhes incluem quais alertas foram disparados, quantos dispositivos e usuários foram afetados e outros detalhes. A imagem a seguir mostra um exemplo de detalhes do incidente.

Os detalhes de um incidente

Use as guias Alertas, Dispositivos e Usuários para exibir mais informações, como os alertas que foram disparados, dispositivos afetados e contas de usuário afetadas. A partir daí, você pode executar ações de resposta manuais, como isolar um dispositivo, parar e quarantinar um arquivo e assim por diante.

Dica

Para saber mais sobre como usar a exibição Incidente , consulte Gerenciar incidentes.

Gerenciar dispositivos

Para exibir e gerenciar os dispositivos da sua organização, na barra de navegação, em Pontos de Extremidade, selecione Inventário de dispositivos. Você verá uma lista de dispositivos, conforme mostrado na imagem a seguir:

Inventário de dispositivos

A lista inclui dispositivos para os quais os alertas foram gerados. Por padrão, os dados mostrados são para os últimos 30 dias, com os itens mais recentes listados primeiro. Selecione um dispositivo para exibir mais informações sobre ele. Um painel de sobrevoo é aberto, conforme mostrado na seguinte imagem:

Detalhes do dispositivo selecionado

O painel de sobrevoo exibe detalhes, como quaisquer alertas ativos para o dispositivo, e inclui links para agir, como isolar um dispositivo.

Se houver alertas ativos no dispositivo, você poderá exibi-los no painel de sobrevoo. Selecione um alerta individual para exibir mais detalhes sobre ele. Ou faça uma ação, como Isolar dispositivo, para que você possa investigar ainda mais o dispositivo, minimizando o risco de infectar outros dispositivos.

Exibir relatórios

No Plano 1 do Defender para Ponto de Extremidade, vários relatórios estão disponíveis no portal Microsoft 365 Defender. Para acessar seus relatórios, siga estas etapas:

  1. Vá para o Microsoft 365 Defender (https://security.microsoft.com) e entre.

  2. Na barra de navegação, escolha Relatórios.

  3. Selecione um relatório na lista. Você verá os três relatórios a seguir:

    • Relatório de proteção contra ameaças
    • Relatório de integridade do dispositivo
    • Relatório de proteção da Web

Dica

Para obter mais informações, consulte Relatórios de proteção contra ameaças.

Relatório de proteção contra ameaças

Para acessar o relatório de proteção contra ameaças, no portal Microsoft 365 Defender, escolha Relatórios e escolha Proteção contra ameaças. O relatório proteção contra ameaças mostra tendências de alerta, status, categorias e muito mais. As exibições são organizadas em duas colunas: tendências de alerta e status de alerta, conforme mostrado na imagem a seguir:

Relatório de proteção contra ameaças

Role para baixo para ver todas as exibições em cada lista.

  • Por padrão, as exibições na coluna Tendências de alerta exibem dados nos últimos 30 dias, mas você pode definir uma exibição para exibir dados nos últimos três meses, últimos seis meses ou um intervalo de tempo personalizado (até 180 dias).
  • As exibições na coluna Status de alerta são um instantâneo para o dia útil anterior.

Relatório de integridade do dispositivo

Para acessar o relatório de integridade do dispositivo, no portal Microsoft 365 Defender, escolha Relatórios e escolha Integridade do dispositivo. O relatório de integridade do dispositivo mostra o estado de integridade e o antivírus entre dispositivos em sua organização. Semelhante ao relatório proteção contra ameaças, as exibições são organizadas em duas colunas: tendências do dispositivo e resumo do dispositivo, conforme mostrado na seguinte imagem:

Relatório de integridade do dispositivo

Role para baixo para ver todas as exibições em cada lista. Por padrão, as exibições na coluna Tendências do dispositivo exibem dados nos últimos 30 dias, mas você pode alterar uma exibição para exibir dados nos últimos três meses, últimos seis meses ou um intervalo de tempo personalizado (até 180 dias). As exibições de resumo do dispositivo são instantâneos do dia útil anterior.

Dica

Para saber mais, confira Integridade do dispositivo.

Relatório de proteção da Web

Para acessar o relatório de integridade do dispositivo, no portal Microsoft 365 Defender, escolha Relatórios e escolha Proteção da Web. O relatório de proteção da Web mostra detecções ao longo do tempo, como URLs mal-intencionadas e tentativas de acessar URLs bloqueadas, conforme mostrado na seguinte imagem:

Relatório de proteção da Web

Role para baixo para ver todas as exibições no relatório de proteção da Web. Algumas exibições incluem links que permitem exibir mais detalhes, configurar seus recursos de proteção contra ameaças e até mesmo gerenciar indicadores que servem como exceções no Defender para Ponto de Extremidade.

Dica

Para saber mais, confira Proteção da Web.

Próximas etapas