A Central de Ações
Aplica-se a:
- Microsoft Defender XDR
O Centro de Ação fornece uma experiência de "painel único de vidro" para tarefas de incidente e alerta, como:
- Aprovando ações pendentes de correção.
- Exibindo um log de auditoria de ações de correção já aprovadas.
- Revendo as ações de correção concluídas.
Como o Centro de Ações fornece uma visão abrangente de Microsoft Defender XDR no trabalho, sua equipe de operações de segurança pode operar de forma mais eficaz e eficiente.
O centro de ação unificado
O centro de ação unificado (https://security.microsoft.com/action-center) lista ações de correção pendentes e concluídas para seus dispositivos, conteúdo de colaboração & email e identidades em um único local.
Por exemplo:
- Se você estiver usando o Centro de Ações no Central de Segurança do Microsoft Defender (https://securitycenter.windows.com/action-center), experimente o Centro de Ação unificado no portal Microsoft Defender.
- Se você já estivesse usando o portal Microsoft Defender, verá várias melhorias no Centro de Ações (https://security.microsoft.com/action-center).
O Centro de Ação unificada reúne ações de correção no Defender para Ponto de Extremidade e Defender para Office 365. Ele define uma linguagem comum para todas as ações de correção e fornece uma experiência de investigação unificada. Sua equipe de operações de segurança tem uma experiência de "painel único de vidro" para exibir e gerenciar ações de correção.
Você pode usar a Central de Ações unificada se tiver permissões apropriadas e uma ou mais das seguintes assinaturas:
- Pilot Defender para Ponto de Extremidade
- [Defender para Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
Dica
Para saber mais, confira Requisitos.
Você pode navegar até a lista de ações pendentes de aprovação de duas maneiras diferentes:
- Vá para https://security.microsoft.com/action-center; ou
- No portal Microsoft Defender (https://security.microsoft.com), no cartão de resposta de & de investigação automatizada, selecione Aprovar na Central de Ações.
Usando o Centro de Ações
Acesse Microsoft Defender portal e entre.
No painel de navegação em Ações e envios, escolha Centro de ações. Ou, no cartão de resposta de & de investigação automatizada, selecione Aprovar no Centro de Ações.
Use as guias Ações pendentes e Histórico . A tabela a seguir resume o que você verá em cada guia:
Guia Descrição Pending Exibe uma lista de ações que exigem atenção. Você pode aprovar ou rejeitar ações uma de cada vez ou selecionar várias ações se elas tiverem o mesmo tipo de ação (como arquivo de quarentena).
Verifique e aprove (ou rejeite) ações pendentes o mais rápido possível para que suas investigações automatizadas possam ser concluídas em tempo hábil.Histórico Serve como um log de auditoria para ações que foram tomadas, como:
- Ações de correção que foram tomadas como resultado de investigações automatizadas
- Ações de correção que foram tomadas em mensagens de email suspeitas ou mal-intencionadas, arquivos ou URLs
- Ações de correção que foram aprovadas pela sua equipe de operações de segurança
- Comandos executados e ações de correção que foram aplicados durante as sessões de Resposta Ao Vivo
- Ações de correção que foram tomadas pela proteção contra antivírus
Fornece uma maneira de desfazer determinadas ações (consulte Desfazer ações concluídas).Você pode personalizar, classificar, filtrar e exportar dados no Centro de Ações.
- Selecione um título de coluna para classificar itens em ordem crescente ou decrescente.
- Use o filtro de período para exibir dados do último dia, semana, 30 dias ou 6 meses.
- Escolha as colunas que você deseja exibir.
- Especifique quantos itens incluir em cada página de dados.
- Use filtros para exibir apenas os itens que você deseja ver.
- Selecione Exportar para exportar resultados para um arquivo .csv.
Ações rastreadas no Centro de Ações
Todas as ações, estejam elas com aprovação pendente ou já executadas, são rastreadas na Central de ações. As ações disponíveis incluem o seguinte:
- Coletar pacote de investigação
- Isolar dispositivo (essa ação pode ser desfeita)
- Desintegrar computador
- Execução do código de liberação
- Liberar da quarentena
- Solicitar amostra
- Restringir a execução de código (essa ação pode ser desfeita)
- Executar verificação de antivírus
- Interromper e colocar o arquivo em quarentena
- Conter dispositivos da rede
Além das ações de correção que são tomadas automaticamente como resultado de investigações automatizadas, a Central de Ações também rastreia ações que sua equipe de segurança tomou para lidar com ameaças detectadas e ações que foram tomadas como resultado de recursos de proteção contra ameaças em Microsoft Defender XDR. Para obter mais informações sobre ações de correção automática e manual, consulte Ações de correção.
Exibir detalhes da origem da ação
(NEW!) O centro de ação aprimorado agora inclui uma coluna de origem da Ação que informa de onde veio cada ação. A tabela a seguir descreve possíveis valores de origem da ação :
| Valor de origem da ação | Descrição |
|---|---|
| Ação manual do dispositivo | Uma ação manual tomada em um dispositivo. Exemplos incluem isolamento de dispositivo ou quarentena de arquivo. |
| Ação de email manual | Uma ação manual feita por email. Um exemplo inclui excluir mensagens de email ou corrigir uma mensagem de email. |
| Ação automatizada do dispositivo | Uma ação automatizada tomada em uma entidade, como um arquivo ou processo. Exemplos de ações automatizadas incluem enviar um arquivo para quarentena, interromper um processo e remover uma chave do registro. (Consulte Ações de correção em Microsoft Defender para Ponto de Extremidade.) |
| Ação de email automatizada | Uma ação automatizada tomada no conteúdo de email, como uma mensagem de email, anexo ou URL. Exemplos de ações automatizadas incluem excluir mensagens de email, bloquear URLs e desativar o encaminhamento de email externo. (Consulte Ações de correção em Microsoft Defender para Office 365.) |
| Ação de caça avançada | Ações realizadas em dispositivos ou email com caça avançada. |
| Explorer ação | Ações realizadas no conteúdo de email com Explorer. |
| Ação de resposta ao vivo manual | Ações realizadas em um dispositivo com resposta ao vivo. Exemplos incluem excluir um arquivo, interromper um processo e remover uma tarefa agendada. |
| Ação de resposta ao vivo | Ações realizadas em um dispositivo com APIs Microsoft Defender para Ponto de Extremidade. Exemplos de ações incluem isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivo. |
Permissões necessárias para tarefas da Central de ações
Para executar tarefas, como aprovar ou rejeitar ações pendentes no Centro de Ações, você deve ter permissões atribuídas conforme listado na tabela a seguir:
| Ação de correção | Funções e permissões necessárias |
|---|---|
| Microsoft Defender para Ponto de Extremidade correção (dispositivos) | Função administrador de segurança atribuída em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com) ---ou--- Função de ações de correção ativa atribuída em Microsoft Defender para Ponto de Extremidade Para saber mais, confira os seguintes recursos: - Microsoft Entra funções internas - Create e gerenciar funções para o controle de acesso baseado em função (Microsoft Defender para Ponto de Extremidade) |
| Microsoft Defender para Office 365 correção (conteúdo e email do Office) | Função administrador de segurança atribuída em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com) ---e--- Pesquisa e Limpar função atribuída nas funções de colaboração Email & Microsoft Defender XDR> IMPORTANTE: se você tiver a função administrador de segurança atribuída apenas nas Microsoft Defender XDR >Email & funções de colaboração, você não poderá acessar a central de ações ou Microsoft Defender XDR funcionalidades. Você deve ter a função administrador de segurança atribuída no Microsoft Entra ID ou no Centro de administração do Microsoft 365. Para saber mais, confira os seguintes recursos: - Microsoft Entra funções internas - Permissões na Central de Conformidade do & de Segurança |
Dica
Os usuários que têm a função de Administrador Global atribuída no Microsoft Entra ID podem aprovar ou rejeitar qualquer ação pendente no Centro de Ações. No entanto, como uma prática recomendada, sua organização deve limitar o número de pessoas que têm a função de Administrador Global atribuída. Recomendamos usar o Administrador de Segurança, ações de correção ativa e Pesquisa e Limpar funções listadas na tabela anterior para permissões do Centro de Ações.
Próxima etapa
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de