Exibir e gerenciar ações no Centro de Ações

Aplica-se a:

• Microsoft Defender XDR

Os recursos de proteção contra ameaças em Microsoft Defender XDR podem resultar em determinadas ações de correção. Aqui estão alguns exemplos:

• Investigações automatizadas podem resultar em ações de correção que são tomadas automaticamente ou aguardam sua aprovação.
• Antivírus, antimalware e outros recursos de proteção contra ameaças podem resultar em ações de correção, como bloquear um arquivo, URL ou processo ou enviar um artefato para quarentena.
• Sua equipe de operações de segurança pode executar ações de correção manualmente, como durante a busca avançada ou durante a investigação de alertas ou incidentes.

Observação

Você deve ter permissões apropriadas para aprovar ou rejeitar ações de correção. Para obter mais informações, confira os pré-requisitos.

Para navegar até o Centro de Ações, siga uma das seguintes etapas:

• Vá para https://security.microsoft.com/action-center; ou
• No portal Microsoft Defender (https://security.microsoft.com), no cartão de resposta de & de investigação automatizada, selecione Aprovar na Central de Ações.

Revisar ações pendentes na Central de Ações

É importante aprovar (ou rejeitar) ações pendentes o mais rápido possível, para que suas investigações automatizadas possam prosseguir e ser concluídas a tempo.

1. Acesse Microsoft Defender portal e entre.

2. No painel de navegação em Ações e envios, escolha Centro de ações.

3. Na central de ações, na guia Pending , selecione um item na lista. Seu painel de sobrevoo é aberto. Veja um exemplo.

   

4. Examine as informações no painel de sobrevoo e siga uma das seguintes etapas:

   • Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir que uma ação pendente seja executada.
   • Selecione Ir caçar para ir à caça avançada.

Dica

Agora você tem mais opções para examinar e aprovar/rejeitar uma ação de correção. Além de usar o Centro de Ações, você também pode aprovar ou rejeitar uma ação de correção durante a revisão de um incidente. Para obter mais informações, consulte Aprovar ou rejeitar ações de correção.

Desfazer ações concluídas

Se você determinou que um dispositivo ou um arquivo não é uma ameaça, você pode desfazer as ações de correção que foram tomadas, se essas ações foram tomadas automaticamente ou manualmente. Na central de ações, na guia Histórico , você pode desfazer qualquer uma das seguintes ações:

Fonte de ação	Ações com suporte
– Investigação automatizada - Microsoft Defender Antivírus – Ações de resposta manual	- Isolar dispositivo – Restringir a execução de código - Colocar um arquivo em quarentena - Remover uma chave do registro - Parar um serviço - Desabilitar um driver - Remover uma tarefa agendada

Desfazer uma ação de correção

1. Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.

2. Na guia Histórico , selecione uma ação que você deseja desfazer.

3. No painel no lado direito da tela, selecione Desfazer.

Desfazer várias ações de correção

1. Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.

2. Na guia Histórico , selecione as ações que você deseja desfazer. Selecione itens com o mesmo tipo de ação. Um painel de sobrevoo é aberto.

3. No painel de sobrevoo, selecione Desfazer.

Para remover um arquivo da quarentena em vários dispositivos

1. Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.

2. Na guia Histórico , selecione um arquivo que tenha um tipo de ação de arquivo de quarentena .

3. No painel no lado direito da tela, selecione Aplicar a X mais instâncias deste arquivo e selecione Desfazer.

Próximas etapas

• Exibir os detalhes e resultados de uma investigação automatizada
• Abordar falsos positivos ou falsos negativos

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.