Ações de correção no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Durante e após uma investigação automatizada em Microsoft Defender XDR, as ações de correção são identificadas para itens mal-intencionados ou suspeitos. Alguns tipos de ações de correção são tomadas em dispositivos, também chamados de pontos de extremidade. Outras ações de correção são tomadas em identidades, contas e conteúdo de email. Investigações automatizadas são concluídas depois que as ações de correção são tomadas, aprovadas ou rejeitadas.
Importante
Se as ações de correção são tomadas automaticamente ou somente após a aprovação, depende de determinadas configurações, como níveis de automação. Para saber mais, veja estes artigos:
A tabela a seguir resume as ações de correção com suporte no momento em Microsoft Defender XDR.
Ações de correção de dispositivo (ponto de extremidade) | Ações de correção de email | Usuários (contas) |
---|---|---|
– Coletar pacote de investigação – Isolar dispositivo (essa ação pode ser desfeita) - Computador de offboard - Execução de código de versão - Liberação da quarentena - Exemplo de solicitação – Restringir a execução de código (essa ação pode ser desfeita) - Executar verificação de antivírus - Parar e colocar em quarentena - Conter dispositivos da rede |
- Bloquear URL (tempo de clique) – Excluir mensagens de email ou clusters - Email de quarentena – Colocar em quarentena um anexo de email - Desativar o encaminhamento de email externo |
– Desabilitar usuário - Redefinir senha do usuário - Confirmar usuário como comprometido |
As ações de correção, com aprovação pendente ou já concluídas, podem ser exibidas no Centro de Ações.
Ações de correção que seguem investigações automatizadas
Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada evidência envolvida. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de correção são executadas automaticamente, em outros casos, as ações de correção aguardam aprovação. Tudo depende de como a investigação e a resposta automatizadas estão configuradas.
A tabela a seguir lista os possíveis verditos e resultados:
Verdito | Entidades afetadas | Resultados |
---|---|---|
Mal-intencionado | Dispositivos (pontos de extremidade) | As ações de correção são tomadas automaticamente (supondo que os grupos de dispositivos da sua organização sejam definidos como Ameaças completas e corretivas automaticamente) |
Comprometida | Usuários | As ações de correção são tomadas automaticamente |
Mal-intencionado | Conteúdo do email (URLs ou anexos) | As ações de correção recomendadas estão aguardando aprovação |
Suspeito | Conteúdo de dispositivos ou emails | As ações de correção recomendadas estão aguardando aprovação |
Nenhuma ameaça encontrada | Conteúdo de dispositivos ou emails | Nenhuma ação de correção é necessária |
Ações de correção que são tomadas manualmente
Além das ações de correção que seguem investigações automatizadas, sua equipe de operações de segurança pode executar algumas ações de correção manualmente. Elas incluem o seguinte:
- Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de arquivos
- Ação de email manual, como excluir mensagens de email
- Ação manual do usuário, como desabilitar o usuário ou redefinir a senha do usuário
- Ação de caça avançada em dispositivos, usuários ou email
- Explorer ação no conteúdo de email, como mover email para lixo eletrônico, excluir email ou excluir email
- Ação de resposta dinâmica manual, como excluir um arquivo, interromper um processo e remover uma tarefa agendada
- Ação de resposta ao vivo com APIs Microsoft Defender para Ponto de Extremidade, como isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivo
Próximas etapas
- Visite a Central de Ações
- Exibir e gerenciar ações de correção
- Abordar falsos positivos ou falsos negativos
- Conter dispositivos da rede
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de