Ações de correção no Microsoft Defender XDR

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Durante e após uma investigação automatizada em Microsoft Defender XDR, as ações de correção são identificadas para itens mal-intencionados ou suspeitos. Alguns tipos de ações de correção são tomadas em dispositivos, também chamados de pontos de extremidade. Outras ações de correção são tomadas em identidades, contas e conteúdo de email. Investigações automatizadas são concluídas depois que as ações de correção são tomadas, aprovadas ou rejeitadas.

Importante

Se as ações de correção são tomadas automaticamente ou somente após a aprovação, depende de determinadas configurações, como níveis de automação. Para saber mais, veja estes artigos:

A tabela a seguir resume as ações de correção com suporte no momento em Microsoft Defender XDR.

Ações de correção de dispositivo (ponto de extremidade) Ações de correção de email Usuários (contas)
– Coletar pacote de investigação
– Isolar dispositivo (essa ação pode ser desfeita)
- Computador de offboard
- Execução de código de versão
- Liberação da quarentena
- Exemplo de solicitação
– Restringir a execução de código (essa ação pode ser desfeita)
- Executar verificação de antivírus
- Parar e colocar em quarentena
- Conter dispositivos da rede		 - Bloquear URL (tempo de clique)
– Excluir mensagens de email ou clusters
- Email de quarentena
– Colocar em quarentena um anexo de email
- Desativar o encaminhamento de email externo		 – Desabilitar usuário
- Redefinir senha do usuário
- Confirmar usuário como comprometido

As ações de correção, com aprovação pendente ou já concluídas, podem ser exibidas no Centro de Ações.

Ações de correção que seguem investigações automatizadas

Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada evidência envolvida. Dependendo do veredito, as ações de correção são identificadas. Em alguns casos, as ações de correção são executadas automaticamente, em outros casos, as ações de correção aguardam aprovação. Tudo depende de como a investigação e a resposta automatizadas estão configuradas.

A tabela a seguir lista os possíveis verditos e resultados:

Verdito Entidades afetadas Resultados
Mal-intencionado Dispositivos (pontos de extremidade) As ações de correção são tomadas automaticamente (supondo que os grupos de dispositivos da sua organização sejam definidos como Ameaças completas e corretivas automaticamente)
Comprometida Usuários As ações de correção são tomadas automaticamente
Mal-intencionado Conteúdo do email (URLs ou anexos) As ações de correção recomendadas estão aguardando aprovação
Suspeito Conteúdo de dispositivos ou emails As ações de correção recomendadas estão aguardando aprovação
Nenhuma ameaça encontrada Conteúdo de dispositivos ou emails Nenhuma ação de correção é necessária

Ações de correção que são tomadas manualmente

Além das ações de correção que seguem investigações automatizadas, sua equipe de operações de segurança pode executar algumas ações de correção manualmente. Elas incluem o seguinte:

  • Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de arquivos
  • Ação de email manual, como excluir mensagens de email
  • Ação manual do usuário, como desabilitar o usuário ou redefinir a senha do usuário
  • Ação de caça avançada em dispositivos, usuários ou email
  • Explorer ação no conteúdo de email, como mover email para lixo eletrônico, excluir email ou excluir email
  • Ação de resposta dinâmica manual, como excluir um arquivo, interromper um processo e remover uma tarefa agendada
  • Ação de resposta ao vivo com APIs Microsoft Defender para Ponto de Extremidade, como isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivo

Próximas etapas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.