Ver os detalhes e resultados de uma investigação automatizada
Aplica-se a:
Com Microsoft Defender para Endpoint, quando uma investigação automatizada é executada, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se tiver as permissões necessárias, pode ver esses detalhes numa vista de detalhes da investigação. A vista de detalhes da investigação fornece-lhe o estado atualizado e a capacidade de aprovar quaisquer ações pendentes.
(NOVO!) Página de investigação unificada
A página de investigação foi atualizada recentemente para incluir informações nos seus dispositivos, e-mail e conteúdo de colaboração. A nova página de investigação unificada define uma linguagem comum e fornece uma experiência unificada para investigações automáticas em Microsoft Defender para Endpoint e Microsoft Defender para Office 365.
Sugestão
Para saber mais sobre o que está a mudar, consulte (NOVO!) Página de investigação unificada.
Abrir a vista de detalhes da investigação
Pode abrir a vista de detalhes da investigação com um dos seguintes métodos:
- Selecionar um item no Centro de ação
- Selecionar uma investigação a partir de uma página de detalhes do incidente
Selecionar um item no Centro de ação
O Centro de ação melhorado reúne ações de remediação nos seus dispositivos, e-mail & conteúdo de colaboração e identidades. As ações listadas incluem ações de remediação que foram executadas automaticamente ou manualmente. No Centro de ação, pode ver ações que aguardam aprovação e ações que já foram aprovadas ou concluídas. Também pode navegar para mais detalhes, como uma página de investigação.
- Aceda a Microsoft Defender XDR e inicie sessão.
- No painel de navegação, selecione Centro de ação.
- No separador Pendente ou Histórico , selecione um item. O painel de lista de opções é aberto.
- Reveja as informações no painel de lista de opções e, em seguida, siga um dos seguintes passos:
- Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir a realização de uma ação pendente.
- Selecione Ir investigar para aceder à Investigação avançada.
Abrir uma investigação a partir de uma página de detalhes do incidente
Utilize uma página de detalhes do incidente para ver informações detalhadas sobre um incidente, incluindo alertas que foram acionados informações sobre quaisquer dispositivos afetados, contas de utilizador ou caixas de correio.
- Aceda a Microsoft Defender XDR e inicie sessão.
- No painel de navegação, selecione Incidentes & alertas>Incidentes.
- Selecione um item na lista e, em seguida, selecione Abrir página de incidente.
- Selecione o separador Investigações e, em seguida, selecione uma investigação na lista. O painel de lista de opções é aberto.
- Selecione Abrir página de investigação.
Detalhes da investigação
Utilize a vista de detalhes da investigação para ver atividades passadas, atuais e pendentes relacionadas com uma investigação. A vista de detalhes da investigação assemelha-se à imagem seguinte:
Na vista Detalhes da investigação, pode ver informações nos separadores Gráfico de investigação, Alertas, Dispositivos, Identidades, Resultados de chaves, Entidades, Registo e Ações pendentes, descritos na tabela seguinte.
Nota
Os separadores específicos que vê numa página de detalhes de investigação dependem do que a sua subscrição inclui. Por exemplo, se a sua subscrição não incluir Microsoft Defender para Office 365 Plano 2, não verá um separador Caixas de Correio.
A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.
| Separador | Descrição |
|---|---|
| Gráfico de investigação | Fornece uma representação visual da investigação. Ilustra as entidades e listas de ameaças encontradas, juntamente com alertas e se alguma ação aguarda aprovação. Pode selecionar um item no gráfico para ver mais detalhes. Por exemplo, selecionar o ícone Provas leva-o para o separador Provas , onde pode ver as entidades detetadas e os respetivos veredictos. |
| Alertas | Listas alertas associados à investigação. Os alertas podem ser provenientes de funcionalidades de proteção contra ameaças no dispositivo de um utilizador, nas aplicações do Office, nas Aplicações do Defender para Cloud e noutras funcionalidades de Microsoft Defender XDR. |
| Dispositivos | Listas dispositivos incluídos na investigação, juntamente com o nível de remediação. (Os níveis de remediação correspondem ao nível de automatização dos grupos de dispositivos.) |
| Caixas de correio | Listas caixas de correio afetadas por ameaças detetadas. |
| Utilizadores | Listas contas de utilizador afetadas por ameaças detetadas. |
| Provas | Listas provas levantadas por alertas/investigações. Inclui veredictos (Malicioso, Suspeito ou Nenhuma ameaça encontrada) e o estado de remediação. |
| Entidades | Fornece detalhes sobre cada entidade analisada, incluindo um veredicto para cada tipo de entidade (Maliciosa, Suspeita ou Nenhuma ameaça encontrada). |
| Registo | Fornece uma vista cronológica e detalhada de todas as ações de investigação realizadas após o acionamento de um alerta. |
| Ações pendentes | Listas itens que requerem aprovação para continuar. Aceda ao Centro de ação (https://security.microsoft.com/action-center) para aprovar ações pendentes. |
Estados de investigação
A tabela seguinte lista os estados de investigação e o que indicam.
| Estado da investigação | Definição |
|---|---|
| Benigno | Os artefactos foram investigados e foi tomada a determinação de que não foram encontradas ameaças. |
| PendingResource | Uma investigação automatizada está em pausa porque uma ação de remediação está pendente de aprovação ou o dispositivo no qual foi encontrado um artefacto está temporariamente indisponível. |
| Não SuportadoAlertType | Não está disponível uma investigação automatizada para este tipo de alerta. Uma investigação mais aprofundada pode ser feita manualmente através da investigação avançada. |
| Falhou | Pelo menos um analisador de investigação encontrou um problema em que não conseguiu concluir a investigação. Se uma investigação falhar após a aprovação das ações de remediação, as ações de remediação ainda poderão ter sido bem-sucedidas. |
| Remediado com êxito | Uma investigação automatizada foi concluída e todas as ações de remediação foram concluídas ou aprovadas. |
Para fornecer mais contexto sobre a forma como os estados de investigação são apresentados, a tabela seguinte lista os alertas e o estado de investigação automatizado correspondente. Esta tabela está incluída como um exemplo do que uma equipa de operações de segurança pode ver no portal do Microsoft Defender.
| Nome do alerta | Gravidade | Estado da investigação | Estado | Categoria |
|---|---|---|---|---|
| Foi detetado software maligno num ficheiro de imagem de disco wim | Informativo | Benigno | Resolvido | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Wpakill hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
| GendowsBatch hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
| Keygen hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| MediaGet detetado | Médio | ParcialmenteInvestigado | Novo | Software Maligno |
| TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Software Maligno |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Software Maligno |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
| TrojanEmailFile | Médio | Benigno | Resolvido | Software Maligno |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Software Maligno |
| TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Software Maligno |
| TrojanEmailFile | Médio | Benigno | Resolvido | Software Maligno |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | PendingResource | Novo | Software Maligno |
Consulte também
- Rever as ações de remediação após uma investigação automatizada
- Ver e organizar a fila Microsoft Defender para Endpoint Incidentes
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.