Rever as ações de remediação após uma investigação automatizada

Aplica-se a:

• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender para Empresas

Ações de remediação

Quando uma investigação automatizada é executada, é gerado um veredicto para cada prova investigada. Os veredictos podem ser Maliciosos, Suspeitos ou Não foram encontradas ameaças.

Consoante

• o tipo de ameaça,
• o veredicto resultante, e
• como os grupos de dispositivos da sua organização estão configurados,

As ações de remediação podem ocorrer automaticamente ou apenas após aprovação pela equipa de operações de segurança da sua organização.

Nota

A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Eis alguns exemplos:

• Exemplo 1: os grupos de dispositivos da Fabrikam estão definidos como Completo – remediar ameaças automaticamente (a definição recomendada). Neste caso, as ações de remediação são executadas automaticamente para artefactos considerados maliciosos na sequência de uma investigação automatizada (veja Rever ações concluídas).

• Exemplo 2: os dispositivos da Contoso estão incluídos num grupo de dispositivos definido para Semi – requerem aprovação para qualquer remediação. Neste caso, a equipa de operações de segurança da Contoso tem de rever e aprovar todas as ações de remediação após uma investigação automatizada (veja Rever ações pendentes).

• Exemplo 3: a Tailspin Toys tem os grupos de dispositivos definidos como Sem resposta automatizada (não recomendado). Neste caso, as investigações automatizadas não ocorrem. Não são efetuadas ou pendentes ações de remediação e não são registadas ações no Centro de ação para os respetivos dispositivos (consulte Gerir grupos de dispositivos).

Quer seja realizada automaticamente ou após a aprovação, uma investigação e remediação automatizadas podem resultar numa ou mais das ações de remediação:

• Colocar um ficheiro em quarentena
• Remover uma chave de registo
• Eliminar um processo
• Parar um serviço
• Desativar um controlador
• Remover uma tarefa agendada

Rever ações pendentes

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. No painel de navegação, selecione Centro de ação.

3. Reveja os itens no separador Pendente .

4. Selecione uma ação para abrir o painel de lista de opções.

5. No painel de lista de opções, reveja as informações e, em seguida, siga um dos seguintes passos:

   • Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir a realização de uma ação pendente.
   • Selecione Ir investigar para aceder à Investigação avançada.

Aprovar ou rejeitar ações de remediação

Para incidentes com o estado de remediação de Aprovação pendente, também pode aprovar ou rejeitar uma ação de remediação a partir do incidente.

1. No painel de navegação, aceda a Incidentes & alertas Incidentes>.
2. Filtre a ação Pendente para o estado investigação automatizada (opcional).
3. Selecione um nome de incidente para abrir a respetiva página de resumo.
4. Selecione o separador Provas e Resposta .
5. Selecione um item na lista para abrir o respetivo painel de lista de opções.
6. Reveja as informações e, em seguida, siga um dos seguintes passos:
   • Selecione a opção Aprovar ação pendente para iniciar uma ação pendente.
   • Selecione a opção Rejeitar ação pendente para impedir a realização de uma ação pendente.

Rever as ações concluídas

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. No painel de navegação, selecione Centro de ação.

3. Reveja os itens no separador Histórico .

4. Selecione um item para ver mais detalhes sobre essa ação de remediação.

Anular ações concluídas

Se determinou que um dispositivo ou um ficheiro não é uma ameaça, pode anular as ações de remediação executadas, quer essas ações tenham sido executadas automaticamente ou manualmente. No Centro de ação, no separador Histórico , pode anular qualquer uma das seguintes ações:

Origem da ação	Ações Suportadas
Investigação automatizada Ações de resposta manual (veja a nota abaixo) Antivírus do Microsoft Defender	Desativar um controlador Isolar dispositivo Colocar um ficheiro em quarentena Remover uma chave de registo Remover uma tarefa agendada Restringir a execução de código Parar um serviço

Nota

O Plano 1 e Microsoft Defender para Empresas do Defender para Ponto Final incluem apenas as seguintes ações de resposta manual:

• Executar análise de antivírus
• Isolar dispositivo
• Parar e colocar um ficheiro em quarentena
• Adicionar um indicador para bloquear ou permitir um ficheiro

Para anular múltiplas ações de uma só vez

1. Aceda ao Centro de ação (https://security.microsoft.com/action-center) e inicie sessão.

2. No separador Histórico , selecione as ações que pretende anular. Certifique-se de que seleciona itens com o mesmo tipo de Ação. É aberto um painel de lista de opções.

3. No painel de lista de opções, selecione Anular.

Para remover um ficheiro da quarentena em vários dispositivos

1. Aceda ao Centro de ação (https://security.microsoft.com/action-center) e inicie sessão.

2. No separador Histórico , selecione um item que tenha o tipo de Ação Ficheiro de quarentena.

3. No painel de opções, selecione Aplicar a X mais instâncias deste ficheiro e, em seguida, selecione Anular.

Níveis de automatização, resultados de investigação automatizados e ações resultantes

Os níveis de automatização afetam se determinadas ações de remediação são executadas automaticamente ou apenas após a aprovação. Por vezes, a equipa de operações de segurança tem mais passos a tomar, consoante os resultados de uma investigação automatizada. A tabela seguinte resume os níveis de automatização, os resultados das investigações automatizadas e o que fazer em cada caso.

Definição do grupo de dispositivos	Resultados de investigação automatizados	O que fazer
Completo – remediar ameaças automaticamente (recomendado)	Um veredicto de Malicioso é alcançado para uma prova. As ações de remediação adequadas são executadas automaticamente.	Rever as ações concluídas
Semi – exigir aprovação para qualquer remediação	Um veredicto de Malicioso ou Suspeito é alcançado para uma prova. As ações de remediação estão pendentes de aprovação para continuar.	Aprovar (ou rejeitar) ações pendentes
Semi – exigir aprovação para remediação de pastas principais	Um veredicto de Malicioso é alcançado para uma prova. Se o artefacto for um ficheiro ou executável e estiver num diretório de sistema operativo, como a pasta do Windows ou a pasta Ficheiros do programa, as ações de remediação estão pendentes de aprovação. Se o artefacto não estiver num diretório de sistema operativo, as ações de remediação são executadas automaticamente.	Aprovar (ou rejeitar) ações pendentes Rever as ações concluídas
Semi – exigir aprovação para remediação de pastas principais	Um veredicto de Suspeito é alcançado para uma prova. As ações de remediação estão pendentes de aprovação.	Aprovar (ou rejeitar) ações pendentes.
Semi – exigir aprovação para remediação de pastas não temporárias	Um veredicto de Malicioso é alcançado para uma prova. Se o artefacto for um ficheiro ou executável que não esteja numa pasta temporária, como a pasta de transferências ou a pasta temporária do utilizador, as ações de remediação estão pendentes de aprovação. Se o artefacto for um ficheiro ou executável que esteja numa pasta temporária, as ações de remediação são executadas automaticamente.	Aprovar (ou rejeitar) ações pendentes Rever as ações concluídas
Semi – exigir aprovação para remediação de pastas não temporárias	Um veredicto de Suspeito é alcançado para uma prova. As ações de remediação estão pendentes de aprovação.	Aprovar (ou rejeitar) ações pendentes
Qualquer um dos níveis de automatização Completo ou Semi	Um veredicto de Nenhuma ameaça encontrada é alcançado para uma prova. Não são efetuadas ações de remediação e não existem ações com aprovação pendente.	Ver detalhes e resultados de investigações automáticas
Nenhuma resposta automatizada (não recomendado)	Não são executadas investigações automatizadas, por isso não são alcançados veredictos, e não são tomadas medidas de remediação ou aguardam aprovação.	Considere configurar ou alterar os grupos de dispositivos para utilizar a automatização Completa ou Semi

Todos os veredictos são seguidos no Centro de Ação.

Nota

No Defender para Empresas, as capacidades automatizadas de investigação e remediação estão predefinidas para utilizar ameaças Completas – remediar automaticamente. Estas capacidades são aplicadas a todos os dispositivos por predefinição.

Passos seguintes

• Saiba mais sobre as capacidades de resposta em direto
• Proativamente, procure ameaças com investigação avançada
• Resolver falsos positivos/negativos no Microsoft Defender para Endpoint

Consulte também

• Descrição geral das investigações automatizadas

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.