Partilhar via

Remediação automatizada na investigação e resposta automatizadas (AIR)

Por predefinição, as ações de remediação identificadas pela investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2 requerem a aprovação das equipas de operações de segurança (SecOps). Para obter mais informações sobre a AIR, veja Investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2

Agora, os administradores também podem designar determinadas ações para remediar automaticamente. Remediar automaticamente mensagens identificadas como maliciosas nas investigações air tem os seguintes benefícios:

  • Aumenta a proteção do cliente ao acelerar a remediação de mais ameaças.
  • Poupa tempo para as equipas do SecOps ao reduzir a necessidade de aprovação.

O resto deste artigo descreve como configurar a remediação automatizada no AIR e como identificar mensagens que foram remediadas automaticamente.

Configurar a remediação automatizada

O AIR cria um cluster em torno de um FICHEIRO ou URL malicioso detetado e, em seguida, a investigação automatizada verifica a localização das mensagens no cluster. Se as mensagens estiverem em caixas de correio, a AIR produz uma ação de remediação.

Depois de selecionar os tipos de cluster para remediar automaticamente, a ação de remediação selecionada ocorre sem a necessidade de aprovação secOps.

Sugestão

Os clusters produzidos pelo AIR que não remediam automaticamente continuam a ser apresentados como a ação Pendente como atualmente .

Os clusters com mais de 10 000 mensagens não são remediados automaticamente e são apresentados como ação Pendente para revisão.

Utilize os seguintes passos para selecionar os tipos de cluster para remediar automaticamente:

No portal Microsoft Defender em https://security.microsoft.com, aceda a Definições>Email & colaboração>MDO definições de automatização.

As seguintes definições estão disponíveis na página de definições de Automatização :

  • Secção Clusters de mensagens : especifica os tipos de clusters de mensagens que são remediados automaticamente. Escolha uma ou mais das seguintes opções:

  • Ficheiros semelhantes: Quando a investigação automatizada reconhece um ficheiro malicioso, cria um cluster em torno do ficheiro malicioso. O cluster agrupa todas as mensagens que contêm o ficheiro no cluster. Selecionar esta definição opta a organização por remediação automatizada para estes clusters de ficheiros maliciosos.

  • URLs semelhantes: Quando a investigação automatizada reconhece um URL malicioso, cria um cluster em torno do URL malicioso. O cluster agrupa todas as mensagens que contêm o URL no cluster. Selecionar esta definição opta a organização por remediação automatizada para estes clusters de URL maliciosos.

    Sugestão

    Siga o mapa de objetivos para se manter informado sobre quando estão disponíveis mais clusters de mensagens para remediação automatizada.

  • Secção de ação de remediação : especifica a ação a tomar em tipos de cluster de mensagens especificados na secção Clusters de mensagens .

    Atualmente, a Eliminação recuperável é a única ação disponível. Para obter mais informações sobre mensagens eliminadas de forma recuperável, consulte a pasta Itens Recuperáveis no Exchange Online.

    Importante

    A capacidade de recuperar mensagens eliminadas de forma recuperável depende da política de retenção para mensagens eliminadas de forma recuperável em cada caixa de correio. Verifique as suas obrigações legais de retenção de e-mail, incluindo mensagens marcadas como maliciosas. Para obter mais informações sobre a retenção de mensagens eliminadas de forma recuperável, consulte Alterar durante quanto tempo os itens eliminados permanentemente são mantidos para uma caixa de correio Exchange Online no Exchange Online.

Quando tiver terminado na página definições de Automatização , selecione Guardar.

Captura de ecrã da remediação automatizada da configuração de clusters de entidades maliciosas no portal do Defender em Definições \> Email & colaboração \> MDO definições de automatização.

Rever mensagens remediadas automaticamente

A seguinte subsecção mostra como utilizar o portal do Defender para rever as ações de remediação automatizadas.

Resultados de remediação automatizada no Centro de ação

No Centro de ação em https://security.microsoft.com/action-center/, os clusters remediados automaticamente aparecem no separador Histórico . Utilize o filtro Decidido por com o valor Automatização para devolver clusters que foram remediados automaticamente.

Para obter mais informações sobre o Centro de ação, consulte O Centro de ação.

Captura de ecrã do separador Histórico no Centro de ação com clusters remediados automaticamente filtrados pela Automatização Detetada por valor e pela ação de e-mail Automatizada valor de origem de ação.

A remediação automatizada resulta em investigações

Numa investigação no AIR, os clusters remediados automaticamente aparecem no separador Histórico de ações pendentes da investigação com a AutomatizaçãoProcessada por valor.

Para obter mais informações sobre os resultados da investigação air, veja Detalhes e resultados da investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2.

Captura de ecrã do separador Histórico de ações pendentes de uma investigação com clusters remediados automaticamente com a Automatização Processada por valor.

Resultados de remediação automatizada no Explorador de Ameaças

No Explorador de Ameaças (Explorador), as mensagens remediadas automaticamente têm o valor de ação AdicionalRemediação automatizada:automatizada.

Para obter mais informações sobre o Explorador de Ameaças, veja About Threat Explorer and Real-time detections in Microsoft Defender para Office 365 (Acerca do Explorador de Ameaças e deteções em tempo real no Microsoft Defender para Office 365).

Captura de ecrã do Explorador de Ameaças a mostrar mensagens que a remediação automatizada eliminou da caixa de correio por remediação automatizada (filtrada pelo valor de ação Adicional Remediação automatizada).

Resultados da remediação automatizada na Investigação avançada

Em Investigação avançada, as mensagens remediadas automaticamente estão na EmailPostDeliveryEvents tabela com ambos os seguintes valores de propriedade:

  • ActionType é igual a Remediação Automatizada
  • ActionTrigger é igual a Automatização.

Para obter mais informações sobre a Investigação avançada, veja Proativamente investigar ameaças com investigação avançada em Microsoft Defender.

Captura de ecrã da pesquisa avançada de mensagens removidas das caixas de correio por remediação automatizada (tabela EmailPostDeliveryEvents em que o valor ActionType é Remediação Automatizada e o valor ActionTrigger é Automatização.)

Reverter ações de remediação automatizadas em mensagens

Nota

A capacidade de recuperar mensagens depende dos dados ainda estarem disponíveis no Defender e das definições de retenção da caixa de correio para mensagens eliminadas de forma recuperável. Para mais informações, consulte os seguintes artigos:

Os seguintes métodos estão disponíveis para reverter as ações de remediação automatizadas e restaurar mensagens para caixas de correio:

  • Tome medidas na mensagem no Explorador de Ameaças ou na Investigação Avançada. Para obter informações sobre o assistente Tomar medidas , consulte o assistente Tomar ações.

  • A lista de opções Mover para a Caixa de Entrada ou >Mover para Lixo na lista de opções de detalhes da propriedade do cluster no separador Histórico do Centro de ação, conforme mostrado na seguinte captura de ecrã:

    Captura de ecrã da lista de opções de detalhes de um cluster de e-mail remediado automaticamente que mostra a ação Mover para a Caixa de Entrada disponível para anular a ação de remediação automatizada e restaurar mensagens para caixas de correio.

Consulte também