Tomar medidas sobre os resultados avançados da consulta de investigação

Aplica-se a:

• Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Pode conter rapidamente ameaças ou lidar com recursos comprometidos que encontra na investigação avançada através de opções de ação avançadas e abrangentes. Com estas opções, pode:

• Efetuar várias ações em dispositivos
• Colocar ficheiros em quarentena

Permissões necessárias

Para tomar medidas em dispositivos através da investigação avançada, precisa de uma função no Microsoft Defender para Endpoint com permissões para submeter ações de remediação em dispositivos.

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Se não conseguir tomar medidas, contacte um Administrador Global para obter a seguinte permissão:

Ações de remediação ativas > Gestão de ameaças e vulnerabilidades – Processamento de remediação

Para tomar medidas em e-mails através de investigação avançada, precisa de uma função no Microsoft Defender para Office 365 para procurar e remover e-mails.

Efetuar várias ações em dispositivos

Pode efetuar as seguintes ações em dispositivos identificados pela DeviceId coluna nos resultados da consulta:

• Isolar os dispositivos afetados para conter uma infecção ou impedir que os ataques se movam lateralmente
• Recolher o pacote de investigação para obter mais informações forenses
• Execute uma análise antivírus para localizar e remover ameaças com as atualizações de informações de segurança mais recentes
• Iniciar uma investigação automatizada para verificar e remediar ameaças no dispositivo e possivelmente noutros dispositivos afetados
• Restringir a execução de aplicações apenas a ficheiros executáveis assinados pela Microsoft, impedindo a subsequente atividade de ameaças através de software maligno ou outros executáveis não fidedignos

Para saber mais sobre como estas ações de resposta são executadas através do Microsoft Defender para Endpoint, leia sobre as ações de resposta nos dispositivos.

Colocar ficheiros em quarentena

Pode implementar a ação de quarentena em ficheiros para que sejam colocados em quarentena automaticamente quando forem encontrados. Ao selecionar esta ação, pode escolher entre as seguintes colunas para identificar quais os ficheiros na consulta que resultam na quarentena:

• SHA1: Na maioria das tabelas de investigação avançadas, esta coluna refere-se ao SHA-1 do ficheiro afetado pela ação registada. Por exemplo, se um ficheiro tiver sido copiado, este ficheiro afetado seria o ficheiro copiado.
• InitiatingProcessSHA1: Nas tabelas de investigação mais avançadas, esta coluna refere-se ao ficheiro responsável por iniciar a ação registada. Por exemplo, se um processo subordinado fosse iniciado, este ficheiro de iniciador faria parte do processo principal.
• SHA256: esta coluna é o equivalente SHA-256 do ficheiro identificado pela SHA1 coluna.
• InitiatingProcessSHA256: esta coluna é o equivalente SHA-256 do ficheiro identificado pela InitiatingProcessSHA1 coluna.

Para saber mais sobre como as ações de quarentena são executadas e como os ficheiros podem ser restaurados, leia sobre as ações de resposta nos ficheiros.

Nota

Para localizar ficheiros e colocar os ficheiros em quarentena, os resultados da consulta também devem incluir DeviceId valores como identificadores de dispositivo.

Para efetuar qualquer uma das ações descritas, selecione um ou mais registos nos resultados da consulta e, em seguida, selecione Tomar medidas. Um assistente orienta-o ao longo do processo de seleção e, em seguida, da submissão das suas ações preferenciais.

Efetuar várias ações em e-mails

Para além dos passos de remediação focados no dispositivo, também pode efetuar algumas ações em e-mails a partir dos resultados da consulta. Selecione os registos em que pretende efetuar uma ação, selecione Tomar ações e, em seguida, em Escolher ações, selecione a sua escolha a partir do seguinte:

• Move to mailbox folder - selecione esta ação para mover as mensagens de e-mail para a pasta Lixo, Caixa de Entrada ou Itens eliminados

  

• Delete email - selecione esta ação para mover mensagens de e-mail para a pasta Itens eliminados (Eliminação recuperável) ou elimine-as permanentemente (Eliminação rápida)

  Selecionar Eliminação recuperável também elimina automaticamente as mensagens da pasta Itens Enviados do remetente se o remetente estiver na organização.

  

  A eliminação recuperável automática da cópia do remetente está disponível para resultados através das EmailEvents tabelas e EmailPostDeliveryEvents , mas não da UrlClickEvents tabela. Além disso, o resultado deve conter as colunas EmailDirection e SenderFromAddress colunas para que esta opção de ação seja apresentada no assistente Tomar ações. A limpeza da cópia do remetente aplica-se a e-mails intra-organização e e-mails de saída, garantindo que apenas a cópia do remetente é eliminada de forma recuperável para estas mensagens de e-mail. As mensagens de entrada estão fora do âmbito.

  Veja a seguinte consulta como referência:

  EmailEvents
  | where ThreatTypes contains "spam"
  | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
  

Também pode fornecer um nome de remediação e uma breve descrição da ação tomada para controlá-la facilmente no histórico do centro de ação. Também pode utilizar o ID de Aprovação para filtrar estas ações no centro de ação. Este ID é fornecido no final do assistente:

Estas ações de e-mail também são aplicáveis a deteções personalizadas .

Rever as ações executadas

Cada ação é gravada individualmente no centro de ação emHistórico do Centro > de Ação(security.microsoft.com/action-center/history). Aceda ao centro de ação para verificar o estado de cada ação.

Nota

Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative o Microsoft Defender XDR para procurar ameaças com mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados do Microsoft Defender para Endpoint para o Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint.

Artigos relacionados

• Descrição geral da investigação avançada
• Aprender a linguagem de consulta
• Trabalhar com resultados de consulta
• Compreender o esquema
• Descrição geral do centro de ação

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.