Partilhar via


O Centro de ação

Aplica-se a:

  • Microsoft Defender XDR

O Centro de ação fornece uma experiência de "painel único de vidro" para tarefas de incidentes e alertas, tais como:

  • Aprovar ações de remediação pendentes.
  • Ver um registo de auditoria de ações de remediação já aprovadas.
  • A rever as ações de remediação concluídas.

Uma vez que o Centro de Ação fornece uma vista abrangente dos Microsoft Defender XDR no trabalho, a sua equipa de operações de segurança pode operar de forma mais eficaz e eficiente.

O Centro de Ação unificado

O Centro de Ação unificado (https://security.microsoft.com/action-center) lista as ações de remediação pendentes e concluídas para os seus dispositivos, e-mail & conteúdo de colaboração e identidades numa única localização.

O Centro de Ação unificado no portal Microsoft Defender.

Por exemplo:

O Centro de Ação unificado reúne ações de remediação entre Microsoft Defender para Endpoint e Microsoft Defender para Office 365. Define uma linguagem comum para todas as ações de remediação e fornece uma experiência de investigação unificada. A sua equipa de operações de segurança tem uma experiência de "painel único de vidro" para ver e gerir ações de remediação.

Pode utilizar o Centro de Ação unificado se tiver as permissões adequadas e uma ou mais das seguintes subscrições:

Sugestão

Para saber mais, veja Requisitos.

Pode navegar para a lista de ações com aprovação pendente de duas formas diferentes:

Utilizar o Centro de ação

  1. Aceda a Microsoft Defender portal e inicie sessão.

  2. No painel de navegação, em Ações e submissões, selecione Centro de ação. Em alternativa, no cartão de resposta & investigação automatizada, selecione Aprovar no Centro de Ação.

  3. Utilize os separadores Ações pendentes e Histórico . A tabela seguinte resume o que verá em cada separador:

    Separador Descrição
    Pendente Apresenta uma lista de ações que requerem atenção. Pode aprovar ou rejeitar ações uma de cada vez ou selecionar múltiplas ações se tiverem o mesmo tipo de ação (como Ficheiro de quarentena).

    Confirme que revê e aprova (ou rejeita) as ações pendentes o mais rapidamente possível para que as investigações automatizadas possam ser concluídas em tempo útil.
    Histórico Serve como um registo de auditoria para ações realizadas, tais como:
    • >Ações de remediação que foram tomadas como resultado de investigações automatizadas
    • Ações de remediação realizadas em mensagens de e-mail, ficheiros ou URLs suspeitos ou maliciosos
    • Ações de remediação que foram aprovadas pela sua equipa de operações de segurança
    • Comandos que foram executados e ações de remediação que foram aplicados durante sessões de Resposta em Direto
    • Ações de remediação executadas pela proteção antivírus


    Fornece uma forma de anular determinadas ações (veja Anular ações concluídas).
  4. Pode personalizar, ordenar, filtrar e exportar dados no Centro de ação.

    Captura de ecrã que mostra as capacidades de ordenação, filtro e personalização do Centro de ação.

    • Selecione um cabeçalho de coluna para ordenar itens por ordem ascendente ou descendente.
    • Utilize o filtro de período de tempo para ver os dados do último dia, semana, 30 dias ou 6 meses.
    • Selecione as colunas que pretende ver.
    • Especifique quantos itens deve incluir em cada página de dados.
    • Utilize filtros para ver apenas os itens que pretende ver.
    • Selecione Exportar para exportar resultados para um ficheiro de .csv.

Ações registadas no Centro de ação

Todas as ações, quer estejam pendentes de aprovação ou já tenham sido executadas, são controladas no Centro de ação. As ações disponíveis incluem o seguinte:

  • Recolher pacote de investigação
  • Isolar o dispositivo (esta ação pode ser anulada)
  • Excluir máquina
  • Execução do código de versão
  • Libertar da quarentena
  • Exemplo de pedido
  • Restringir a execução de código (esta ação pode ser anulada)
  • Executar análise de antivírus
  • Parar e colocar em quarentena
  • Conter dispositivos a partir da rede

Além das ações de remediação que são executadas automaticamente como resultado de investigações automatizadas, o Centro de Ação também monitoriza as ações que a sua equipa de segurança tomou para resolver ameaças detetadas e ações que foram tomadas como resultado das funcionalidades de proteção contra ameaças no Microsoft Defender XDR. Para obter mais informações sobre as ações de remediação automáticas e manuais, veja Remediation actions (Ações de remediação).

Ver detalhes da origem de ação

O Centro de ação melhorado inclui uma coluna Origem de ação que indica de onde veio cada ação. A tabela seguinte descreve possíveis valores de Origem de ação :

Valor da origem de ação Descrição
Ação manual do dispositivo Uma ação manual efetuada num dispositivo. Os exemplos incluem isolamento do dispositivo ou quarentena de ficheiros.
Ação de e-mail manual Uma ação manual efetuada por e-mail. Um exemplo inclui a eliminação recuperável de mensagens de e-mail ou a remediação de uma mensagem de e-mail.
Ação de dispositivo automatizada Uma ação automatizada efetuada numa entidade, como um ficheiro ou processo. Exemplos de ações automatizadas incluem o envio de um ficheiro para quarentena, a paragem de um processo e a remoção de uma chave de registo. (Veja Ações de remediação no Microsoft Defender para Endpoint.)
Ação de e-mail automatizado Uma ação automatizada efetuada em conteúdos de e-mail, como uma mensagem de e-mail, anexo ou URL. Exemplos de ações automatizadas incluem a eliminação recuperável de mensagens de e-mail, o bloqueio de URLs e a desativação do reencaminhamento de correio externo. (Veja Ações de remediação no Microsoft Defender para Office 365.)
Ação de investigação avançada Ações executadas em dispositivos ou e-mails com investigação avançada.
Ação do explorador Ações executadas em conteúdos de e-mail com o Explorador.
Ação de resposta em direto manual Ações executadas num dispositivo com resposta em direto. Os exemplos incluem eliminar um ficheiro, parar um processo e remover uma tarefa agendada.
Ação de resposta em direto Ações executadas num dispositivo com Microsoft Defender para Endpoint APIs. Exemplos de ações incluem isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro.

Permissões necessárias para tarefas do Centro de ação

Para executar tarefas, como aprovar ou rejeitar ações pendentes no Centro de ação, precisa de permissões específicas. Tem as seguintes opções:

  • Microsoft Entra permissões: associar estas funções dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365:

    • Microsoft Defender para Endpoint remediação (dispositivos): associação na funçãoAdministrador de Segurança.

    • Microsoft Defender para Office 365 remediação (conteúdo e e-mail do Office):

      • Associação à função administrador de segurança .

      e

  • Email & permissões de colaboração no portal do Microsoft Defender:

    • Microsoft Defender para Office 365 remediação (conteúdo e e-mail do Office):

      • Associação no grupo de funções Administrador de Segurança

      e

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC)

    • Microsoft Defender para Endpoint remediação: Operações de segurança \ Dados de segurança \ Resposta (gerir).
    • Microsoft Defender para Office 365 remediação (conteúdo e e-mail do Office, se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):
      • Acesso de leitura para e-mail e cabeçalhos de mensagens do Teams: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & metadados de colaboração (leitura).
      • Remediar e-mail malicioso: operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerir).

    Sugestão

    A associação ao grupo de funções Administrador de Segurança Email & permissões de colaboração não concede acesso às capacidades do Centro de ação ou Microsoft Defender XDR. Para estes, tem de ser membro da função administrador de segurança nas permissões de Microsoft Entra.

  • Permissões do Defender para Endpoint:

    • Microsoft Defender para Endpoint remediação (dispositivos): associação na função Ações de remediação ativa.

Sugestão

Os membros da função de Administrador Global no Microsoft Entra ID podem aprovar ou rejeitar qualquer ação pendente no Centro de Ação. No entanto, como melhor prática, deve limitar os membros da função de Administrador Global . Recomendamos que utilize as funções alternativas e os grupos de funções, conforme descrito na lista anterior para permissões do Centro de ação.

Passo seguinte

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.