Detalhes e resultados de uma investigação automatizada
Aplica-se a:
- Microsoft Defender XDR
Com Microsoft Defender XDR, quando uma investigação automatizada é executada, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se tiver as permissões necessárias, pode ver esses detalhes numa vista de detalhes de investigação que lhe fornece o estado atualizado e a capacidade de aprovar quaisquer ações pendentes.
(NOVO) Página de investigação unificada
A página de investigação foi atualizada recentemente para incluir informações nos seus dispositivos, e-mail e conteúdo de colaboração. A nova página de investigação unificada define uma linguagem comum e fornece uma experiência unificada para investigações automáticas em Microsoft Defender para Endpoint e Microsoft Defender para Office 365. Para aceder à página de investigação unificada, selecione a ligação na faixa amarela que verá em:
- Qualquer página de investigação no Portal de Conformidade do Microsoft Purview
- Qualquer página de investigação no portal do Microsoft Defender (https://security.microsoft.com)
- Qualquer incidente ou experiência do Centro de ação no portal do Microsoft Defender
Abrir a vista de detalhes da investigação
Pode abrir a vista de detalhes da investigação com um dos seguintes métodos:
- Selecionar um item no Centro de ação
- Selecionar uma investigação a partir de uma página de detalhes do incidente
Selecionar um item no Centro de ação
O Centro de Ação (https://security.microsoft.com/action-center) melhorado reúne ações de remediação em todos os seus dispositivos, e-mail & conteúdo de colaboração e identidades. As ações listadas incluem ações de remediação que foram executadas automaticamente ou manualmente. No Centro de ação, pode ver ações que aguardam aprovação e ações que já foram aprovadas ou concluídas. Também pode navegar para mais detalhes, como uma página de investigação.
Sugestão
Tem de ter determinadas permissões para aprovar, rejeitar ou anular ações.
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, selecione Centro de ação.
No separador Pendente ou Histórico , selecione um item. O painel de lista de opções é aberto.
Reveja as informações no painel de lista de opções e, em seguida, siga um dos seguintes passos:
- Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir a realização de uma ação pendente.
- Selecione Ir investigar para aceder à Investigação avançada.
Abrir uma investigação a partir de uma página de detalhes do incidente
Utilize uma página de detalhes do incidente para ver informações detalhadas sobre um incidente, incluindo alertas que foram acionados informações sobre quaisquer dispositivos afetados, contas de utilizador ou caixas de correio.
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, selecione Incidentes & alertas>Incidentes.
Selecione um item na lista e, em seguida, selecione Abrir página de incidente.
Selecione o separador Investigações e, em seguida, selecione uma investigação na lista. O painel de lista de opções é aberto.
Selecione Abrir página de investigação.
Eis um exemplo.
Detalhes da investigação
Utilize a vista de detalhes da investigação para ver atividades passadas, atuais e pendentes relacionadas com uma investigação. Eis um exemplo.
Na vista Detalhes da investigação, pode ver informações nos separadores Gráfico de investigação, Alertas, Dispositivos, Identidades, Resultados de chaves, Entidades, Registo e Ações pendentes, descritos na tabela seguinte.
Nota
Os separadores específicos que vê numa página de detalhes de investigação dependem do que a sua subscrição inclui. Por exemplo, se a sua subscrição não incluir Microsoft Defender para Office 365 Plano 2, não verá um separador Caixas de Correio.
Separador | Descrição |
---|---|
Gráfico de investigação | Fornece uma representação visual da investigação. Ilustra as entidades e listas de ameaças encontradas, juntamente com alertas e se alguma ação aguarda aprovação. Pode selecionar um item no gráfico para ver mais detalhes. Por exemplo, selecionar o ícone Provas leva-o para o separador Provas , onde pode ver as entidades detetadas e os respetivos veredictos. |
Alertas | Listas alertas associados à investigação. Os alertas podem ser provenientes de funcionalidades de proteção contra ameaças no dispositivo de um utilizador, em aplicações do Office, Microsoft Defender for Cloud Apps e outras funcionalidades de Microsoft Defender XDR. Se vir o tipo de alerta Não suportado, significa que as capacidades de investigação automatizada não podem recolher esse alerta para executar uma investigação automatizada. No entanto, pode investigar estes alertas manualmente. |
Dispositivos | Listas dispositivos incluídos na investigação, juntamente com o nível de remediação. (Os níveis de remediação correspondem ao nível de automatização dos grupos de dispositivos.) |
Caixas de correio | Listas caixas de correio afetadas por ameaças detetadas. |
Utilizadores | Listas contas de utilizador afetadas por ameaças detetadas. |
Provas | Listas provas levantadas por alertas ou investigações. Inclui veredictos (Malicioso, Suspeito, Desconhecido ou Nenhuma ameaça encontrada) e estado de remediação. |
Entidades | Fornece detalhes sobre cada entidade analisada, incluindo um veredicto para cada tipo de entidade (Maliciosa, Suspeita ou Nenhuma ameaça encontrada). |
Registo | Fornece uma vista cronológica e detalhada de todas as ações de investigação realizadas após o acionamento de um alerta. |
Histórico de ações pendentes | Listas itens que requerem aprovação para continuar. Aceda ao Centro de ação (https://security.microsoft.com/action-center) para aprovar ações pendentes. |
Estados de investigação
A tabela seguinte lista os estados de investigação e o que indicam.
Estado da investigação | Definição |
---|---|
Benigno | Os artefactos foram investigados e foi tomada a determinação de que não foram encontradas ameaças. |
PendingResource | Uma investigação automatizada está em pausa porque uma ação de remediação está pendente de aprovação ou o dispositivo no qual foi encontrado um artefacto está temporariamente indisponível. |
Não SuportadoAlertType | Não está disponível uma investigação automatizada para este tipo de alerta. Uma investigação mais aprofundada pode ser feita manualmente através da investigação avançada. |
Falhou | Pelo menos um analisador de investigação encontrou um problema em que não conseguiu concluir a investigação. Se uma investigação falhar após a aprovação das ações de remediação, as ações de remediação ainda poderão ter sido bem-sucedidas. |
Remediado com êxito | Uma investigação automatizada foi concluída e todas as ações de remediação foram concluídas ou aprovadas. |
Para fornecer mais contexto sobre a forma como os estados de investigação são apresentados, a tabela seguinte lista os alertas e o estado de investigação automatizado correspondente. Esta tabela está incluída como um exemplo do que uma equipa de operações de segurança pode ver no portal do Microsoft Defender.
Nome do alerta | Gravidade | Estado da investigação | Estado | Categoria |
---|---|---|---|---|
Foi detetado software maligno num ficheiro de imagem de disco wim | Informativo | Benigno | Resolvido | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Wpakill hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
GendowsBatch hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
Keygen hacktool foi impedido | Baixo | Falhou | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
MediaGet detetado | Médio | ParcialmenteInvestigado | Novo | Software Maligno |
TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Software Maligno |
O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Software Maligno |
Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Software Maligno |
TrojanEmailFile | Médio | Benigno | Resolvido | Software Maligno |
O software maligno CustomEnterpriseBlock foi impedido | Informativo | Não SuportadoAlertType | Novo | Software Maligno |
O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Software Maligno |
TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Software Maligno |
TrojanEmailFile | Médio | Benigno | Resolvido | Software Maligno |
Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | PendingResource | Novo | Software Maligno |
Passos seguintes
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.