Visão geral de investigações automatizadas

Aplica-se a:

Plataformas

  • Windows

Quer ver como funciona? Veja o seguinte vídeo:

A tecnologia na investigação automática utiliza vários algoritmos de inspeção e baseia-se em processos que são utilizados por analistas de segurança. As capacidades de AIR foram concebidas para examinar alertas e tomar medidas imediatas para resolver falhas de sistema. As capacidades de AIR reduzem significativamente o volume dos alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e noutras iniciativas de valor elevado. Todas as ações de remediação, quer sejam pendentes ou concluídas, são controlar-se no Centro de ação. No Centro de Ação, as ações pendentes são aprovadas (ou rejeitadas) e as ações concluídas podem ser desfazer-se, se necessário.

Este artigo fornece uma visão geral do AIR e inclui ligações para os próximos passos e recursos adicionais.

Dica

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Como é iniciada a investigação automatizada

Uma investigação automatizada pode começar quando é ativado um alerta ou quando um operador de segurança inicia a investigação.

Situação O que acontece
É ativado um alerta Em geral, uma investigação automatizada começa quando é ativado um alerta e é criado um incidente. Por exemplo, suponha que um ficheiro malicioso reside num dispositivo. Quando esse ficheiro é detetado, é ativado um alerta e é criado um incidente. Um processo de investigação automatizado começa no dispositivo. À medida que outros alertas são gerados devido ao mesmo ficheiro noutros dispositivos, estes são adicionados ao incidente associado e à investigação automatizada.
Uma investigação é iniciada manualmente Uma investigação automática pode ser iniciada manualmente pela sua equipa de operações de segurança. Por exemplo, imaginemos que um operador de segurança está a rever uma lista de dispositivos e a reparar que um dispositivo tem um nível de risco elevado. O operador de segurança pode selecionar o dispositivo na lista para abrir a lista e, em seguida, selecionar Iniciar Investigação Automática.

Como uma investigação automatizada expande o seu âmbito

Enquanto a investigação está em execução, todos os outros alertas gerados a partir do dispositivo são adicionados a uma investigação automatizada a decorrer até essa investigação ser concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos são adicionados à investigação.

Se uma entidade desalotada for vista noutro dispositivo, o processo de investigação automatizada expande o âmbito para incluir esse dispositivo e será iniciado um manual de procedimentos de segurança geral nesse dispositivo. Se encontrar 10 ou mais dispositivos durante este processo de expansão a partir da mesma entidade, essa ação de expansão requer uma aprovação e fica visível no separador Ações pendentes .

Como as ameaças são remediadas

À medida que os alertas são ativados e é executada uma investigação automatizada, é gerado um veredito para cada prova investigada. Os vereditos podem ser:

  • Malicioso;
  • Suspeitas; ou
  • Não foram encontradas ameaças.

À medida que os vereditos são atingidos, as investigações automáticas podem resultar numa ou mais ações de remediação. Exemplos de ações de remediação incluem o envio de um ficheiro para a quarentena, a paragem de um serviço, a remoção de uma tarefa agendada e muito mais. Para saber mais, consulte ações de remediação.

Dependendo do nível de automatização definido para a sua organização, bem como de outras definições de segurança, as ações de remediação podem ocorrer automaticamente ou apenas mediante a aprovação por parte da equipa de operações de segurança. As definições de segurança adicionais que podem afetar a remediação automática incluem proteção contra aplicações potencialmente indesejadas (PUA).

Todas as ações de remediação, quer sejam pendentes ou concluídas, são controlar-se no Centro de ação. Se for necessário, a sua equipa de operações de segurança pode desfazer uma ação de remediação. Para saber mais, consulte Rever e aprovar ações de remediação após uma investigação automática.

Dica

Consulte a nova página de investigação unificada no portal de Microsoft 365 Defender Empresas. Para saber mais, consulte a página de investigação Unificada.

Requisitos para a AIR

A sua subscrição tem de incluir o Defender para Ponto Final ou o Defender para Empresas.

Nota

A investigação e resposta automática necessitam do Antivírus do Microsoft Defender para ser executada em modo passivo ou em modo ativo. Se o Antivírus do Microsoft Defender estiver desativado ou desinstatado, a Investigação e Resposta Automáticas não funcionará corretamente.

Atualmente, o AIR só suporta as seguintes versões do SO:

  • Windows Server 2012 R2 (Pré-visualização)
  • Windows Server 2016 (Pré-visualização)
  • Windows Server 2019
  • Windows Server 2022
  • Windows 10, versão 1709 (Comtrução do SO 16299.1085 com KB4493441) ou posterior
  • Windows 10, versão 1803 (Comtrução do SO 17134.704 com KB4493464) ou posterior
  • Windows 10, versão 1803 ou posterior
  • Windows 11

Nota

A investigação e resposta automática Windows Server 2012 R2 e Windows Server 2016 necessita que o Agente Unificado seja instalado.

Passos seguintes

Consulte também