Níveis de automatização em capacidades de investigação e remediação automatizadas

Aplica-se a:

• Microsoft Defender XDR
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender para Empresas

As capacidades automatizadas de investigação e remediação (AIR) no Microsoft Defender para Empresas estão pré-configuradas e não são configuráveis. No Microsoft Defender para Endpoint, pode configurar o AIR para um de vários níveis de automatização. O nível de automatização afeta se as ações de remediação após investigações air são realizadas automaticamente ou apenas após aprovação.

• Automatização completa (recomendado) significa que as ações de remediação são executadas automaticamente em artefactos determinados como maliciosos. (A automatização completa está definida por predefinição no Defender para Empresas.)
• A semi automatização significa que algumas ações de remediação são executadas automaticamente, mas outras ações de remediação aguardam aprovação antes de serem executadas. (Veja a tabela em Níveis de automatização.)
• Todas as ações de remediação, quer estejam pendentes ou concluídas, são controladas no Centro de Ação (https://security.microsoft.com).

Sugestão

Para obter os melhores resultados, recomendamos que utilize a automatização completa quando configurar o AIR. Os dados recolhidos e analisados ao longo do ano passado mostram que os clientes que estão a utilizar a automatização completa tiveram 40% mais amostras de software maligno de alta confiança removidas do que os clientes que estão a utilizar níveis mais baixos de automatização. A automatização completa pode ajudar a libertar os recursos de operações de segurança para se concentrar mais nas suas iniciativas estratégicas.

Nota

A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Níveis de automatização

Nível de automatização	Descrição
Completo – remediar ameaças automaticamente (também conhecido como automatização completa)	Com a automatização completa, as ações de remediação são executadas automaticamente em entidades consideradas maliciosas. Todas as ações de remediação executadas podem ser visualizadas no Centro de Ação no separador Histórico . Se necessário, uma ação de remediação pode ser anulada. Recomenda-se a automatização completa e está selecionada por predefinição para inquilinos com o Defender para Ponto Final que foram criados em ou depois de 16 de agosto de 2020, sem grupos de dispositivos ainda definidos. A automatização completa está definida por predefinição no Defender para Empresas.
Semi – exigir aprovação para todas as pastas (também conhecido como semi-automatização)	Com este nível de semi automatização, é necessária aprovação para ações de remediação em todos os ficheiros. Estas ações pendentes podem ser visualizadas e aprovadas no Centro de Ação, no separador Pendente . As ações pendentes excedem o limite de tempo após 7 dias. Se uma ação exceder o limite de tempo, o comportamento é o mesmo que se a ação for rejeitada. Este nível de semia automatização está selecionado por predefinição para inquilinos que foram criados antes de 16 de agosto de 2020 com Microsoft Defender para Endpoint, sem grupos de dispositivos definidos.
Semi – exigir aprovação para remediação de pastas principais (também um tipo de semi-automatização)	Com este nível de semi automatização, é necessária aprovação para quaisquer ações de remediação necessárias em ficheiros ou executáveis que estejam em pastas principais. As pastas principais incluem diretórios de sistema operativo, como o Windows (\windows\*). As ações de remediação podem ser executadas automaticamente em ficheiros ou executáveis que estejam noutras pastas (não essenciais). As ações pendentes para ficheiros ou executáveis em pastas principais podem ser visualizadas e aprovadas no Centro de Ação, no separador Pendente . As ações executadas em ficheiros ou executáveis noutras pastas podem ser visualizadas no Centro de Ação, no separador Histórico .
Semi – exigir aprovação para remediação de pastas não temporárias (também um tipo de semi-automatização)	Com este nível de semi automatização, é necessária aprovação para quaisquer ações de remediação necessárias em ficheiros ou executáveis que não estejam* em pastas temporárias. As pastas temporárias podem incluir os seguintes exemplos: \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* As ações de remediação podem ser executadas automaticamente em ficheiros ou executáveis que estejam em pastas temporárias. As ações pendentes para ficheiros ou executáveis que não estejam em pastas temporárias podem ser visualizadas e aprovadas no Centro de Ação, no separador Pendente . As ações executadas em ficheiros ou executáveis em pastas temporárias podem ser visualizadas e aprovadas no Centro de Ação, no separador Histórico .
Nenhuma resposta automatizada (também referido como sem automatização)	Sem automatização, a investigação automatizada não é executada nos dispositivos da sua organização. Como resultado, não são tomadas ou pendentes ações de remediação como resultado de uma investigação automatizada. No entanto, outras funcionalidades de proteção contra ameaças, como a proteção contra aplicações potencialmente indesejadas, podem estar em vigor, consoante a forma como as suas funcionalidades de proteção antivírus e de próxima geração são configuradas. *A utilização da opção sem automatização não é recomendada, uma vez que reduz a postura de segurança dos dispositivos da sua organização. Considere configurar o nível de automatização para a automatização completa (ou, pelo menos, semi automatização).

Pontos importantes sobre os níveis de automatização

• A automatização completa provou ser fiável, eficiente e segura, e é recomendada para todos os clientes. A automatização completa liberta os seus recursos de segurança críticos para que possam concentrar-se mais nas suas iniciativas estratégicas.

• Os novos inquilinos (que incluem inquilinos que foram criados em ou depois de 16 de agosto de 2020) com o Defender para Endpoint estão definidos como automatização completa por predefinição.

• O Defender para Empresas utiliza a automatização completa por predefinição. O Defender para Empresas não utiliza grupos de dispositivos da mesma forma que o Defender para Endpoint. Assim, a automatização completa é ativada e aplicada a todos os dispositivos no Defender para Empresas.

• Se a sua equipa de segurança tiver definido grupos de dispositivos com um nível de automatização, essas definições não serão alteradas pelas novas predefinições que estão a ser implementadas.

• Pode manter as suas predefinições de automatização ou alterá-las de acordo com as suas necessidades organizacionais. Para alterar as suas definições, defina o seu nível de automatização.

Nota

O Defender para Empresas depende da proteção em tempo real para investigação automática. A proteção em tempo real tem de estar ativada e no modo ativo para ativar a investigação automática.

Passos seguintes

• Configurar capacidades de investigação e remediação automatizadas no Defender para Endpoint
• Visite o Centro de Ação

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.