Investigar dispositivos na lista de Dispositivos do Microsoft Defender para Endpoint

Aplica-se a:

• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Investigue os detalhes de um alerta gerado num dispositivo específico para identificar outros comportamentos ou eventos que possam estar relacionados com o alerta ou o âmbito potencial da falha.

Nota

Como parte do processo de investigação ou resposta, pode recolher um pacote de investigação de um dispositivo. Eis como: Recolher o pacote de investigação dos dispositivos.

Pode selecionar em dispositivos afetados sempre que os vir no portal para abrir um relatório detalhado sobre esse dispositivo. Os dispositivos afetados são identificados nas seguintes áreas:

• Lista de dispositivos
• Fila de alertas
• Qualquer alerta individual
• Qualquer vista de detalhes de ficheiro individual
• Qualquer endereço IP ou vista de detalhes do domínio

Quando investiga um dispositivo específico, verá:

• Detalhes do dispositivo
• Ações de resposta
• Separadores (descrição geral, alertas, linha cronológica, recomendações de segurança, inventário de software, vulnerabilidades detetadas, KBs em falta)
• Cartões (alertas ativos, utilizadores com sessão iniciada, avaliação de segurança, estado de funcionamento do dispositivo)

Nota

Devido a restrições de produtos, o perfil do dispositivo não considera todas as provas cibernéticas ao determinar o período de tempo "Visto Pela Última Vez" (como visto também na página do dispositivo). Por exemplo, o valor "Visto pela última vez" na página Dispositivo pode mostrar um período de tempo mais antigo, apesar de os alertas ou dados mais recentes se encontrarem disponíveis na linha cronológica do computador.

Detalhes do dispositivo

A secção de detalhes do dispositivo fornece informações como o domínio, o SO e o estado de funcionamento do dispositivo. Se existir um pacote de investigação disponível no dispositivo, verá uma ligação que lhe permite transferir o pacote.

Ações de resposta

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

• Ver no mapa
• Valor do dispositivo
• Definir a importância
• Gerir etiquetas
• Isolar dispositivo
• Restringir a execução de aplicações
• Executar análise de antivírus
• Recolher pacote de investigação
• Iniciar sessão de resposta em direto
• Iniciar investigação automatizada
• Consultar um perito em ameaças
• Centro de ação

Pode efetuar ações de resposta no Centro de ação, numa página de dispositivo específica ou numa página de ficheiro específica.

Para obter mais informações sobre como efetuar ações num dispositivo, consulte Tomar medidas de resposta num dispositivo.

Para obter mais informações, veja Investigar entidades de utilizador.

Nota

Ver no mapa e definir a criticidade são as funcionalidades da Gestão de Exposição da Microsoft, que está atualmente em pré-visualização pública.

Separadores

Os separadores fornecem informações de segurança e prevenção de ameaças relevantes relacionadas com o dispositivo. Em cada separador, pode personalizar as colunas que são apresentadas ao selecionar Personalizar colunas na barra acima dos cabeçalhos de coluna.

Descrição geral

O separador Descrição geral apresenta os cartões para alertas ativos, utilizadores com sessão iniciada e avaliação de segurança.

Incidentes e alertas

O separador Incidentes e alertas fornece uma lista de incidentes e alertas associados ao dispositivo. Esta lista é uma versão filtrada da fila Alertas e mostra uma breve descrição do incidente, alerta, gravidade (alto, médio, baixo, informativo), estado na fila (novo, em curso, resolvido), classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria de alerta, quem está a tratar do alerta e última atividade. Também pode filtrar os alertas.

Quando um alerta é selecionado, é apresentada uma lista de opções. A partir deste painel, pode gerir o alerta e ver mais detalhes, como o número de incidente e dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.

Para ver uma vista de página inteira de um alerta, selecione o título do alerta.

Linha cronológica

O separador Linha Cronológica fornece uma vista cronológica dos eventos e alertas associados que foram observados no dispositivo. Isto pode ajudá-lo a correlacionar quaisquer eventos, ficheiros e endereços IP em relação ao dispositivo.

A linha cronológica também lhe permite desagregar seletivamente eventos que ocorreram num determinado período de tempo. Pode ver a sequência temporal de eventos que ocorreram num dispositivo durante um período de tempo selecionado. Para controlar ainda mais a sua vista, pode filtrar por grupos de eventos ou personalizar as colunas.

Nota

Para que os eventos da firewall sejam apresentados, terá de ativar a política de auditoria, veja Audit filtering Platform connection (Ligação da Plataforma de Filtragem de Auditoria).

A firewall abrange os seguintes eventos:

• 5025 – serviço de firewall parado
• 5031 – a aplicação impedida de aceitar ligações de entrada na rede
• 5157 - ligação bloqueada

Algumas das funcionalidades incluem:

• Pesquisa para eventos específicos
  • Utilize a barra de pesquisa para procurar eventos de linha cronológica específicos.
• Filtrar eventos a partir de uma data específica
  • Selecione o ícone de calendário no canto superior esquerdo da tabela para apresentar eventos no último dia, semana, 30 dias ou intervalo personalizado. Por predefinição, a linha cronológica do dispositivo está definida para apresentar os eventos dos últimos 30 dias.
  • Utilize a linha cronológica para ir para um momento específico no tempo ao realçar a secção. As setas na linha cronológica identificam as investigações automatizadas
• Exportar eventos detalhados da linha cronológica do dispositivo
  • Exporte a linha cronológica do dispositivo para a data atual ou um intervalo de datas especificado até sete dias.

São fornecidos mais detalhes sobre determinados eventos na secção Informações adicionais . Estes detalhes variam consoante o tipo de evento, por exemplo:

• Contido por Application Guard – o evento do browser foi restringido por um contentor isolado
• Ameaça ativa detetada – a deteção de ameaças ocorreu enquanto a ameaça estava em execução
• Remediação sem êxito – uma tentativa de remediar a ameaça detetada foi invocada, mas falhou
• Remediação bem-sucedida – a ameaça detetada foi parada e limpa
• Aviso ignorado pelo utilizador – o aviso Windows Defender SmartScreen foi dispensado e substituído por um utilizador
• Script suspeito detetado – foi encontrado um script potencialmente malicioso em execução
• A categoria de alerta – se o evento levou à geração de um alerta, é fornecida a categoria de alerta (Movimento Lateral, por exemplo)

Detalhes do evento

Selecione um evento para ver detalhes relevantes sobre esse evento. É apresentado um painel para mostrar informações gerais sobre eventos. Quando aplicável e os dados estão disponíveis, é também apresentado um gráfico que mostra as entidades relacionadas e as respetivas relações.

Para inspecionar ainda mais o evento e os eventos relacionados, pode executar rapidamente uma consulta de investigação avançada ao selecionar Investigar eventos relacionados. A consulta devolve o evento selecionado e a lista de outros eventos que ocorreram por volta da mesma hora no mesmo ponto final.

Recomendações de segurança

As recomendações de segurança são geradas a partir da capacidade de Gestão de Vulnerabilidades do Microsoft Defender para Endpoint. A seleção de uma recomendação mostra um painel onde pode ver detalhes relevantes, como a descrição da recomendação e os potenciais riscos associados à não aprovação da mesma. Veja Recomendação de segurança para obter detalhes.

Políticas de segurança

O separador Políticas de segurança mostra as políticas de segurança de ponto final que são aplicadas no dispositivo. Verá uma lista de políticas, tipo, estado e hora da última entrada. Selecionar o nome de uma política leva-o para a página de detalhes da política, onde pode ver o estado das definições da política, os dispositivos aplicados e os grupos atribuídos.

Inventário de software

O separador Inventário de software permite-lhe ver software no dispositivo, juntamente com quaisquer fraquezas ou ameaças. Selecionar o nome do software leva-o para a página de detalhes do software, onde pode ver recomendações de segurança, vulnerabilidades detetadas, dispositivos instalados e distribuição de versões. Veja Inventário de software para obter detalhes.

Vulnerabilidades detetadas

O separador Vulnerabilidades detetadas mostra o nome, a gravidade e as informações sobre ameaças de vulnerabilidades detetadas no dispositivo. Se selecionar uma vulnerabilidade específica, verá uma descrição e detalhes.

KBs em falta

O separador KBs em falta lista as atualizações de segurança em falta para o dispositivo.

Cartões

Alertas ativos

O cartão Azure Advanced Threat Protection apresenta uma descrição geral de alto nível dos alertas relacionados com o dispositivo e o respetivo nível de risco, se estiver a utilizar a funcionalidade Microsoft Defender para Identidade e existirem alertas ativos. Estão disponíveis mais informações na desagregação de Alertas .

Nota

Terá de ativar a integração no Microsoft Defender para Identidade e no Defender para Endpoint para utilizar esta funcionalidade. No Defender para Endpoint, pode ativar esta funcionalidade em funcionalidades avançadas. Para obter mais informações sobre como ativar funcionalidades avançadas, consulte Ativar funcionalidades avançadas.

Utilizadores com sessão iniciada

O cartão Utilizadores com sessão iniciada mostra quantos utilizadores iniciaram sessão nos últimos 30 dias, juntamente com os utilizadores mais e menos frequentes. Selecionar a ligação Ver todos os utilizadores abre o painel de detalhes, que apresenta informações como o tipo de utilizador, o tipo de início de sessão e quando o utilizador foi visto pela primeira vez e pela última vez. Para obter mais informações, veja Investigar entidades de utilizador.

Nota

O valor de utilizador "mais frequente" é calculado apenas com base em provas de utilizadores que iniciaram sessão interativamente com êxito. No entanto, o painel lateral Todos os utilizadores calcula todos os tipos de inícios de sessão de utilizador, pelo que é esperado que veja utilizadores mais frequentes no painel lateral, uma vez que esses utilizadores podem não ser interativos.

Avaliações de segurança

O cartão Avaliações de segurança mostra o nível de exposição geral, as recomendações de segurança, o software instalado e as vulnerabilidades detetadas. O nível de exposição de um dispositivo é determinado pelo impacto cumulativo das recomendações de segurança pendentes.

Estado de funcionamento do dispositivo

O cartão Estado de funcionamento do dispositivo mostra um relatório de estado de funcionamento resumido para o dispositivo específico. Uma das seguintes mensagens é apresentada na parte superior do cartão para indicar o estado geral do dispositivo (listado por ordem de prioridade mais alta para a mais baixa):

• Antivírus do Defender não ativo
• As informações de segurança não estão atualizadas
• O motor não está atualizado
• Falha na análise rápida
• Falha na análise completa
• A plataforma não está atualizada
• O estado da atualização das informações de segurança é desconhecido
• O estado da atualização do motor é desconhecido
• O estado da análise rápida é desconhecido
• O estado de análise completo é desconhecido
• O estado da atualização da plataforma é desconhecido
• O dispositivo está atualizado
• Estado não disponível para macOS & Linux

Outras informações no cartão incluem: a última análise completa, última análise rápida, versão da atualização de informações de segurança, versão da atualização do motor, versão da atualização da plataforma e modo Antivírus do Defender.

Um círculo cinzento indica que os dados são desconhecidos.

Nota

A mensagem de estado geral para dispositivos macOS e Linux é apresentada atualmente como "Estado não disponível para macOS & Linux". Atualmente, o resumo do estado só está disponível para dispositivos Windows. Todas as outras informações na tabela estão atualizadas para mostrar os estados individuais de cada sinal de estado de funcionamento do dispositivo para todas as plataformas suportadas.

Para obter uma vista detalhada do relatório de estado de funcionamento do dispositivo, pode aceder a Relatórios > Estado de funcionamento dos dispositivos. Para obter mais informações, veja Relatório de estado de funcionamento e conformidade do dispositivo no Microsoft Defender para Endpoint.

Nota

A data e a hora do modo Antivírus do Defender não estão atualmente disponíveis.

Artigos relacionados

• Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
• Gerir alertas de Microsoft Defender para Endpoint
• Investigar alertas de Microsoft Defender para Endpoint
• Investigar um ficheiro associado a um alerta do Defender para Endpoint
• Investigar um endereço IP associado a um alerta do Defender para Endpoint
• Investigar um domínio associado a um alerta do Defender para Endpoint
• Investigar uma conta de utilizador no Defender para Endpoint
• Recomendação de segurança
• Inventário de software

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.