Tomar medidas de resposta num dispositivo

Aplica-se a:

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Responda rapidamente aos ataques detetados ao isolar dispositivos ou ao recolher um pacote de investigação. Depois de efetuar uma ação nos dispositivos, pode verificar os detalhes da atividade no Centro de ação.

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

  • Gerir etiquetas
  • Iniciar Investigação Automatizada
  • Iniciar sessão de resposta em direto
  • Recolher pacote de investigação
  • Executar análise de antivírus
  • Restringir a execução de aplicações
  • Isolar dispositivo
  • Conter dispositivo
  • Consultar um perito em ameaças
  • Centro de ação

Imagem de ações de resposta.

Importante

O Defender para Endpoint Plano 1 inclui apenas as seguintes ações de resposta manual:

  • Executar análise de antivírus
  • Isolar dispositivo
  • Parar e colocar um ficheiro em quarentena
  • Adicione um indicador para bloquear ou permitir um ficheiro.

Microsoft Defender para Empresas não inclui a ação "Parar e colocar um ficheiro em quarentena" neste momento. A sua subscrição tem de incluir o Defender para Endpoint Plano 2 para ter todas as ações de resposta descritas neste artigo.

Pode encontrar páginas de dispositivos a partir de qualquer uma das seguintes vistas:

  • Fila de alertas - Selecione o nome do dispositivo junto ao ícone do dispositivo na fila de alertas.
  • Lista de dispositivos – selecione o cabeçalho do nome do dispositivo na lista de dispositivos.
  • Caixa de pesquisa - Selecione Dispositivo no menu suspenso e introduza o nome do dispositivo.

Importante

  • Estas ações de resposta só estão disponíveis para dispositivos no Windows 10, versão 1703 ou posterior, Windows 11, Windows Server 2019 e Windows Server 2022.
  • Para plataformas não Windows, as capacidades de resposta (como o dispositivo isolado) dependem das capacidades de terceiros.
  • Para agentes originais da Microsoft, consulte a ligação "mais informações" em cada funcionalidade para obter os requisitos mínimos do SO.

Gerir etiquetas

Adicione ou faça a gestão de etiquetas para criar uma afiliação de grupo lógico. As etiquetas de dispositivo suportam o mapeamento adequado da rede, permitindo-lhe anexar diferentes etiquetas para capturar o contexto e permitir a criação de listas dinâmicas como parte de um incidente.

Para obter mais informações sobre a identificação de dispositivos, consulte Criar e gerir etiquetas de dispositivos.

Iniciar Investigação Automatizada

Pode iniciar uma nova investigação automatizada para fins gerais no dispositivo, se necessário. Enquanto uma investigação está em execução, qualquer outro alerta gerado a partir do dispositivo será adicionado a uma investigação automatizada em curso até que essa investigação esteja concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos serão adicionados à investigação.

Para obter mais informações sobre investigações automatizadas, veja Descrição geral das Investigações automatizadas.

Iniciar sessão de resposta em direto

A resposta em direto é uma capacidade que lhe dá acesso instantâneo a um dispositivo através de uma ligação de shell remota. Isto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real.

A resposta em direto foi concebida para melhorar as investigações ao permitir-lhe recolher dados forenses, executar scripts, enviar entidades suspeitas para análise, remediar ameaças e procurar proativamente ameaças emergentes.

Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto.

Recolher o pacote de investigação dos dispositivos

Como parte do processo de investigação ou resposta, pode recolher um pacote de investigação de um dispositivo. Ao recolher o pacote de investigação, pode identificar o estado atual do dispositivo e compreender melhor as ferramentas e técnicas utilizadas pelo atacante.

Importante

Atualmente, estas ações não são suportadas para dispositivos com macOS ou Linux. Utilize a resposta em direto para executar a ação. Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto

Para transferir o pacote (ficheiro Zip) e investigar os eventos ocorridos num dispositivo

  1. Selecione Recolher pacote de investigação na linha de ações de resposta na parte superior da página do dispositivo.

  2. Especifique na caixa de texto o motivo pelo qual pretende efetuar esta ação. Selecione Confirmar.

  3. O ficheiro zip será transferido

Forma alternativa:

  1. Selecione Centro de ação na secção de ações de resposta da página do dispositivo.

    A opção Centro de ação

  2. Na lista de opções do Centro de ação, selecione Pacote de recolha de pacotes disponível para transferir o ficheiro zip.

    A opção transferir pacote

O pacote contém as seguintes pastas:

Pasta Descrição
Auto-substantivos Contém um conjunto de ficheiros que representam o conteúdo do registo de um ponto de entrada de início automático (ASEP) conhecido para ajudar a identificar a persistência do atacante no dispositivo.

NOTA: Se a chave de registo não for encontrada, o ficheiro irá conter a seguinte mensagem: "ERRO: O sistema não conseguiu localizar a chave ou o valor do registo especificado.".
Programas instalados Este ficheiro .CSV contém a lista de programas instalados que podem ajudar a identificar o que está atualmente instalado no dispositivo. Para obter mais informações, consulte Win32_Product classe.
Ligações de rede Esta pasta contém um conjunto de pontos de dados relacionados com as informações de conectividade que podem ajudar a identificar a conectividade a URLs suspeitos, a infraestrutura de comando e controlo (C&C) do atacante, qualquer movimento lateral ou ligações remotas.
  • ActiveNetConnections.txt: apresenta estatísticas de protocolo e ligações de rede TCP/IP atuais. Fornece a capacidade de procurar conectividade suspeita feita por um processo.
  • Arp.txt: apresenta as tabelas de cache do protocolo de resolução de endereços (ARP) atuais para todas as interfaces. A cache do ARP pode revelar outros anfitriões numa rede que tenham sido comprometidos ou sistemas suspeitos na rede que possam ter sido utilizados para executar um ataque interno.
  • DnsCache.txt: apresenta o conteúdo da cache de resolução do cliente DNS, que inclui as entradas pré-carregadas do ficheiro Anfitriões local e quaisquer registos de recursos obtidos recentemente para consultas de nome resolvidas pelo computador. Isto pode ajudar a identificar ligações suspeitas.
  • IpConfig.txt: apresenta a configuração completa de TCP/IP para todos os adaptadores. Os adaptadores podem representar interfaces físicas, como placas de rede instaladas ou interfaces lógicas, como ligações de acesso telefónico.
  • FirewallExecutionLog.txt e pfirewall.log

NOTA: O ficheiro pfirewall.log tem de existir em %windir%\system32\logfiles\firewall\pfirewall.log, pelo que será incluído no pacote de investigação. Para obter mais informações sobre como criar o ficheiro de registo da firewall, veja Configurar a Firewall do Windows Defender com o Registo de Segurança Avançado
Pré-obtenção de ficheiros Os ficheiros Windows Prefetch foram concebidos para acelerar o processo de arranque da aplicação. Pode ser utilizado para controlar todos os ficheiros utilizados recentemente no sistema e localizar rastreios para aplicações que possam ter sido eliminadas, mas que ainda podem ser encontrados na lista de ficheiros de pré-correspondência.
  • Pasta prefetch: contém uma cópia dos ficheiros de pré-obtenção de %SystemRoot%\Prefetch. NOTA: sugere-se que transfira um visualizador de ficheiros de pré-correspondência para ver os ficheiros de pré-bloqueio.
  • PrefetchFilesList.txt: contém a lista de todos os ficheiros copiados que podem ser utilizados para controlar se ocorreram falhas de cópia na pasta de pré-bloqueio.
Processos Contém um ficheiro .CSV que lista os processos em execução e fornece a capacidade de identificar os processos atuais em execução no dispositivo. Isto pode ser útil ao identificar um processo suspeito e o respetivo estado.
Tarefas agendadas Contém um ficheiro .CSV que lista as tarefas agendadas, que podem ser utilizadas para identificar rotinas executadas automaticamente num dispositivo escolhido para procurar código suspeito definido para ser executado automaticamente.
Registo de eventos de segurança Contém o registo de eventos de segurança, que contém registos de atividade de início de sessão ou fim de sessão, ou outros eventos relacionados com segurança especificados pela política de auditoria do sistema.

NOTA: Abra o ficheiro de registo de eventos com o Visualizador de eventos.
Serviços Contém um ficheiro .CSV que lista os serviços e os respetivos estados.
Sessões do Windows Server Message Block (SMB) Lista o acesso partilhado a ficheiros, impressoras e portas de série e comunicações diversas entre nós numa rede. Isto pode ajudar a identificar a transferência de dados exfiltração ou movimento lateral.

Contém ficheiros para SMBInboundSessions e SMBOutboundSession.

NOTA: Se não existirem sessões (entrada ou saída), receberá um ficheiro de texto que indica que não foram encontradas sessões SMB.
Informações do Sistema Contém um ficheiro SystemInformation.txt que lista informações do sistema, como a versão do SO e as placas de rede.
Diretórios Temporários Contém um conjunto de ficheiros de texto que lista os ficheiros localizados em %Temp% para cada utilizador no sistema.

Isto pode ajudar a controlar ficheiros suspeitos que um atacante possa ter deixado cair no sistema.

NOTA: Se o ficheiro contiver a seguinte mensagem: "O sistema não consegue localizar o caminho especificado", significa que não existe nenhum diretório temporário para este utilizador e poderá dever-se ao facto de o utilizador não ter sessão iniciada no sistema.
Utilizadores e Grupos Fornece uma lista de ficheiros que cada um representa um grupo e os respetivos membros.
WdSupportLogs Fornece o MpCmdRunLog.txt e MPSupportFiles.cab

NOTA: Esta pasta só será criada no Windows 10, versão 1709 ou posterior com o update rollup de fevereiro de 2020 ou mais recente instalado:
  • Win10 1709 (RS3) Build 16299.1717: KB4537816
  • Win10 1803 (RS4) Compilação 17134.1345: KB4537795
  • Win10 1809 (RS5) Build 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) Compilações 18362.693 e 18363.693: KB4535996
CollectionSummaryReport.xls Este ficheiro é um resumo da recolha de pacotes de investigação, contém a lista de pontos de dados, o comando utilizado para extrair os dados, o estado de execução e o código de erro se existir uma falha. Pode utilizar este relatório para controlar se o pacote inclui todos os dados esperados e identificar se ocorreram erros.

Executar Microsoft Defender análise de Antivírus em dispositivos

Como parte do processo de investigação ou resposta, pode iniciar remotamente uma análise antivírus para ajudar a identificar e remediar software maligno que possa estar presente num dispositivo comprometido.

Importante

  • Esta ação não é atualmente suportada para macOS e Linux. Utilize a resposta em direto para executar a ação. Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto
  • Uma análise do Antivírus Microsoft Defender pode ser executada juntamente com outras soluções antivírus, quer Microsoft Defender Antivírus seja ou não a solução antivírus ativa. Microsoft Defender o Antivírus pode estar no modo Passivo. Para obter mais informações, veja Microsoft Defender Compatibilidade do Antivírus.

Um que selecionou Executar análise antivírus, selecione o tipo de análise que pretende executar (rápido ou completo) e adicione um comentário antes de confirmar a análise.

A notificação para selecionar a análise rápida ou a análise completa e adicionar comentários

O Centro de ação mostrará as informações de análise e a linha cronológica do dispositivo incluirá um novo evento, refletindo que foi submetida uma ação de análise no dispositivo. Microsoft Defender alertas de Antivírus refletirão quaisquer deteções que surgiram durante a análise.

Nota

Ao acionar uma análise com a ação de resposta do Defender para Endpoint, Microsoft Defender valor do antivírus "ScanAvgCPULoadFactor" ainda se aplica e limita o impacto da CPU da análise. Se ScanAvgCPULoadFactor não estiver configurado, o valor predefinido é um limite de 50% de carga máxima da CPU durante uma análise. Para obter mais informações, consulte configure-advanced-scan-types-microsoft-defender-antivirus.

Restringir a execução de aplicações

Além de conter um ataque ao parar processos maliciosos, também pode bloquear um dispositivo e impedir a execução de tentativas subsequentes de programas potencialmente maliciosos.

Importante

  • Esta ação está disponível para dispositivos no Windows 10, versão 1709 ou posterior, Windows 11 e Windows Server 2019 ou posterior.
  • Esta funcionalidade está disponível se a sua organização utilizar Microsoft Defender Antivírus.
  • Esta ação tem de cumprir os Windows Defender formatos de política de integridade de código do Controlo de Aplicações e requisitos de assinatura. Para obter mais informações, veja Formatos de política de integridade do código e assinatura).

Para restringir a execução de uma aplicação, é aplicada uma política de integridade de código que só permite que os ficheiros sejam executados se forem assinados por um certificado emitido pela Microsoft. Este método de restrição pode ajudar a impedir que um atacante controle dispositivos comprometidos e realize atividades maliciosas adicionais.

Nota

Poderá reverter a restrição de execução de aplicações em qualquer altura. O botão na página do dispositivo será alterado para dizer Remover restrições de aplicações e, em seguida, siga os mesmos passos que restringir a execução de aplicações.

Depois de selecionar Restringir a execução de aplicações na página do dispositivo, escreva um comentário e selecione Confirmar. O Centro de ação mostrará as informações de análise e a linha cronológica do dispositivo incluirá um novo evento.

Notificação de restrição de aplicações

Notificação no utilizador do dispositivo

Quando uma aplicação é restrita, é apresentada a seguinte notificação para informar o utilizador de que uma aplicação está a ser impedida de ser executada:

A mensagem de restrição de aplicações

Nota

A notificação não está disponível em Windows Server 2016 e Windows Server 2012 R2.

Isolar dispositivos da rede

Dependendo da gravidade do ataque e da sensibilidade do dispositivo, poderá querer isolar o dispositivo da rede. Esta ação pode ajudar a impedir que o atacante controle o dispositivo comprometido e realize atividades adicionais, como a transferência de dados exfiltração e movimento lateral.

Importante

  • Atualmente, o isolamento de dispositivos da rede não é suportado para dispositivos macOS. Para macOS, utilize a resposta em direto para executar a ação. Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto.
  • O isolamento total está disponível para dispositivos com Windows 11, Windows 10, versão 1703 ou posterior, Windows Server 2022, Windows Server 2019 e Windows Server 2016.
  • Pode utilizar a capacidade de isolamento de dispositivos na pré-visualização pública em todas as Microsoft Defender para Endpoint suportadas no Linux listadas em Requisitos de sistema.
  • O isolamento seletivo está disponível para dispositivos com Windows 10, versão 1709 ou posterior e Windows 11.
  • Ao isolar um dispositivo, só são permitidos determinados processos e destinos. Por conseguinte, os dispositivos que estão atrás de um túnel VPN completo não conseguirão aceder ao serviço cloud Microsoft Defender para Endpoint após o dispositivo estar isolado. Recomendamos a utilização de uma VPN de túnel dividido para Microsoft Defender para Endpoint e Microsoft Defender tráfego relacionado com a proteção baseada na cloud do Antivírus.
  • A funcionalidade suporta a ligação VPN.
  • Tem de ter, pelo menos, uma das seguintes permissões de função: "Ações de remediação ativas". Para obter mais informações, veja Criar e gerir funções.
  • Tem de ter acesso ao dispositivo com base nas definições do grupo de dispositivos. Para obter mais informações, veja Criar e gerir grupos de dispositivos.
  • A exclusão do isolamento do Linux não é suportada.

Esta funcionalidade de isolamento de dispositivo desliga o dispositivo comprometido da rede ao manter a conectividade ao serviço Defender para Endpoint, que continua a monitorizar o dispositivo.

No Windows 10, versão 1709 ou posterior, terá mais controlo sobre o nível de isolamento de rede. Também pode optar por ativar o Outlook, o Microsoft Teams e a conectividade Skype para Empresas (também conhecido como "Isolamento Seletivo").

Nota

Poderá voltar a ligar o dispositivo à rede em qualquer altura. O botão na página do dispositivo mudará para dizer Libertar do isolamento e, em seguida, seguirá os mesmos passos que isolar o dispositivo.

Depois de selecionar Isolar dispositivo na página do dispositivo, escreva um comentário e selecione Confirmar. O Centro de ação mostrará as informações de análise e a linha cronológica do dispositivo incluirá um novo evento.

Uma página de detalhes do dispositivo isolado

Nota

O dispositivo permanecerá ligado ao serviço Defender para Endpoint, mesmo que esteja isolado da rede. Se optou por ativar o Outlook e Skype para Empresas comunicação, poderá comunicar com o utilizador enquanto o dispositivo estiver isolado.

Notificação no utilizador do dispositivo

Quando um dispositivo está a ser isolado, é apresentada a seguinte notificação para informar o utilizador de que o dispositivo está a ser isolado da rede:

Uma mensagem sem ligação de rede

Nota

A notificação não está disponível em plataformas não Windows.

Conter dispositivos a partir da rede

Nota

As funcionalidades de contenção estão atualmente em pré-visualização pública. Para saber mais sobre as novas funcionalidades na versão de pré-visualização do Microsoft 365 Defender e estar entre as primeiras a experimentar as funcionalidades futuras ao ativar a experiência de pré-visualização, consulte Funcionalidades de pré-visualização no Micrsoft 365 Defender.

Quando tiver identificado um dispositivo não gerido que está comprometido ou potencialmente comprometido, poderá querer conter esse dispositivo da rede. Quando contém um dispositivo, qualquer Microsoft Defender para Endpoint dispositivo integrado bloqueará a comunicação de entrada e saída com esse dispositivo. Esta ação pode ajudar a impedir que os dispositivos vizinhos fiquem comprometidos enquanto o analista de operações de segurança localiza, identifica e corrige a ameaça no dispositivo comprometido.

Nota

O bloqueio da comunicação de entrada e saída com um dispositivo "contido" é suportado nos dispositivos integrados Microsoft Defender para Endpoint Windows 10 e Windows Server 2019+.

Como conter um dispositivo

  1. Aceda à página Inventário de dispositivos e selecione o dispositivo a conter.

  2. Selecione Conter dispositivo no menu de ações na lista de opções do dispositivo.

Captura de ecrã a mostrar a mensagem de pop-up conter dispositivo.

  1. No pop-up conter dispositivo, escreva um comentário e selecione Confirmar.

Captura de ecrã do item de menu conter dispositivo.

Conter um dispositivo a partir da página do dispositivo

Um dispositivo também pode ser contido na página do dispositivo ao selecionar Conter dispositivo na barra de ação:

Captura de ecrã do item de menu conter dispositivo na página do dispositivo.

Nota

Pode demorar até 5 minutos para que os detalhes sobre um dispositivo recém-contido cheguem Microsoft Defender para Endpoint dispositivos integrados.

Importante

  • Se um dispositivo contido alterar o respetivo endereço IP, todos os Microsoft Defender para Endpoint dispositivos integrados irão reconhecê-lo e começar a bloquear as comunicações com o novo endereço IP. O endereço IP original deixará de ser bloqueado (pode demorar até 5 minutos a ver estas alterações).
  • Nos casos em que o IP do dispositivo contido é utilizado por outro dispositivo na rede, existirá um aviso enquanto contém o dispositivo, com uma ligação para investigação avançada (com uma consulta pré-preenchida). Isto irá fornecer visibilidade para os outros dispositivos que utilizam o mesmo IP para ajudá-lo a tomar uma decisão consciente se quiser continuar a conter o dispositivo.
  • Nos casos em que o dispositivo contido é um dispositivo de rede, será apresentado um aviso com uma mensagem a indicar que isto pode causar problemas de conectividade de rede (por exemplo, contendo um router que está a agir como um gateway predefinido). Neste momento, poderá escolher se pretende ou não conter o dispositivo.

Depois de conter um dispositivo, se o comportamento não for o esperado, verifique se o serviço Motor de Filtragem Base (BFE) está ativado nos dispositivos integrados do Defender para Endpoint.

Parar de conter um dispositivo

Poderá parar de conter um dispositivo em qualquer altura.

  1. Selecione o dispositivo na página Inventário de dispositivos ou abra o dispositivo.

  2. Selecione Libertar a partir da contenção no menu de ação. Esta ação irá restaurar a ligação deste dispositivo à rede.

Consultar um perito em ameaças

Pode consultar um especialista em ameaças da Microsoft para obter mais informações sobre um dispositivo potencialmente comprometido ou já comprometido. Grupo de Peritos em Ameaças da Microsoft pode ser interativada diretamente a partir do Microsoft 365 Defender para uma resposta atempadamente e precisa. Os especialistas fornecem informações não só sobre um dispositivo potencialmente comprometido, mas também para compreender melhor ameaças complexas, notificações de ataque direcionadas que obtém, ou se precisar de mais informações sobre os alertas ou um contexto de informações sobre ameaças que vê no dashboard do portal.

Consulte Consultar um Especialista em Ameaças da Microsoft para obter detalhes.

Verificar detalhes de atividade no Centro de ação

O Centro de ação fornece informações sobre as ações efetuadas num dispositivo ou ficheiro. Poderá ver os seguintes detalhes:

  • Coleção de pacotes de investigação
  • Análise de antivírus
  • Restrição de aplicações
  • Isolamento do dispositivo

Todos os outros detalhes relacionados também são apresentados, por exemplo, data/hora de submissão, submissão de utilizador e se a ação teve êxito ou falhou.

O centro de ação com informações

Consulte também