Página entidade do dispositivo no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A página da entidade do dispositivo no portal Microsoft Defender ajuda-o na investigação de entidades do dispositivo. A página contém todas as informações importantes sobre uma determinada entidade de dispositivo. Se um alerta ou incidente indicar que um dispositivo está a comportar-se de forma suspeita ou pode estar comprometido, investigue os detalhes do dispositivo para identificar outros comportamentos ou eventos que possam estar relacionados com o alerta ou incidente e descubra o âmbito potencial da falha. Também pode utilizar a página da entidade do dispositivo para realizar algumas tarefas de segurança comuns, bem como algumas ações de resposta para mitigar ou remediar ameaças de segurança.

Importante

O conjunto de conteúdos apresentado na página da entidade do dispositivo pode ser ligeiramente diferente, consoante a inscrição do dispositivo no Microsoft Defender para Endpoint e Microsoft Defender para Identidade.

Se a sua organização tiver integrado o Microsoft Sentinel no portal do Defender, serão apresentadas informações adicionais.

No Microsoft Sentinel, as entidades de dispositivo também são conhecidas como entidades anfitriãs . Saiba mais.

O Microsoft Sentinel está disponível como parte da pré-visualização pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

As entidades do dispositivo podem ser encontradas nas seguintes áreas:

  • Lista de dispositivos, em Ativos
  • Fila de alertas
  • Qualquer alerta/incidente individual
  • Qualquer página de entidade de utilizador individual
  • Qualquer vista de detalhes de ficheiro individual
  • Qualquer endereço IP ou vista de detalhes do domínio
  • Registo de atividades
  • Consultas de investigação avançadas
  • Centro de ação

Pode selecionar dispositivos sempre que os vir no portal para abrir a página de entidade do dispositivo, que apresenta mais detalhes sobre o dispositivo. Por exemplo, pode ver os detalhes dos dispositivos listados nos alertas de um incidente no portal do Microsoft Defender em Incidentes & alertas Incidentes >>incidentes> Dispositivos de Recursos>.

Captura de ecrã da página Utilizadores de um incidente no portal do Microsoft Defender.

A página entidade do dispositivo apresenta as respetivas informações num formato com separadores. Este artigo descreve os tipos de informações disponíveis em cada separador e também as ações que pode efetuar num determinado dispositivo.

Os seguintes separadores são apresentados na página da entidade do dispositivo:

Cabeçalho da página de entidade

A secção superior da página de entidade inclui os seguintes detalhes:

  • Nome da entidade
  • Indicadores de gravidade, criticidade e valor do dispositivo de risco
  • Etiquetas pelas quais o dispositivo pode ser classificado. Pode ser adicionado pelo Defender para Endpoint, Defender para Identidade ou por utilizadores. As etiquetas de Microsoft Defender para Identidade não são editáveis.
  • As ações de resposta também estão localizadas aqui. Leia mais sobre os mesmos abaixo.

Separador Descrição geral

O separador predefinido é Descrição Geral. Fornece uma análise rápida dos factos de segurança mais importantes sobre o dispositivo. O separador Descrição Geral contém a barra lateral de detalhes do dispositivo e um dashboard com alguns cartões a apresentar informações de alto nível.

Detalhes do dispositivo

A barra lateral lista o nome completo e o nível de exposição do dispositivo. Também fornece algumas informações básicas importantes em subsecções pequenas, que podem ser expandidas ou fechadas, tais como:

Secção Informações incluídas
Detalhes da VM Nomes de computador e domínio e IDs, estados de estado de funcionamento e inclusão, carimbos de data/hora para o primeiro e último visto, endereços IP e muito mais
Detalhes da sincronização da política DLP Se relevante
Estado da configuração Detalhes sobre a configuração do Microsoft Defender para Endpoint
Detalhes do recurso da cloud Plataforma na cloud, ID do recurso, informações da subscrição e muito mais
Hardware e firmware Informações da VM, do processador e do BIOS e muito mais
Gestão de dispositivos Microsoft Defender para Endpoint informações de gestão e estado de inscrição
Dados do diretório Sinalizadores UAC , SPNs e associações a grupos.

Dashboard

A parte principal do separador Descrição geral mostra vários cartões de apresentação do tipo dashboard:

  • Alertas ativos e nível de risco que envolvem o dispositivo nos últimos seis meses, agrupados por gravidade
  • Avaliações de segurança e nível de exposição do dispositivo
  • Utilizadores com sessão iniciada no dispositivo nos últimos 30 dias
  • Estado de funcionamento do dispositivo e outras informações sobre as análises mais recentes do dispositivo.

Sugestão

O nível de exposição está relacionado com o quanto o dispositivo está a cumprir as recomendações de segurança, enquanto o nível de risco é calculado com base em vários fatores, incluindo os tipos e a gravidade dos alertas ativos.

Captura de ecrã a mostrar o separador Descrição geral da página da entidade do dispositivo no portal do Microsoft Defender.

Separador Incidentes e alertas

O separador Incidentes e alertas contém uma lista de incidentes que contêm alertas que foram gerados no dispositivo, de qualquer uma das Microsoft Defender origens de deteção, incluindo, se integrado, o Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, a sua gravidade (alta, média, baixa, informativa), o respetivo estado na fila (novo, em curso, resolvido), a classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria, quem está atribuído para o resolver e última atividade observada.

Pode personalizar as colunas que são apresentadas para cada item. Também pode filtrar os alertas por gravidade, estado ou qualquer outra coluna no ecrã.

A coluna entidades afetadas refere-se a todas as entidades de dispositivo e utilizador referenciadas no incidente ou alerta.

Quando um incidente ou alerta é selecionado, é apresentada uma lista de opções. A partir deste painel, pode gerir o incidente ou o alerta e ver mais detalhes, como o número de incidente/alerta e dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.

Para ver uma vista de página inteira de um incidente ou alerta, selecione o respetivo título.

Captura de ecrã do separador Incidentes e alertas da página da entidade do dispositivo no portal do Microsoft Defender.

Separador Linha Cronológica

O separador Linha Cronológica apresenta uma vista cronológica de todos os eventos que foram observados no dispositivo. Isto pode ajudá-lo a correlacionar quaisquer eventos, ficheiros e endereços IP em relação ao dispositivo.

A escolha das colunas apresentadas na lista pode ser personalizada. As colunas predefinidas listam a hora do evento, o utilizador ativo, o tipo de ação, as entidades associadas (processos, ficheiros, endereços IP) e informações adicionais sobre o evento.

Pode governar o período de tempo durante o qual os eventos são apresentados ao deslizar os limites do período de tempo ao longo do gráfico da linha cronológica geral na parte superior da página. Também pode escolher um período de tempo no menu pendente na parte superior da lista (a predefinição é 30 dias). Para controlar ainda mais a sua vista, pode filtrar por grupos de eventos ou personalizar as colunas.

Pode exportar até sete dias de eventos para um ficheiro CSV, para transferência.

Desagregue os detalhes de eventos individuais ao selecionar e evento e visualizar os respetivos detalhes no painel de lista de opções resultante. Veja os Detalhes do evento abaixo.

Nota

Para que os eventos da firewall sejam apresentados, terá de ativar a política de auditoria, veja Audit filtering Platform connection (Ligação da Plataforma de Filtragem de Auditoria).

A firewall abrange os seguintes eventos:

  • 5025 – serviço de firewall parado
  • 5031 – a aplicação impedida de aceitar ligações de entrada na rede
  • 5157 - ligação bloqueada

Captura de ecrã do separador Linha Cronológica da página da entidade do dispositivo no portal do Microsoft Defender.

Detalhes do evento

Selecione um evento para ver detalhes relevantes sobre esse evento. É apresentado um painel de lista de opções para mostrar muito mais informações sobre o evento. Os tipos de informações apresentados dependem do tipo de evento. Quando aplicável e os dados estiverem disponíveis, poderá ver um gráfico a mostrar entidades relacionadas e as respetivas relações, como uma cadeia de ficheiros ou processos. Também poderá ver uma descrição de resumo das táticas e técnicas CK do MITRE ATT&aplicáveis ao evento.

Para inspecionar ainda mais o evento e os eventos relacionados, pode executar rapidamente uma consulta de investigação avançada ao selecionar Investigar eventos relacionados. A consulta devolve o evento selecionado e a lista de outros eventos que ocorreram por volta da mesma hora no mesmo ponto final.

Captura de ecrã do painel de detalhes do evento.

Separador Recomendações de segurança

O separador Recomendações de segurança lista as ações que pode efetuar para proteger o dispositivo. Selecionar um item nesta lista abre uma lista de opções onde pode obter instruções sobre como aplicar a recomendação.

Tal como nos separadores anteriores, a escolha das colunas apresentadas pode ser personalizada.

A vista predefinida inclui colunas que detalham as fraquezas de segurança abordadas, a ameaça associada, o componente ou software relacionado afetado pela ameaça, etc. Os itens podem ser filtrados pelo estado da recomendação.

Saiba mais sobre as recomendações de segurança.

Captura de ecrã a mostrar o separador Recomendações de segurança da página da entidade do dispositivo.

Separador Inventários

Este separador apresenta inventários de quatro tipos de componentes: Software, componentes vulneráveis, extensões de browser e certificados.

Inventário de software

Este cartão lista o software instalado no dispositivo.

A vista predefinida apresenta o fornecedor de software, o número da versão instalada, o número de pontos fracos de software conhecidos, as informações sobre ameaças, o código do produto e as etiquetas. O número de itens apresentados e as colunas que são apresentadas podem ser personalizadas.

Selecionar um item desta lista abre uma lista de opções com mais detalhes sobre o software selecionado e o caminho e carimbo de data/hora da última vez que o software foi encontrado.

Esta lista pode ser filtrada pelo código do produto, fraquezas e presença de ameaças.

Captura de ecrã do separador Inventário de software do perfil de dispositivo no portal do Microsoft Defender

Componentes vulneráveis

Este cartão lista os componentes de software que contêm vulnerabilidades.

As opções de filtragem e vista predefinidas são as mesmas do software.

Selecione um item para apresentar mais informações numa lista de opções.

Extensões de browser

Este cartão mostra as extensões do browser instaladas no dispositivo. Os campos predefinidos apresentados são o nome da extensão, o browser para o qual está instalado, a versão, o risco de permissão (com base no tipo de acesso a dispositivos ou sites pedidos pela extensão) e o estado. Opcionalmente, o fornecedor também pode ser apresentado.

Selecione um item para apresentar mais informações numa lista de opções.

Certificados

Este cartão apresenta todos os certificados instalados no dispositivo.

Os campos apresentados por predefinição são o nome do certificado, a data de emissão, a data de expiração, o tamanho da chave, o emissor, o algoritmo de assinatura, a utilização da chave e o número de instâncias.

A lista pode ser filtrada por estado, autoassinado ou não, tamanho da chave, hash de assinatura e utilização da chave.

Selecione um certificado para apresentar mais informações numa lista de opções.

Separador Vulnerabilidades detetadas

Este separador lista quaisquer Vulnerabilidades e Exploits Comuns (CVEs) que possam afetar o dispositivo.

A vista predefinida lista a gravidade do CVE, a Classificação de Vulnerabilidade Comum (CVSS), o software relacionado com o CVE, quando o CVE foi publicado, quando o CVE foi detetado pela primeira vez e atualizado pela última vez, e ameaças associadas ao CVE.

Tal como acontece com os separadores anteriores, a escolha das colunas a apresentar pode ser personalizada. A lista pode ser filtrada por gravidade, estado de ameaça, exposição do dispositivo e etiquetas.

Selecionar um item desta lista abre uma lista de opções que descreve o CVE.

Captura de ecrã do separador Vulnerabilidades detetadas do perfil do dispositivo no portal do Microsoft Defender

Separador KBs em falta

O separador KBs em falta lista quaisquer Atualizações da Microsoft que ainda não tenham sido aplicadas ao dispositivo. Os "KBs" em questão são artigos da Base de Dados de Conhecimento, que descrevem estas atualizações; por exemplo, KB4551762.

A vista predefinida lista o boletim que contém as atualizações, a versão do SO, o número do ID da BDC, os produtos afetados, os CVEs endereçados e as etiquetas.

A escolha das colunas a apresentar pode ser personalizada.

Selecionar um item abre uma lista de opções que liga à atualização.

Separador Eventos do Sentinel

Se a sua organização tiver integrado o Microsoft Sentinel no portal do Defender, este separador adicional estará na página da entidade do dispositivo. Este separador importa a página entidade Anfitrião do Microsoft Sentinel.

Linha cronológica do Sentinel

Esta linha cronológica mostra os alertas associados à entidade do dispositivo, conhecida no Microsoft Sentinel como a entidade anfitriã . Estes alertas incluem os que são vistos no separador Incidentes e alertas e os criados pelo Microsoft Sentinel a partir de origens de dados de terceiros e não da Microsoft.

Esta linha cronológica também mostra as caçadas com marcadores de outras investigações que referenciam esta entidade de utilizador, eventos de atividade do utilizador de origens de dados externas e comportamentos invulgares detetados pelas regras de anomalias do Microsoft Sentinel.

Informações

As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para o ajudar a investigar de forma mais eficiente e eficaz. Estas informações colocam automaticamente as grandes perguntas sobre a entidade do seu dispositivo, fornecendo informações de segurança valiosas sob a forma de dados e gráficos tabulares. As informações incluem dados sobre inícios de sessão, adições a grupos, execuções de processos, eventos anómalos e muito mais, e incluem algoritmos avançados de machine learning para detetar comportamentos anómalos.

Seguem-se algumas das informações apresentadas:

  • Captura de ecrã tirada no anfitrião.
  • Processos não assinados pela Microsoft detetados.
  • Informações de execução do processo do Windows.
  • Atividade de início de sessão do Windows.
  • Ações em contas.
  • Registos de eventos limpos no anfitrião.
  • Adições de grupo.
  • Enumeração de anfitriões, utilizadores, grupos no anfitrião.
  • Microsoft Defender Controlo de Aplicações.
  • Processe a raridade através do cálculo da entropia.
  • Número anómalo de um evento de segurança elevado.
  • Informações da lista de observação (Pré-visualização).
  • Windows Defender eventos antivírus.

As informações baseiam-se nas seguintes origens de dados:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA do Microsoft Sentinel)
  • Heartbeat (Agente do Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Captura de ecrã do separador Eventos do Sentinel na página da entidade do utilizador.

Se quiser explorar mais aprofundadamente qualquer uma das informações neste painel, selecione a ligação que acompanha as informações. A ligação direciona-o para a página Investigação avançada , onde apresenta a consulta subjacente às informações, juntamente com os respetivos resultados não processados. Pode modificar a consulta ou desagregar os resultados para expandir a investigação ou apenas satisfazer a sua curiosidade.

Captura de ecrã do ecrã Investigação avançada com consulta de informações.

Ações de resposta

As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.

Captura de ecrã a mostrar a Barra de ação da página da entidade do dispositivo no portal do Microsoft Defender.

Importante

  • As ações de resposta só estão disponíveis se o dispositivo estiver inscrito no Microsoft Defender para Endpoint.
  • Os dispositivos inscritos no Microsoft Defender para Endpoint podem apresentar diferentes números de ações de resposta, com base no SO do dispositivo e no número da versão.

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

Ação Descrição
Valor do dispositivo
Definir a importância
Gerir etiquetas Atualizações etiquetas personalizadas que aplicou a este dispositivo.
Report device inacacy (Reportar a imprecisão do dispositivo)
Executar Análise de Antivírus Atualizações Microsoft Defender definições de Antivírus e executa imediatamente uma análise antivírus. Escolha entre Análise rápida ou Análise completa.
Recolher Pacote de Investigação Recolhe informações sobre o dispositivo. Quando a investigação estiver concluída, pode transferi-la.
Restringir a execução de aplicações Impede a execução de aplicações que não são assinadas pela Microsoft.
Iniciar investigação automatizada Investiga e corrija automaticamente ameaças. Embora possa acionar manualmente investigações automatizadas para executar a partir desta página, determinadas políticas de alerta acionam investigações automáticas por si só.
Iniciar sessão de resposta em direto Carrega uma shell remota no dispositivo para investigações de segurança aprofundadas.
Isolar dispositivo Isola o dispositivo da rede da sua organização mantendo-o ligado ao Microsoft Defender. Pode optar por permitir que o Outlook, o Teams e o Skype para Empresas executem enquanto o dispositivo está isolado, para fins de comunicação.
Pergunte aos Especialistas do Defender
Centro de Ação Apresenta informações sobre quaisquer ações de resposta que estejam atualmente em execução. Apenas disponível se já tiver sido selecionada outra ação.
Transferir a libertação forçada do script de isolamento
Excluir
Ir caçar
Ativar o modo de resolução de problemas
Sincronização de políticas

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.