O Centro de ação

Aplica-se a:

  • Microsoft 365 Defender

O Centro de ação fornece uma experiência de "painel único de vidro" para tarefas de incidentes e alertas, tais como:

  • Aprovar ações de remediação pendentes.
  • Ver um registo de auditoria de ações de remediação já aprovadas.
  • A rever as ações de remediação concluídas.

Uma vez que o Centro de Ação fornece uma vista abrangente dos Microsoft 365 Defender no trabalho, a sua equipa de operações de segurança pode operar de forma mais eficaz e eficiente.

O Centro de Ação unificado

O Centro de Ação unificado (https://security.microsoft.com/action-center) lista as ações de remediação pendentes e concluídas para os seus dispositivos, conteúdos de colaboração por e-mail & e identidades numa única localização.

O Centro de Ação unificado no portal Microsoft 365 Defender.

Por exemplo:

O Centro de Ação unificado reúne ações de remediação no Defender para Endpoint e Defender para Office 365. Define uma linguagem comum para todas as ações de remediação e fornece uma experiência de investigação unificada. A sua equipa de operações de segurança tem uma experiência de "painel único de vidro" para ver e gerir ações de remediação.

Pode utilizar o Centro de Ação unificado se tiver as permissões adequadas e uma ou mais das seguintes subscrições:

Sugestão

Para saber mais, veja Requisitos.

Pode navegar para a lista de ações com aprovação pendente de duas formas diferentes:

Utilizar o Centro de ação

  1. Aceda a Microsoft 365 Defender portal e inicie sessão.

  2. No painel de navegação, selecione Centro de ação. Em alternativa, no cartão resposta de investigação & automatizada, selecione Aprovar no Centro de Ação.

  3. Utilize os separadores Ações pendentes e Histórico . A tabela seguinte resume o que verá em cada separador:

    Separador Descrição
    Pendente Apresenta uma lista de ações que requerem atenção. Pode aprovar ou rejeitar ações uma de cada vez ou selecionar múltiplas ações se tiverem o mesmo tipo de ação (como Ficheiro de quarentena).

    Confirme que revê e aprova (ou rejeita) as ações pendentes o mais rapidamente possível para que as suas investigações automatizadas possam ser concluídas em tempo útil.
    Histórico Serve como um registo de auditoria para ações realizadas, tais como:
    - Ações de remediação que foram tomadas como resultado de investigações automatizadas
    - Ações de remediação realizadas em mensagens de e-mail, ficheiros ou URLs suspeitos ou maliciosos
    - Ações de remediação que foram aprovadas pela sua equipa de operações de segurança
    - Comandos que foram executados e ações de remediação que foram aplicadas durante sessões de Resposta em Direto
    - Ações de remediação executadas pela proteção antivírus

    Fornece uma forma de anular determinadas ações (veja Anular ações concluídas).
  4. Pode personalizar, ordenar, filtrar e exportar dados no Centro de ação.

    Captura de ecrã que mostra as capacidades de ordenação, filtro e personalização do Centro de ação.

    • Selecione um cabeçalho de coluna para ordenar itens por ordem ascendente ou descendente.
    • Utilize o filtro de período de tempo para ver os dados do último dia, semana, 30 dias ou 6 meses.
    • Selecione as colunas que pretende ver.
    • Especifique o número de itens a incluir em cada página de dados.
    • Utilize filtros para ver apenas os itens que pretende ver.
    • Selecione Exportar para exportar resultados para um ficheiro de .csv.

Ações registadas no Centro de ação

Todas as ações, quer estejam pendentes de aprovação ou já tenham sido executadas, são controladas no Centro de ação. As ações disponíveis incluem o seguinte:

  • Recolher pacote de investigação
  • Isolar o dispositivo (esta ação pode ser anulada)
  • Excluir máquina
  • Execução do código de versão
  • Libertar da quarentena
  • Exemplo de pedido
  • Restringir a execução de código (esta ação pode ser anulada)
  • Executar análise de antivírus
  • Parar e colocar em quarentena
  • Conter dispositivos a partir da rede

Além das ações de remediação executadas automaticamente como resultado de investigações automatizadas, o Centro de ação também monitoriza as ações que a sua equipa de segurança tomou para resolver ameaças detetadas e ações que foram tomadas como resultado das funcionalidades de proteção contra ameaças no Microsoft 365 Defender. Para obter mais informações sobre as ações de remediação automáticas e manuais, veja Remediation actions (Ações de remediação).

Ver detalhes da origem de ação

(NOVO!) O Centro de ação melhorado inclui agora uma coluna Origem de ação que indica de onde veio cada ação. A tabela seguinte descreve possíveis valores de Origem de ação :

Valor da origem de ação Descrição
Ação manual do dispositivo Uma ação manual efetuada num dispositivo. Os exemplos incluem isolamento do dispositivo ou quarentena de ficheiros.
Ação de e-mail manual Uma ação manual efetuada por e-mail. Um exemplo inclui a eliminação recuperável de mensagens de e-mail ou a remediação de uma mensagem de e-mail.
Ação de dispositivo automatizada Uma ação automatizada realizada numa entidade, como um ficheiro ou processo. Exemplos de ações automatizadas incluem o envio de um ficheiro para quarentena, a paragem de um processo e a remoção de uma chave de registo. (Veja Ações de remediação no Microsoft Defender para Endpoint.)
Ação de e-mail automatizado Uma ação automatizada efetuada em conteúdos de e-mail, como uma mensagem de e-mail, anexo ou URL. Exemplos de ações automatizadas incluem a eliminação recuperável de mensagens de e-mail, o bloqueio de URLs e a desativação do reencaminhamento de correio externo. (Veja Ações de remediação no Microsoft Defender para Office 365.)
Ação de investigação avançada Ações executadas em dispositivos ou e-mails com investigação avançada.
Ação do explorador Ações executadas em conteúdos de e-mail com o Explorador.
Ação de resposta em direto manual Ações executadas num dispositivo com resposta em direto. Os exemplos incluem eliminar um ficheiro, parar um processo e remover uma tarefa agendada.
Ação de resposta em direto Ações executadas num dispositivo com Microsoft Defender para Endpoint APIs. Exemplos de ações incluem isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro.

Permissões necessárias para tarefas do Centro de ação

Para executar tarefas, como aprovar ou rejeitar ações pendentes no Centro de ação, tem de ter as permissões atribuídas como listadas na tabela seguinte:

Ação de remediação Funções e permissões necessárias
Microsoft Defender para Endpoint remediação (dispositivos) Função de Administrador de Segurança atribuída no Azure Active Directory (Azure AD) (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com)
--- ou ---
Função de ações de remediação ativa atribuída no Microsoft Defender para Endpoint

Para saber mais, veja os seguintes recursos:
- Azure AD funções incorporadas
- Criar e gerir funções para controlo de acesso baseado em funções (Microsoft Defender para Endpoint)
Microsoft Defender para Office 365 remediação (conteúdo e e-mail do Office) Função de Administrador de Segurança atribuída no Azure AD (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com)
--- e ---
Função de Pesquisa e Remoção atribuída nas funções de colaboração Email Microsoft 365 Defender &>

IMPORTANTE: se tiver a função de Administrador de Segurança atribuída apenas no Microsoft 365 Defender >Email & funções de colaboração, não poderá aceder ao Centro de ação ou às capacidades de Microsoft 365 Defender. Tem de ter a função administrador de segurança atribuída no Azure AD ou no centro de administração do Microsoft 365.

Para saber mais, veja os seguintes recursos:
- Azure AD funções incorporadas
- Permissões no Centro de Conformidade de Segurança &

Sugestão

Os utilizadores com a função de Administrador Global atribuída no Azure AD podem aprovar ou rejeitar qualquer ação pendente no Centro de ação. No entanto, como melhor prática, a sua organização deve limitar o número de pessoas que têm a função de Administrador Global atribuída. Recomendamos que utilize as funções Administrador de Segurança, Remediação ativa e Pesquisa e Remoção listadas na tabela anterior para permissões do Centro de ação.

Passo seguinte