O Centro de ação
Aplica-se a:
- Microsoft Defender XDR
O Centro de ação fornece uma experiência de "painel único de vidro" para tarefas de incidentes e alertas, tais como:
- Aprovar ações de remediação pendentes.
- Ver um registo de auditoria de ações de remediação já aprovadas.
- A rever as ações de remediação concluídas.
Uma vez que o Centro de Ação fornece uma vista abrangente dos Microsoft Defender XDR no trabalho, a sua equipa de operações de segurança pode operar de forma mais eficaz e eficiente.
O Centro de Ação unificado
O Centro de Ação unificado (https://security.microsoft.com/action-center) lista as ações de remediação pendentes e concluídas para os seus dispositivos, e-mail & conteúdo de colaboração e identidades numa única localização.
Por exemplo:
- Se estava a utilizar o Centro de ação no Centro de Segurança do Microsoft Defender (https://securitycenter.windows.com/action-center), experimente o Centro de Ação unificado no portal Microsoft Defender.
- Se já estava a utilizar o portal Microsoft Defender, verá várias melhorias no Centro de ação (https://security.microsoft.com/action-center).
O Centro de Ação unificado reúne ações de remediação no Defender para Endpoint e Defender para Office 365. Define uma linguagem comum para todas as ações de remediação e fornece uma experiência de investigação unificada. A sua equipa de operações de segurança tem uma experiência de "painel único de vidro" para ver e gerir ações de remediação.
Pode utilizar o Centro de Ação unificado se tiver as permissões adequadas e uma ou mais das seguintes subscrições:
- Defender para Ponto Final
- [Defender para Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
Sugestão
Para saber mais, veja Requisitos.
Pode navegar para a lista de ações com aprovação pendente de duas formas diferentes:
- Aceda a https://security.microsoft.com/action-center; ou
- No portal de Microsoft Defender (https://security.microsoft.com), no cartão de resposta & investigação automatizada, selecione Aprovar no Centro de Ação.
Utilizar o Centro de ação
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, em Ações e submissões, selecione Centro de ação. Em alternativa, no cartão de resposta & investigação automatizada, selecione Aprovar no Centro de Ação.
Utilize os separadores Ações pendentes e Histórico . A tabela seguinte resume o que verá em cada separador:
Separador Descrição Pendente Apresenta uma lista de ações que requerem atenção. Pode aprovar ou rejeitar ações uma de cada vez ou selecionar múltiplas ações se tiverem o mesmo tipo de ação (como Ficheiro de quarentena).
Confirme que revê e aprova (ou rejeita) as ações pendentes o mais rapidamente possível para que as investigações automatizadas possam ser concluídas em tempo útil.Histórico Serve como um registo de auditoria para ações realizadas, tais como:
- Ações de remediação que foram tomadas como resultado de investigações automatizadas
- Ações de remediação realizadas em mensagens de e-mail, ficheiros ou URLs suspeitos ou maliciosos
- Ações de remediação que foram aprovadas pela sua equipa de operações de segurança
- Comandos que foram executados e ações de remediação que foram aplicadas durante sessões de Resposta em Direto
- Ações de remediação executadas pela proteção antivírus
Fornece uma forma de anular determinadas ações (veja Anular ações concluídas).Pode personalizar, ordenar, filtrar e exportar dados no Centro de ação.
- Selecione um cabeçalho de coluna para ordenar itens por ordem ascendente ou descendente.
- Utilize o filtro de período de tempo para ver os dados do último dia, semana, 30 dias ou 6 meses.
- Selecione as colunas que pretende ver.
- Especifique quantos itens deve incluir em cada página de dados.
- Utilize filtros para ver apenas os itens que pretende ver.
- Selecione Exportar para exportar resultados para um ficheiro de .csv.
Ações registadas no Centro de ação
Todas as ações, quer estejam pendentes de aprovação ou já tenham sido executadas, são controladas no Centro de ação. As ações disponíveis incluem o seguinte:
- Recolher pacote de investigação
- Isolar o dispositivo (esta ação pode ser anulada)
- Excluir máquina
- Execução do código de versão
- Libertar da quarentena
- Exemplo de pedido
- Restringir a execução de código (esta ação pode ser anulada)
- Executar análise de antivírus
- Parar e colocar em quarentena
- Conter dispositivos a partir da rede
Além das ações de remediação que são executadas automaticamente como resultado de investigações automatizadas, o Centro de Ação também monitoriza as ações que a sua equipa de segurança tomou para resolver ameaças detetadas e ações que foram tomadas como resultado das funcionalidades de proteção contra ameaças no Microsoft Defender XDR. Para obter mais informações sobre as ações de remediação automáticas e manuais, veja Remediation actions (Ações de remediação).
Ver detalhes da origem de ação
(NOVO!) O Centro de ação melhorado inclui agora uma coluna Origem de ação que indica de onde veio cada ação. A tabela seguinte descreve possíveis valores de Origem de ação :
| Valor da origem de ação | Descrição |
|---|---|
| Ação manual do dispositivo | Uma ação manual efetuada num dispositivo. Os exemplos incluem isolamento do dispositivo ou quarentena de ficheiros. |
| Ação de e-mail manual | Uma ação manual efetuada por e-mail. Um exemplo inclui a eliminação recuperável de mensagens de e-mail ou a remediação de uma mensagem de e-mail. |
| Ação de dispositivo automatizada | Uma ação automatizada efetuada numa entidade, como um ficheiro ou processo. Exemplos de ações automatizadas incluem o envio de um ficheiro para quarentena, a paragem de um processo e a remoção de uma chave de registo. (Veja Ações de remediação no Microsoft Defender para Endpoint.) |
| Ação de e-mail automatizado | Uma ação automatizada efetuada em conteúdos de e-mail, como uma mensagem de e-mail, anexo ou URL. Exemplos de ações automatizadas incluem a eliminação recuperável de mensagens de e-mail, o bloqueio de URLs e a desativação do reencaminhamento de correio externo. (Veja Ações de remediação no Microsoft Defender para Office 365.) |
| Ação de investigação avançada | Ações executadas em dispositivos ou e-mails com investigação avançada. |
| Ação do explorador | Ações executadas em conteúdos de e-mail com o Explorador. |
| Ação de resposta em direto manual | Ações executadas num dispositivo com resposta em direto. Os exemplos incluem eliminar um ficheiro, parar um processo e remover uma tarefa agendada. |
| Ação de resposta em direto | Ações executadas num dispositivo com Microsoft Defender para Endpoint APIs. Exemplos de ações incluem isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro. |
Permissões necessárias para tarefas do Centro de ação
Para executar tarefas, como aprovar ou rejeitar ações pendentes no Centro de ação, tem de ter as permissões atribuídas como listadas na tabela seguinte:
| Ação de remediação | Funções e permissões necessárias |
|---|---|
| Microsoft Defender para Endpoint remediação (dispositivos) | Função de Administrador de Segurança atribuída em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com) --- ou --- Função de ações de remediação ativa atribuída no Microsoft Defender para Endpoint Para saber mais, veja os seguintes recursos: - Microsoft Entra funções incorporadas - Create e gerir funções para controlo de acesso baseado em funções (Microsoft Defender para Endpoint) |
| Microsoft Defender para Office 365 remediação (conteúdo e e-mail do Office) | Função de Administrador de Segurança atribuída em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com) --- e --- Pesquisa e Removerfunção atribuída nas funções de colaboração Email & Microsoft Defender XDR> IMPORTANTE: se tiver a função administrador de segurança atribuída apenas nas funções de colaboração Microsoft Defender XDR> Email &, não poderá aceder ao Centro de ação ou às capacidades de Microsoft Defender XDR. Tem de ter a função de Administrador de Segurança atribuída no Microsoft Entra ID ou no centro de administração do Microsoft 365. Para saber mais, veja os seguintes recursos: - Microsoft Entra funções incorporadas - Permissões no Centro de Conformidade do & de Segurança |
Sugestão
Os utilizadores com a função de Administrador Global atribuída no Microsoft Entra ID podem aprovar ou rejeitar qualquer ação pendente no Centro de ação. No entanto, como melhor prática, a sua organização deve limitar o número de pessoas que têm a função de Administrador Global atribuída. Recomendamos que utilize as funções Administrador de Segurança, Remediação ativa e Pesquisa e Remoção listadas na tabela anterior para permissões do Centro de ação.
Passo seguinte
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários