Detalhes e resultados de uma investigação automatizada

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Com Microsoft 365 Defender, quando é executada uma investigação automatizada, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se tiver as permissões necessárias, pode ver esses detalhes numa vista de detalhes de investigação que lhe fornece um estado atual e a capacidade de aprovar quaisquer ações pendentes.

(NEW) Página de investigação unificada

A página de investigação foi atualizada recentemente para incluir informações nos seus dispositivos, e-mails e conteúdos de colaboração. A nova página de investigação unificada define um idioma comum e fornece uma experiência unificada para investigações automáticas entre Microsoft Defender para Endpoint e Microsoft Defender para Office 365. Para aceder à página de investigação unificada, selecione a ligação na faixa amarela em que irá ver:

Abrir a vista de detalhes da investigação

Pode abrir a vista de detalhes da investigação utilizando um dos seguintes métodos:

Selecionar um item no Centro de ação

O Centro de Ação melhorado (https://security.microsoft.com/action-center) reúne ações de remediação nos seus dispositivos, mensagens de & e-mail e conteúdos de colaboração e identidades. As ações listadas incluem ações de remediação que foram tomadas automaticamente ou manualmente. No Centro de Ação, pode ver as ações que estão a aguardar aprovação e ações que já foram aprovadas ou concluídas. Também pode navegar para mais detalhes, como uma página de investigação.

Dica

Tem de ter determinadas permissões para aprovar, rejeitar ou desfazer ações.

  1. Vá para o Microsoft 365 Defender de e inscreva-se.

  2. No painel de navegação, selecionar Centro de ação.

  3. No separador Pendente ou Histórico**, selecione** um item. O painel de panfleto é aberto.

  4. Reveja as informações no painel de lista de listas e, em seguida, eis um dos seguintes passos:

    • Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
    • Selecione Aprovar para iniciar uma ação pendente.
    • Selecione Rejeitar para impedir que seja tomada uma ação pendente.
    • Selecione Ir à procura para entrar na Pesquisa avançada.

Abrir uma investigação a partir de uma página de detalhes de incidentes

Utilize uma página de detalhes de incidentes para ver informações detalhadas sobre um incidente, incluindo alertas que foram ativados sobre quaisquer dispositivos, contas de utilizador ou caixas de correio afetados.

  1. Vá para o Microsoft 365 Defender de e inscreva-se.

  2. No painel de navegação, selecionar Incidentes & alertas > Incidentes.

  3. Selecione um item na lista e, em seguida, selecione Abrir página de incidentes.

  4. Selecione o separador Investigações e, em seguida, selecione uma investigação na lista. O painel de panfleto é aberto.

  5. Selecione Abrir página de investigação.

Eis um exemplo.

A página de investigação no portal Microsoft 365 Defender Empresas

Detalhes da investigação

Utilize a vista de detalhes de investigação para ver a atividade passada, atual e pendente que está dependente de uma investigação. Eis um exemplo.

A página de detalhes da investigação no portal de Microsoft 365 Defender Empresas

Na vista Detalhes da investigação, pode ver informações nos separadores Gráfico de Investigação, Alertas, Dispositivos**,** Identidades, Conclusões importantes, Entidades**, Registos** e Ações Pendentes, descritas na tabela seguinte.

Nota

Os separadores específicos que vê numa página de detalhes de investigação dependem do que a sua subscrição inclui. Por exemplo, se a sua subscrição não Microsoft Defender para Office 365 Plano 2, não verá um separador Caixas de Correio.

Tab Descrição
Gráfico de Investigação Fornece uma representação visual da investigação. Representa entidades e listas de ameaças encontradas, juntamente com alertas e se as ações estão a aguardar aprovação.
Pode selecionar um item no gráfico para ver mais detalhes. Por exemplo, selecionar o ícone Provas leva-o ao separador Provas, onde pode ver entidades detetadas e os seus vereditos.
Alertas Lista alertas associados à investigação. Os alertas podem ter como base funcionalidades de proteção contra ameaças no dispositivo de um utilizador, nas aplicações do Office, Microsoft Defender for Cloud Apps e outras funcionalidades Microsoft 365 Defender proteção.

Se vir um tipo de alerta não suportado, significa que as capacidades de investigação automáticas não podem atuar no alerta para executar uma investigação automática. No entanto, pode investigar estes alertas manualmente.
Dispositivos Lista os dispositivos incluídos na investigação juntamente com o respetivo nível de remediação. (Os níveis de remediação correspondem ao nível de automatização dos grupos de dispositivos.)
Caixas de correio Lista caixas de correio afetadas por ameaças detetadas.
Utilizadores Lista contas de utilizador afetadas por ameaças detetadas.
Provas Lista partes de provas elevadas por alertas ou investigações. Inclui vereditos (maliciosos*,* Suspeitos, Desconhecidos ou Sem Ameaças encontrados) e estado de remediação.
Entidades Fornece detalhes sobre cada entidade analisada, incluindo um veredito para cada tipo de entidade (Malicioso*, Suspeito* ou Não foram encontradas ameaças).
Log Fornece uma vista cronológica e detalhada de todas as ações de investigação tomadas após o alerta ser ativado.
Histórico de ações pendentes Lista os itens que necessitam de aprovação para continuar. Vá para o Centro de ação (https://security.microsoft.com/action-center) para aprovar ações pendentes.

Estados de investigação

A tabela seguinte lista os estados de investigação e o que indicam.

Estado da investigação Definição
Benigno Foram investigados artefactos e foi tomada uma determinação de que não foram encontradas ameaças.
PendingResource Uma investigação automática está em pausa porque uma ação de remediação está pendente de aprovação ou o dispositivo no qual foi encontrado um artefacto está temporariamente indisponível.
UnsupportedAlertType Não está disponível uma investigação automática para este tipo de alerta. As investigações mais aprofundadas podem ser feitas manualmente, através da procura avançada.
Falhou Pelo menos um analisador de investigação detetava um problema no qual não era concluída a investigação. Se uma investigação falhar após a aprovação de ações de remediação, as ações de remediação podem continuar a ter êxito.
Remediado com êxito Uma investigação automatizada concluída e todas as ações de remediação foram concluídas ou aprovadas.

Para fornecer mais contexto sobre a forma como os estados de investigação são mostrados, a seguinte tabela lista alertas e o respetivo estado de investigação automatizado correspondente. Esta tabela está incluída como um exemplo do que uma equipa de operações de segurança poderá ver no portal Microsoft 365 Defender segurança.

Nome do alerta Severidade Estado da investigação Estado Categoria
Foi detetado software malictivo num ficheiro de imagem do disco wim Informacional Benigno Resolvido Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional UnsupportedAlertType Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional UnsupportedAlertType Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional UnsupportedAlertType Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi impedido o hacktool do Wpakill Baixa Falhou Novo Software malictado
O hacktool do GendowsBatch foi impedido Baixa Falhou Novo Software malictado
Foi impedido o hacktool do Keygen Baixa Falhou Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de arquivo zip Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de arquivo rar Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de imagem iso do disco Informacional PendingResource Novo Software malictado
Foi detetado software malware num ficheiro de imagem iso do disco Informacional PendingResource Novo Software malictado
Foi detetado software maliceiro num ficheiro de dados do Outlook PST Informacional UnsupportedAlertType Novo Software malictado
Foi detetado software maliceiro num ficheiro de dados do Outlook PST Informacional UnsupportedAlertType Novo Software malictado
MediaGet detetado Médio ParcialmenteInvestigado Novo Software malictado
TrojanEmailFile Médio SuccessfullyRemediated Resolvido Software malictado
O software malware CustomEnterpriseBlock foi impedido Informacional SuccessfullyRemediated Resolvido Software malictado
Foi bloqueado um software malware CustomEnterpriseBlock ativo Baixa SuccessfullyRemediated Resolvido Software malictado
Foi bloqueado um software malware CustomEnterpriseBlock ativo Baixa SuccessfullyRemediated Resolvido Software malictado
Foi bloqueado um software malware CustomEnterpriseBlock ativo Baixa SuccessfullyRemediated Resolvido Software malictado
TrojanEmailFile Médio Benigno Resolvido Software malictado
O software malware CustomEnterpriseBlock foi impedido Informacional UnsupportedAlertType Novo Software malictado
O software malware CustomEnterpriseBlock foi impedido Informacional SuccessfullyRemediated Resolvido Software malictado
TrojanEmailFile Médio SuccessfullyRemediated Resolvido Software malictado
TrojanEmailFile Médio Benigno Resolvido Software malictado
Foi bloqueado um software malware CustomEnterpriseBlock ativo Baixa PendingResource Novo Software malictado

Passos seguintes