Gerencie investigações automatizadas

  • 3 minutos

Gerencie investigações automatizadas

Sua equipe de operações de segurança recebe um alerta sempre que o Microsoft Defender deteta um artefato mal-intencionado ou suspeito de um Endpoint. As equipes de operações de segurança enfrentam desafios para lidar com a infinidade de alertas que surgem do fluxo aparentemente interminável de ameaças. O Microsoft Defender for Endpoint inclui recursos automatizados de investigação e correção (AIR) que podem ajudar sua equipe de operações de segurança a lidar com ameaças de forma mais eficiente e eficaz.

A tecnologia em investigação automatizada utiliza vários algoritmos de inspeção e é baseada em processos que são usados por analistas de segurança. Os recursos do AIR são projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos do AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. A Central de Ações mantém o controle de todas as investigações que foram iniciadas automaticamente, juntamente com detalhes, como status da investigação, origem da deteção e quaisquer ações pendentes ou concluídas.

Como começa a investigação automatizada

Quando um alerta é acionado, um manual de segurança entra em vigor. Dependendo do manual de segurança, uma investigação automatizada pode ser iniciada. Por exemplo, suponha que um arquivo mal-intencionado resida em um dispositivo. Quando esse arquivo é detetado, um alerta é acionado e o processo de investigação automatizado começa. O Microsoft Defender for Endpoint verifica se o arquivo mal-intencionado está presente em outros dispositivos da organização. Detalhes da investigação, incluindo veredictos (Malicious, Suspicious e No threats found) estão disponíveis durante e após a investigação automatizada. Para saber mais sobre o que acontece depois que um veredicto é alcançado, consulte Resultados de investigação automatizados e ações de correção.

Detalhes de uma investigação automatizada

Durante e após uma investigação automatizada, você pode visualizar detalhes sobre a investigação. Selecione um alerta de acionamento para visualizar os detalhes da investigação. A partir daí, você pode ir para as guias Gráfico de investigação, Alertas, Dispositivos, Evidências, Entidades e Log.

  • Alertas - O(s) alerta(s) que iniciou a investigação.

  • Dispositivos - O(s) dispositivo(s) onde a ameaça foi vista.

  • Provas - As entidades que foram consideradas maliciosas durante uma investigação.

  • Entidades - Detalhes sobre cada entidade analisada, incluindo uma determinação para cada tipo de entidade (maliciosa, suspeita ou Nenhuma ameaça encontrada).

  • Log - A visão cronológica e detalhada de todas as ações de investigação tomadas no alerta.

  • Ações pendentes - Se houver alguma ação aguardando aprovação como resultado da investigação, a guia Ações pendentes será exibida. Na guia Ações pendentes, você pode aprovar ou rejeitar cada ação.

Como uma investigação automatizada expande seu escopo

Enquanto uma investigação está em execução, quaisquer outros alertas gerados a partir do dispositivo são adicionados a uma investigação automatizada em curso até que essa investigação seja concluída. Além disso, se a mesma ameaça for vista em outros dispositivos, esses dispositivos são adicionados à investigação.

Se uma entidade incriminada for vista em outro dispositivo, o processo de investigação automatizado expande seu escopo para incluir esse dispositivo, e um manual de segurança geral começa nesse dispositivo. Se dez ou mais dispositivos forem encontrados durante esse processo de expansão da mesma entidade, essa ação de expansão exigirá aprovação e ficará visível na guia Ações pendentes.

Como as ameaças são remediadas

À medida que os alertas são acionados e uma investigação automatizada é executada, um veredicto é gerado para cada evidência investigada. Os veredictos podem ser maliciosos, suspeitos ou sem ameaças encontradas.

À medida que os veredictos são alcançados, investigações automatizadas podem resultar em uma ou mais ações de remediação. Exemplos de ações de correção incluem enviar um arquivo para quarentena, interromper um serviço, remover uma tarefa agendada e muito mais. (Consulte Ações de correção.)

Dependendo do nível de automação definido para sua organização e outras configurações de segurança, as ações de correção podem ocorrer automaticamente ou somente mediante aprovação pela equipe de operações de segurança. Outras configurações de segurança que podem afetar a correção automática incluem proteção contra aplicações potencialmente indesejadas (API).

Todas as ações de correção, pendentes ou concluídas, podem ser visualizadas na Central de Ações https://security.microsoft.com. Se necessário, sua equipe de operações de segurança pode desfazer uma ação de correção.

Níveis de automação em recursos automatizados de investigação e remediação

Os recursos automatizados de investigação e correção (AIR) no Microsoft Defender for Endpoint podem ser configurados para um dos vários níveis de automação. Seu nível de automação afeta se as ações de correção após as investigações do AIR são tomadas automaticamente ou somente após a aprovação.

  • Automação total (recomendada) significa que ações de correção são tomadas automaticamente em artefatos determinados como maliciosos.

  • A semiautomação significa que algumas ações de correção são tomadas automaticamente, mas outras ações de correção aguardam aprovação antes de serem tomadas. (Consulte a tabela em Níveis de automação.)

  • Todas as ações de correção, pendentes ou concluídas, são rastreadas na Central de Ações

níveis de automatização

Completo - remediar ameaças automaticamente (também conhecido como automação total)

Com a automação total, as ações de remediação são executadas automaticamente. Todas as ações de correção executadas podem ser visualizadas na Central de Ações na guia Histórico. Se necessário, uma ação de remediação pode ser desfeita.

Semi - requer aprovação para qualquer remediação (também referida como semi-automação)

Com esse nível de semiautomação, a aprovação é necessária para qualquer ação de correção. Essas ações pendentes podem ser visualizadas e aprovadas na Central de Ações, na guia Pendentes.

Semi - requer aprovação para remediação de pastas principais (também um tipo de semi-automação)

Com esse nível de semiautomação, a aprovação é necessária para quaisquer ações de correção necessárias em arquivos ou executáveis que estejam em pastas principais. As pastas principais incluem diretórios do sistema operacional, como o Windows (\windows*).

As ações de correção podem ser tomadas automaticamente em arquivos ou executáveis que estão em outras pastas (não essenciais).

As ações pendentes para arquivos ou executáveis em pastas principais podem ser visualizadas e aprovadas na Central de Ações, na guia Pendente.

As ações executadas em arquivos ou executáveis em outras pastas podem ser visualizadas na Central de Ações, na guia Histórico.

Semi - requer aprovação para correção de pastas não temporárias (também um tipo de semiautomação)

Com esse nível de semiautomação, a aprovação é necessária para quaisquer ações de correção necessárias em arquivos ou executáveis que não estejam em pastas temporárias.

As pastas temporárias podem incluir os seguintes exemplos:

  • \usuários*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \janelas\temp*

  • \usuários*\downloads*

  • \Arquivos de Programas\

  • \Arquivos de Programas (x86)*

  • \documentos e configurações*\usuários*

As ações de correção podem ser tomadas automaticamente em arquivos ou executáveis que estão em pastas temporárias.

As ações pendentes para arquivos ou executáveis que não estão em pastas temporárias podem ser exibidas e aprovadas na Central de Ações, na guia Pendente.

As ações que foram executadas em arquivos ou executáveis em pastas temporárias podem ser exibidas e aprovadas na Central de Ações na guia Histórico.

Sem resposta automatizada (também conhecida como ausência de automação)

Sem automação, a investigação automatizada não é executada nos dispositivos da sua organização. Como resultado, nenhuma ação de reparação é tomada ou pendente como resultado de uma investigação automatizada. No entanto, outros recursos de proteção contra ameaças, como a proteção contra aplicativos potencialmente indesejados, podem estar em vigor, dependendo de como seu antivírus e os recursos de proteção de próxima geração estão configurados.

O uso da opção sem automação não é recomendado porque reduz a postura de segurança dos dispositivos da sua organização. Considere configurar seu nível de automação para automação total (ou pelo menos semiautomação).

Pontos importantes sobre os níveis de automação

A automação completa provou ser confiável, eficiente e segura, e é recomendada para todos os clientes. A automação total libera seus recursos críticos de segurança para que eles possam se concentrar mais em suas iniciativas estratégicas. Se sua equipe de segurança definiu grupos de dispositivos com um nível de automação, essas configurações não serão alteradas pelas novas configurações padrão que estão sendo implementadas.