Níveis de automação em funcionalidades automatizadas de investigação e correção
Aplica-se a:
- Microsoft Defender XDR
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
Os recursos de investigação e correção automatizados (AIR) no Microsoft Defender para Empresas são pré-configurados e não são configuráveis. Em Microsoft Defender para Ponto de Extremidade, você pode configurar o AIR para um dos vários níveis de automação. Seu nível de automação afeta se as ações de correção após investigações air são tomadas automaticamente ou somente após a aprovação.
- A automação completa (recomendada) significa que as ações de correção são tomadas automaticamente em artefatos determinados como mal-intencionados. (A automação completa é definida por padrão no Defender para Empresas.)
- A semi automação significa que algumas ações de correção são tomadas automaticamente, mas outras ações de correção aguardam aprovação antes de serem tomadas. (Confira a tabela em Níveis de automação.)
- Todas as ações de correção, pendentes ou concluídas, são rastreadas na Central de Ações (https://security.microsoft.com).
Dica
Para obter melhores resultados, recomendamos usar a automação completa ao configurar o AIR. Dados coletados e analisados no último ano mostram que os clientes que estão usando automação completa tiveram 40% mais amostras de malware de alta confiança removidas do que os clientes que estão usando níveis mais baixos de automação. A automação completa pode ajudar a liberar seus recursos de operações de segurança para se concentrar mais em suas iniciativas estratégicas.
Observação
Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.
Níveis de automação
Nível de automação | Descrição |
---|---|
Completo - corrigir ameaças automaticamente (também chamado de automação completa) |
Com a automação completa, as ações de correção são executadas automaticamente em entidades consideradas mal-intencionadas. Todas as ações de correção executadas podem ser exibidas na Central de Ações na guia Histórico . Se necessário, uma ação de correção pode ser desfeita. A automação completa é recomendada e é selecionada por padrão para locatários com o Defender para Ponto de Extremidade que foram criados em ou após 16 de agosto de 2020, sem grupos de dispositivos definidos ainda. A automação completa é definida por padrão no Defender para Empresas. |
Semi – exigir aprovação para todas as pastas (também chamado de semi-automação) |
Com esse nível de semi automação, a aprovação é necessária para ações de correção em todos os arquivos. Essas ações pendentes podem ser visualizadas e aprovadas na Central de Ações, na guia Pendente . Tempo limite de ações pendentes após 7 dias. Se uma ação acabar, o comportamento será o mesmo que se a ação for rejeitada. Esse nível de semi automação é selecionado por padrão para locatários criados antes de 16 de agosto de 2020 com Microsoft Defender para Ponto de Extremidade, sem grupos de dispositivos definidos. |
Semi – exigir aprovação para correção de pastas principais (também um tipo de semi-automação) |
Com esse nível de semi automação, a aprovação é necessária para todas as ações de correção necessárias em arquivos ou executáveis que estejam em pastas principais. As pastas principais incluem diretórios do sistema operacional, como o Windows (\windows\* ). As ações de correção podem ser tomadas automaticamente em arquivos ou executáveis que estão em outras pastas (não essenciais). Ações pendentes para arquivos ou executáveis em pastas principais podem ser visualizadas e aprovadas na Central de Ações, na guia Pendente . Ações que foram executadas em arquivos ou executáveis em outras pastas podem ser exibidas na Central de Ações, na guia Histórico . |
Semi – exigir aprovação para correção de pastas não temporárias (também um tipo de semi-automação) |
Com esse nível de semi automação, a aprovação é necessária para todas as ações de correção necessárias em arquivos ou executáveis que não estejam* em pastas temporárias. As pastas temporárias podem incluir os seguintes exemplos:
As ações de correção podem ser tomadas automaticamente em arquivos ou executáveis que estão em pastas temporárias. Ações pendentes para arquivos ou executáveis que não estão em pastas temporárias podem ser visualizadas e aprovadas na Central de Ações, na guia Pendente . Ações que foram executadas em arquivos ou executáveis em pastas temporárias podem ser visualizadas e aprovadas na Central de Ações, na guia Histórico . |
Nenhuma resposta automatizada (também chamado de sem automação) |
Sem automação, a investigação automatizada não é executada nos dispositivos da sua organização. Como resultado, nenhuma ação de correção é tomada ou pendente como resultado de uma investigação automatizada. No entanto, outros recursos de proteção contra ameaças, como a proteção contra aplicativos potencialmente indesejados, podem estar em vigor, dependendo de como seus recursos de proteção antivírus e de próxima geração estão configurados. * Não é recomendável usar a opção sem automação, pois reduz a postura de segurança dos dispositivos da sua organização. Considere configurar o nível de automação para automação completa (ou pelo menos semi automação). |
Pontos importantes sobre os níveis de automação
A automação completa provou ser confiável, eficiente e segura e é recomendada para todos os clientes. A automação completa libera seus recursos de segurança críticos para que eles possam se concentrar mais em suas iniciativas estratégicas.
Novos locatários (que incluem locatários criados em ou após 16 de agosto de 2020) com o Defender para Ponto de Extremidade são definidos como automação completa por padrão.
O Defender para Empresas usa a automação completa por padrão. O Defender para Empresas não usa grupos de dispositivos da mesma forma que o Defender para Ponto de Extremidade. Assim, a automação completa é ativada e aplicada a todos os dispositivos no Defender para Empresas.
Se sua equipe de segurança tiver definido grupos de dispositivos com um nível de automação, essas configurações não serão alteradas pelas novas configurações padrão que estão sendo distribuídas.
Você pode manter suas configurações de automação padrão ou alterá-las de acordo com suas necessidades organizacionais. Para alterar suas configurações, defina seu nível de automação.
Observação
O Defender para Empresas depende da proteção em tempo real para investigação automática. A proteção em tempo real deve ser habilitada e no modo ativo para habilitar a investigação automática.
Próximas etapas
- Configurar recursos automatizados de investigação e correção no Defender para Ponto de Extremidade
- Visite a Central de Ações
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.