Examinar ações de correção após uma investigação automatizada

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas

Ações de correção

Quando uma investigação automatizada é executada, um veredicto é gerado para cada evidência investigada. Os veredictos podem ser mal-intencionados, suspeitos ou nenhuma ameaça encontrada.

Dependendo

• o tipo de ameaça,
• o veredicto resultante, e
• como os grupos de dispositivos da sua organização estão configurados,

As ações de correção podem ocorrer automaticamente ou somente após a aprovação da equipe de operações de segurança da sua organização.

Observação

Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Aqui estão alguns exemplos:

• Exemplo 1: os grupos de dispositivos da Fabrikam são definidos como Completos – corrigir ameaças automaticamente (a configuração recomendada). Nesse caso, as ações de correção são tomadas automaticamente para artefatos considerados mal-intencionados após uma investigação automatizada (consulte Revisar ações concluídas).

• Exemplo 2: os dispositivos da Contoso são incluídos em um grupo de dispositivos definido para Semi – exigem aprovação para qualquer correção. Nesse caso, a equipe de operações de segurança da Contoso deve examinar e aprovar todas as ações de correção após uma investigação automatizada (consulte Revisar ações pendentes).

• Exemplo 3: a Tailspin Toys tem seus grupos de dispositivos definidos como Nenhuma resposta automatizada (não recomendada). Nesse caso, investigações automatizadas não ocorrem. Nenhuma ação de correção é tomada ou pendente e nenhuma ação é registrada no Centro de Ações para seus dispositivos (consulte Gerenciar grupos de dispositivos).

Seja feita automaticamente ou após a aprovação, uma investigação e correção automatizadas podem resultar em uma ou mais ações de correção:

• Colocar em quarentena um arquivo
• Remover uma chave do registro
• Matar um processo
• Parar um serviço
• Desabilitar um driver
• Remover uma tarefa agendada

Examinar ações pendentes

1. Acesse o portal do Microsoft Defender e entre.

2. No painel de navegação, escolha Central de ações.

3. Examine os itens na guia Pendente .

4. Selecione uma ação para abrir seu painel de sobrevoo.

5. No painel de sobrevoo, examine as informações e siga uma das seguintes etapas:

   • Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir que uma ação pendente seja executada.
   • Selecione Ir caçar para ir à caça avançada.

Aprovar ou rejeitar ações de correção

Para incidentes com uma status de correção de aprovação pendente, você também pode aprovar ou rejeitar uma ação de correção de dentro do incidente.

1. No painel de navegação, acesse Incidentes & alertas Incidentes>.
2. Filtrar em Ação pendente para o estado de investigação automatizado (opcional).
3. Selecione um nome de incidente para abrir sua página de resumo.
4. Selecione a guia Evidência e Resposta .
5. Selecione um item na lista para abrir seu painel de sobrevoo.
6. Examine as informações e siga uma das seguintes etapas:
   • Selecione a opção Aprovar a ação pendente para iniciar uma ação pendente.
   • Selecione a opção Rejeitar a ação pendente para impedir que uma ação pendente seja tomada.

Examinar ações concluídas

1. Acesse o portal do Microsoft Defender e entre.

2. No painel de navegação, escolha Central de ações.

3. Examine os itens na guia Histórico .

4. Selecione um item para exibir mais detalhes sobre essa ação de correção.

Desfazer ações concluídas

Se você determinou que um dispositivo ou um arquivo não é uma ameaça, você pode desfazer as ações de correção que foram tomadas, se essas ações foram tomadas automaticamente ou manualmente. Na central de ações, na guia Histórico , você pode desfazer qualquer uma das seguintes ações:

Fonte de ação	Ações com suporte
Investigação automatizada Ações de resposta manual (confira a nota abaixo) Microsoft Defender Antivírus	Desabilitar um driver Isolar dispositivo Colocar em quarentena um arquivo Remover uma chave do registro Remover uma tarefa agendada Restringir a execução de código Parar um serviço

Observação

O Plano 1 do Defender para Ponto de Extremidade e Microsoft Defender para Empresas incluem apenas as seguintes ações de resposta manual:

• Executar verificação de antivírus
• Isolar dispositivo
• Parar e colocar em quarentena um arquivo
• Adicionar um indicador para bloquear ou permitir um arquivo

Para desfazer várias ações ao mesmo tempo

1. Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.

2. Na guia Histórico , selecione as ações que você deseja desfazer. Selecione itens com o mesmo tipo de ação. Um painel de sobrevoo é aberto.

3. No painel de sobrevoo, selecione Desfazer.

Para remover um arquivo da quarentena em vários dispositivos

1. Vá para a Central de Ações (https://security.microsoft.com/action-center) e entre.

2. Na guia Histórico , selecione um item que tenha o arquivo quarentena do tipo Ação.

3. No painel de sobrevoo, selecione Aplicar a X mais instâncias deste arquivo e selecione Desfazer.

Níveis de automação, resultados de investigação automatizados e ações resultantes

Os níveis de automação afetam se determinadas ações de correção são tomadas automaticamente ou somente após a aprovação. Às vezes, sua equipe de operações de segurança tem mais etapas a serem tomadas, dependendo dos resultados de uma investigação automatizada. A tabela a seguir resume os níveis de automação, os resultados das investigações automatizadas e o que fazer em cada caso.

Configuração do grupo de dispositivos	Resultados de investigação automatizada	O que fazer
Completo - corrigir ameaças automaticamente (recomendado)	Um veredicto de Mal-intencionado é alcançado para obter uma evidência. As ações de correção apropriadas são tomadas automaticamente.	Examinar ações concluídas
Semi – exigir aprovação para qualquer correção	Um veredicto de Mal-intencionado ou suspeito é alcançado para obter uma evidência. As ações de correção estão pendentes de aprovação para prosseguir.	Aprovar (ou rejeitar) ações pendentes
Semi – exigir aprovação para correção de pastas principais	Um veredicto de Mal-intencionado é alcançado para obter uma evidência. Se o artefato for um arquivo ou executável e estiver em um diretório do sistema operacional, como a pasta Windows ou a pasta Arquivos de Programa, as ações de correção estarão pendentes de aprovação. Se o artefato não estiver em um diretório do sistema operacional, as ações de correção serão tomadas automaticamente.	Aprovar (ou rejeitar) ações pendentes Examinar ações concluídas
Semi – exigir aprovação para correção de pastas principais	Um veredicto de Suspeito é alcançado para uma evidência. As ações de correção estão pendentes de aprovação.	Aprovar (ou rejeitar) ações pendentes.
Semi – exigir aprovação para correção de pastas não temporárias	Um veredicto de Mal-intencionado é alcançado para obter uma evidência. Se o artefato for um arquivo ou executável que não esteja em uma pasta temporária, como a pasta downloads do usuário ou a pasta temporária, as ações de correção estarão pendentes de aprovação. Se o artefato for um arquivo ou executável que esteja em uma pasta temporária, as ações de correção serão executadas automaticamente.	Aprovar (ou rejeitar) ações pendentes Examinar ações concluídas
Semi – exigir aprovação para correção de pastas não temporárias	Um veredicto de Suspeito é alcançado para uma evidência. As ações de correção estão pendentes de aprovação.	Aprovar (ou rejeitar) ações pendentes
Qualquer um dos níveis de automação total ou semi	Um veredicto de Nenhuma ameaça encontrada é alcançado para uma evidência. Nenhuma ação de correção é tomada e nenhuma ação está pendente de aprovação.	Exibir detalhes e resultados das investigações automatizadas
Nenhuma resposta automatizada (não recomendada)	Nenhuma investigação automatizada é executada, portanto, nenhum veredicto é alcançado, e nenhuma ação de correção é tomada ou aguardando aprovação.	Considere configurar ou alterar seus grupos de dispositivos para usar a automação Completa ou Semi

Todos os veredictos são rastreados no Centro de Ação.

Observação

No Defender para Empresas, as funcionalidades automatizadas de investigação e correção são predefinidas para usar ameaças completas e corretivas automaticamente. Esses recursos são aplicados a todos os dispositivos por padrão.

Próximas etapas

• Saiba mais sobre os recursos de resposta ao vivo
• Caçar proativamente ameaças com caça avançada
• Endereços falsos positivos/negativos no Microsoft Defender para Ponto de Extremidade

Confira também

• Visão geral das investigações automatizadas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.