Detalhes e resultados de uma investigação automatizada
Com Microsoft Defender XDR, quando uma investigação automatizada é executada, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se tiver as permissões necessárias, pode ver esses detalhes numa vista de detalhes de investigação que lhe fornece status atualizadas e a capacidade de aprovar quaisquer ações pendentes.
(NOVO) Página de investigação unificada
A página de investigação foi atualizada recentemente para incluir informações nos seus dispositivos, e-mail e conteúdo de colaboração. A nova página de investigação unificada define uma linguagem comum e fornece uma experiência unificada para investigações automáticas em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365. Para aceder à página de investigação unificada, selecione a ligação na faixa amarela que verá em:
- Qualquer página de investigação no portal de conformidade do Microsoft Purview
- Qualquer página de investigação no portal do Microsoft Defender (https://security.microsoft.com)
- Qualquer incidente ou experiência do Centro de ação no portal do Microsoft Defender
Abrir a exibição de detalhes da investigação
Você pode abrir a exibição de detalhes da investigação usando um destes métodos:
- Selecionar um item na central de Ações
- Selecionar uma investigação em uma página de detalhes do incidente
Selecionar um item na central de Ações
O Centro de Ação (https://security.microsoft.com/action-center) melhorado reúne ações de remediação em todos os seus dispositivos, e-mail & conteúdo de colaboração e identidades. As ações listadas incluem ações de correção que foram executadas automaticamente ou manualmente. Na Central de ações, você pode exibir ações que estão aguardando aprovação e ações que já foram aprovadas ou concluídas. Você também pode navegar para obter mais detalhes, como uma página de investigação.
Dica
Tem de ter determinadas permissões para aprovar, rejeitar ou anular ações.
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, escolha Central de ações.
Na guia Pendenteou Histórico, selecione um item. O painel de lista de opções é aberto.
Reveja as informações no painel de lista de opções e, em seguida, siga um dos seguintes passos:
- Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir que uma ação pendente seja executada.
- Selecione Ir investigar para aceder à Investigação avançada.
Abrir uma investigação em uma página de detalhes do incidente
Use uma página de detalhes do incidente para exibir informações detalhadas sobre um incidente, incluindo os alertas que foram disparados com informações sobre os dispositivos afetados, contas de usuários ou caixas de correio.
Aceda a Microsoft Defender portal e inicie sessão.
No painel de navegação, selecione Incidentes & alertas>Incidentes.
Selecione um item na lista e, em seguida, selecione Abrir página de incidente.
Selecione a guia Investigações e, em seguida, selecione uma investigação na lista. O painel de lista de opções é aberto.
Selecione Abrir página de investigação.
Veja um exemplo.
Detalhes da investigação
Use o modo de exibição de detalhes da investigação para ver as atividades antigas, atuais e pendentes referentes a uma investigação. Veja um exemplo.
Na exibição de detalhes da investigação, você pode ver as informações nas guias Gráfico de Investigação, Alertas, Dispositivos, Identidades, Principais descobertas, Entidades,Log e Ações pendentes, descritas na tabela a seguir.
Observação
As guias específicas que você vê em uma página de detalhes de investigação dependem do que sua assinatura inclui. Por exemplo, se a sua subscrição não incluir Microsoft Defender para Office 365 Plano 2, não verá um separador Caixas de Correio.
| Guia | Descrição |
|---|---|
| Gráficos de investigação | Oferece uma representação visual da investigação. Descreve entidades e lista as ameaças encontradas, juntamente com os alertas, e se as ações estão aguardando aprovação. Você pode selecionar um item no gráfico para exibir mais detalhes. Por exemplo, selecionar o ícone Provas leva-o para o separador Provas , onde pode ver as entidades detetadas e os respetivos veredictos. |
| Alertas | Lista os alertas associados à investigação. Os alertas podem ser provenientes de funcionalidades de proteção contra ameaças no dispositivo de um utilizador, em aplicações do Office, Microsoft Defender para Aplicativos de Nuvem e outras funcionalidades de Microsoft Defender XDR. Se vir o tipo de alerta Não suportado, significa que as capacidades de investigação automatizada não podem recolher esse alerta para executar uma investigação automatizada. No entanto, pode investigar estes alertas manualmente. |
| Dispositivos | Listas dispositivos incluídos na investigação, juntamente com o nível de remediação. (Os níveis de remediação correspondem ao nível de automatização dos grupos de dispositivos.) |
| Caixas de correio | Listas caixas de correio afetadas por ameaças detetadas. |
| Usuários | Listas contas de utilizador afetadas por ameaças detetadas. |
| Evidências | Listas provas levantadas por alertas ou investigações. Inclui os vereditos (Mal-intencionado, Suspeito, Desconhecido ou Nenhuma ameaça encontrada) e o status da correção. |
| Entities | Fornece detalhes sobre cada entidade analisada, incluindo um veredito para cada tipo de entidade (Maliciosa, Suspeita ou Nenhuma ameaça encontrada). |
| Log | Fornece uma exibição cronológica e detalhada de todas as ações de investigação executadas depois que um alerta foi disparado. |
| Histórico de ações pendentes | Lista os itens que exigem aprovação para prosseguir. Aceda ao Centro de ação (https://security.microsoft.com/action-center) para aprovar ações pendentes. |
Estados de investigação
A tabela seguinte lista os estados de investigação e o que indicam.
| Estado da investigação | Definição |
|---|---|
| Benigno | Os artefactos foram investigados e foi tomada a determinação de que não foram encontradas ameaças. |
| PendingResource | Uma investigação automatizada está em pausa porque uma ação de remediação está pendente de aprovação ou o dispositivo no qual foi encontrado um artefacto está temporariamente indisponível. |
| Não SuportadoAlertType | Não está disponível uma investigação automatizada para este tipo de alerta. Uma investigação mais aprofundada pode ser feita manualmente através da investigação avançada. |
| Falhou | Pelo menos um analisador de investigação encontrou um problema em que não conseguiu concluir a investigação. Se uma investigação falhar após a aprovação das ações de remediação, as ações de remediação ainda poderão ter sido bem-sucedidas. |
| Remediado com êxito | Uma investigação automatizada foi concluída e todas as ações de remediação foram concluídas ou aprovadas. |
Para fornecer mais contexto sobre a forma como os estados de investigação são apresentados, a tabela seguinte lista os alertas e o estado de investigação automatizado correspondente. Esta tabela está incluída como um exemplo do que uma equipa de operações de segurança pode ver no portal do Microsoft Defender.
| Nome do alerta | Severity | Estado da investigação | Status | Categoria |
|---|---|---|---|---|
| Foi detetado software maligno num ficheiro de imagem de disco wim | Informativo | Benigno | Resolvido | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | Não SuportadoAlertType | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Wpakill hacktool foi impedido | Baixo | Falhou | Novo | Malware |
| GendowsBatch hacktool foi impedido | Baixo | Falhou | Novo | Malware |
| Keygen hacktool foi impedido | Baixo | Falhou | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo zip | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de arquivo rar | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de imagem de disco iso | Informativo | PendingResource | Novo | Malware |
| Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Malware |
| Foi detetado software maligno num ficheiro de dados pst outlook | Informativo | Não SuportadoAlertType | Novo | Malware |
| MediaGet detetado | Médio | ParcialmenteInvestigado | Novo | Malware |
| TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Malware |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Malware |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Malware |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Malware |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | Remediado com Êxito | Resolvido | Malware |
| TrojanEmailFile | Médio | Benigno | Resolvido | Malware |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Não SuportadoAlertType | Novo | Malware |
| O software maligno CustomEnterpriseBlock foi impedido | Informativo | Remediado com Êxito | Resolvido | Malware |
| TrojanEmailFile | Médio | Remediado com Êxito | Resolvido | Malware |
| TrojanEmailFile | Médio | Benigno | Resolvido | Malware |
| Um software maligno CustomEnterpriseBlock ativo foi bloqueado | Baixo | PendingResource | Novo | Malware |
Próximas etapas
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.