Configurar recursos automatizados de investigação e correção

  • 5 minutos

Para configurar a investigação e a correção automatizadas, ative os recursos e, em seguida, configure os grupos de dispositivos.

Ativar investigação e correção automatizadas

Como administrador global ou administrador de segurança:

  1. No painel de navegação, selecione Configurações > Pontos de Extremidade.

  2. Na seção Geral, selecione Recursos avançados.

  3. Ative a investigação automatizada e resolva automaticamente os alertas.

Configurar grupos de dispositivos

  1. No painel de navegação para Endpoints em Permissões, selecione Grupos de dispositivos.

  2. Selecione + Adicionar grupo de dispositivos.

    • Crie pelo menos um grupo de dispositivos da seguinte maneira:

      • Especifique um nome e uma descrição para o grupo de dispositivos.

      • Na lista de nível Automação selecione um nível, como Completo – corrigir ameaças automaticamente. O nível de automação determina se as ações de correção são executadas automaticamente ou somente mediante aprovação. Para saber mais, confira Como as ameaças são corrigidas.

      • Na seção Dispositivos, use uma ou mais condições para identificar e incluir dispositivos.

      • Na guia Acesso do usuário, selecione os grupos do Azure Active Directory que devem ter acesso ao grupo de dispositivos que você está criando.

  3. Selecione Concluído quando tiver concluído a configuração do seu grupo de dispositivos.

Níveis de automação

Completo – correção de ameaças automaticamente (também conhecido como automação completa)

Com a automação completa, as ações de correção são executadas automaticamente. Todas as ações de correção realizadas são exibidas na Central de Ações, na guia Histórico. Se necessário, é possível desfazer uma ação de correção.

Semi – exigir aprovação para qualquer correção (também conhecida como semiautomação)

Nesse nível, é necessário aprovação para qualquer ação de correção. Essas ações pendentes podem ser exibidas e aprovadas na Central de Ações, na guia Pendente.

Semi – exigir aprovação para a correção de pastas principais (também um tipo de semiautomação)

Com esse nível de semiautomação, é preciso obter aprovação para qualquer ação de correção necessária em arquivos ou executáveis que estão nas pastas principais. As pastas principais incluem diretórios do sistema operacional, como o Windows (\windows*). As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão em outras pastas (não principais). As ações pendentes para arquivos ou executáveis em pastas principais podem ser exibidas e aprovadas na Central de Ações, na guia Pendente. As ações que foram executadas em arquivos ou executáveis em outras pastas podem ser exibidas na Central de Ações, na guia Histórico.

Semi – exigir aprovação para a correção de pastas não temporárias (também um tipo de semiautomação)

Com esse nível de semiautomação, é preciso obter aprovação para qualquer ação de correção necessária em arquivos ou executáveis que não estão nas pastas temporárias.

As pastas temporárias podem incluir os seguintes exemplos:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \arquivos de programas\

  • \program files (x86)*

  • \documents and settings*\users*

As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão nas pastas temporárias. As ações pendentes para arquivos ou executáveis que não estão nas pastas temporárias podem ser exibidas e aprovadas na Central de Ações, na guia Pendente. As ações que foram executadas em arquivos ou executáveis nas pastas temporárias podem ser exibidas e aprovadas na Central de Ações, na guia Histórico.

Nenhuma resposta automatizada (também conhecida como “sem automação”)

Sem automação, a investigação automatizada não é executada nos dispositivos de sua organização. Sendo assim, nenhuma ação de correção é realizada ou fica pendente como resultado de uma investigação automatizada. No entanto, outros recursos de proteção contra ameaças, como proteção contra aplicativos potencialmente indesejados, podem estar em vigor, dependendo de como seus recursos de proteção antivírus e de última geração são configurados.

Não é recomendável usar a opção sem automação porque ela reduz a postura de segurança dos dispositivos de sua organização. Considere configurar seu nível de automação para automação completa (ou, pelo menos, semiautomação).

Configure rapidamente os níveis de correção em grupos de dispositivos

Outra maneira de definir ou atualizar níveis de correção em grupos de dispositivos está na página Configurações, Geral, Correção automática. A página fornece uma lista de grupos de dispositivos e o nível de correção atual para cada um deles. Selecionar a linha permitirá que você ajuste a configuração de correção.