Explicar as ações do dispositivo
Ao investigar um dispositivo, você pode executar ações, coletar dados ou acessar remotamente o computador. O Defender para Ponto de Extremidade fornece o controle de dispositivo necessário.
Você pode executar as seguintes ações:
Isolar o dispositivo
Restringir a execução de aplicativo
Executar verificação antivírus
Você pode executar as seguintes ações de investigação:
Iniciar Investigação Automatizada
Coletar pacote de investigação
Iniciar Sessão de Resposta Dinâmica
A Central de ações fornece informações sobre as ações que foram executadas em um dispositivo ou arquivo.
Isolar dispositivos das redes
Dependendo da gravidade do ataque e da confidenciabilidade do dispositivo, talvez você deva isolar o dispositivo da rede. Essa ação pode ajudar a impedir que o invasor controle o dispositivo comprometido e realize outras atividades, como vazamento de dados e movimento lateral.
Tal recurso de isolamento de dispositivo desconecta o dispositivo comprometido da rede enquanto mantém a conectividade com o serviço do Defender para Ponto de Extremidade, que continua a monitorar o dispositivo.
No Windows 10, versão 1709 ou posterior, você terá mais um controle sobre o nível de isolamento da rede. Você também pode optar por habilitar o Outlook, o Microsoft Teams e a conectividade do Skype for Business (conhecido como 'Isolamento Seletivo').
Depois de selecionar Isolar Dispositivo na página do dispositivo, digite um comentário e clique em Confirmar. A central de ações mostrará as informações de verificação e a linha do tempo do dispositivo incluirá um novo evento.
Quando um dispositivo está sendo isolado, uma notificação é exibida para informar ao usuário que o dispositivo está isolado da rede.
Restringir a execução de aplicativo
Além de conter um ataque interrompendo processos mal-intencionados, você também pode bloquear um dispositivo e impedir que sejam executadas tentativas futuras de programas potencialmente mal-intencionados.
Importante
Essa ação está disponível para dispositivos no Windows 10, versão 1709 ou posterior. Esse recurso está disponível caso sua organização use o Microsoft Defender Antivírus. Essa ação deve atender aos requisitos de formatos e de assinatura de política de integridade de código do Controle de Aplicativo do Windows Defender. Para restringir a execução de um aplicativo, é aplicada uma política de integridade de código, permitindo que apenas sejam executados os arquivos assinados por um certificado emitido pela Microsoft. Esse método de restrição pode ajudar a impedir que um invasor controle dispositivos comprometidos e execute outras atividades mal-intencionadas.
Você poderá reverter a restrição de aplicativos serem executados a qualquer momento. O botão na página do dispositivo será alterado para mostrar Remover restrições do aplicativo e você seguirá as mesmas etapas da restrição de execução de aplicativo.
Depois de selecionar Restringir a execução de aplicativo na página do dispositivo, digite um comentário e clique em Confirmar. A central de ações mostrará as informações de verificação e a linha do tempo do dispositivo incluirá um novo evento.
Quando um aplicativo é restrito, uma notificação é exibida para informar ao usuário que um aplicativo está sendo impedido de ser executado.