Investigue o dispositivo

  • 7 minutos

Investigue os detalhes de um alerta gerado em um dispositivo específico para identificar outros comportamentos ou eventos que podem estar relacionados ao alerta ou ao escopo potencial da violação.

Você pode selecionar os dispositivos afetados sempre que os vir no portal para abrir um relatório detalhado sobre esse dispositivo. Os dispositivos afetados são identificados nas seguintes áreas:

  • Lista de dispositivos

  • Fila de alertas

  • Painel de operações de segurança

  • Qualquer alerta individual

  • Qualquer exibição de detalhes de arquivos individuais

  • Qualquer exibição de detalhes de endereço IP ou domínio

Ao investigar um dispositivo específico, você verá:

  • Detalhes do dispositivo

  • Ações de resposta

  • Guias visão geral, alertas, linha do tempo, recomendações de segurança, inventário de software, vulnerabilidades descobertas, KBs ausentes (IDs de bases de dados de conhecimento)

  • Cartões (alertas ativos, usuários conectados, avaliação de segurança)

Detalhes do dispositivo

A seção detalhes do dispositivo fornece informações como o domínio do dispositivo, o sistema operacional e o estado de integridade. Se houver um pacote de investigação disponível no dispositivo, você verá um link que permite baixar o pacote.

Ações de resposta

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

  • Gerenciar marcas

  • Isolar o dispositivo

  • Restringir a execução de aplicativo

  • Executar verificação antivírus

  • Coletar pacote de investigação

  • Iniciar sessão de resposta ao vivo

  • Iniciar investigação automatizada

  • Consultar um especialista em ameaças

  • Central de ações

Você pode receber ações de resposta na central de ações, em uma página de dispositivo específica ou em uma página de arquivo específica.

Guias

Visão geral

A guia Visão geral exibe os cartões para alertas ativos, usuários conectados e avaliação de segurança.

Alertas ativos

Você pode exibir o número geral de alertas ativos dos últimos 30 dias em sua rede a partir do bloco. Os alertas são agrupados em Novos e Em andamento. Cada grupo é subcategorizado em seus níveis de gravidade de alertas correspondentes. Selecione o número dentro de cada anel de alerta para ver uma exibição classificada da fila dessa categoria (Novo ou Em andamento).

Usuários conectados

O cartão de usuários conectados mostra quantos usuários fizeram logon nos últimos 30 dias e os usuários mais e menos frequentes. A seleção do link "Ver todos os usuários" abre o painel detalhes, que exibe o tipo de usuário, o tipo de entrada e quando o usuário foi o primeiro e o último visto.

Avaliações de Segurança

O cartão de avaliação de segurança mostra o nível de exposição geral, as recomendações de segurança, o software instalado e as vulnerabilidades descobertas. O nível de exposição de um dispositivo é determinado pelo impacto cumulativo de suas recomendações de segurança pendentes.

Alertas

A guia alertas fornece uma lista de alertas associados ao dispositivo. Esta lista é uma versão filtrada da fila de alertas e mostra uma breve descrição do alerta, gravidade (alta, média, baixa, informativa), status na fila (nova, em andamento, resolvido), classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria de alerta, que está lidando com o alerta e a última atividade. Você também pode filtrar os alertas.

Linha do tempo

A guia linha do tempo fornece uma exibição cronológica dos eventos e alertas associados que foram observados no dispositivo. Isso pode ajudá-lo a correlacionar quaisquer eventos, arquivos e endereços IP relacionados ao dispositivo.

A linha do tempo também permite que você faça buscas seletivamente em eventos que ocorreram em um determinado período. Você pode exibir a sequência temporal de eventos que ocorreram em um dispositivo durante um período selecionado. Para controlar ainda mais sua exibição, você pode filtrar por grupos de eventos ou personalizar as colunas.

Algumas das funcionalidades incluem:

  • Pesquisa de alertas específicos

    • Use a barra de pesquisa para procurar eventos de linha do tempo específicos.

  • Filtrar os eventos de uma data específica

    • Selecione o ícone de calendário no canto superior esquerdo da tabela para exibir eventos no dia anterior, semana anterior, últimos 30 dias ou em um intervalo personalizado. Por padrão, a linha do tempo do dispositivo é definida para exibir os eventos dos últimos 30 dias.

    • Use a linha do tempo para saltar para um momento específico no tempo, destacando a seção. As setas na linha do tempo identificam investigações automatizadas

  • Exportar eventos de linha do tempo detalhados do dispositivo

    • Exporte a linha do tempo do dispositivo para a data atual ou um intervalo de datas especificado até sete dias.

Mais detalhes sobre determinados eventos são fornecidos e variam de acordo com o tipo de evento, por exemplo:

  • Contido no Application Guard - o evento do navegador da Web foi restringido por um contêiner isolado

  • Ameaça ativa detectada - a detecção de ameaças ocorreu enquanto a ameaça estava em execução

  • Falha na correção - uma tentativa de corrigir a ameaça detectada foi invocada, mas falhou

  • Correção bem-sucedida - a ameaça detectada foi interrompida e limpa

  • Aviso ignorado pelo usuário - o aviso do Windows Defender SmartScreen foi descartado e substituído por um usuário

  • Script suspeito detectado - um script potencialmente mal-intencionado foi encontrado em execução

  • A categoria de alerta – se o evento levou à geração de um alerta, a categoria de alerta ("movimento lateral", por exemplo) é fornecida

Sinalizar um evento

Ao navegar na linha do tempo do dispositivo, você pode pesquisar e filtrar eventos específicos. Você pode definir sinalizadores de evento ao:

  • Realçar os eventos mais importantes

  • Marcar eventos que exigem aprofundamento

  • Criar uma linha do tempo de violação limpa

Localize o evento que você deseja sinalizar. Selecionar o ícone de sinalizador na coluna sinalizador.

Exibir eventos sinalizados

Na seção Filtros de linha do tempo, habilite "Somente eventos sinalizados". Escolha Aplicar. Somente eventos sinalizados são exibidos. Você pode aplicar mais filtros clicando na barra de tempo. Isso mostrará apenas os eventos anteriores ao evento sinalizado.

Detalhes do evento

Selecione um evento para exibir detalhes relevantes sobre esse evento. Um painel é exibido para mostrar informações gerais do evento. Quando aplicável e os dados estão disponíveis, um gráfico que mostra entidades relacionadas e suas relações também são mostrados.

Para inspecionar melhor o evento e os eventos relacionados, você pode executar rapidamente uma consulta de busca avançada ao selecionar Procurar eventos relacionados. A consulta retornará o evento selecionado e a lista de outros eventos que ocorreram ao mesmo tempo no mesmo ponto de extremidade.

Recomendações de segurança

As recomendações de segurança são geradas do recurso Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade. A seleção de uma recomendação mostrará um painel em que você pode exibir detalhes relevantes, como a descrição da recomendação e os riscos potenciais associados à não interação.

Inventário de software

A guia Inventário de software permite exibir software no dispositivo, juntamente com quaisquer falhas ou ameaças. Selecionar o nome do software levará você para a página de detalhes do software, onde você pode exibir recomendações de segurança, vulnerabilidades descobertas, dispositivos instalados e distribuição de versão.

Vulnerabilidades descobertas

A guia vulnerabilidades descobertas mostra o nome, a gravidade e as informações de ameaça de vulnerabilidades descobertas no dispositivo. A seleção de vulnerabilidades específicas mostrará uma descrição e detalhes.

Bases de dados de conhecimento ausentes

A guia KBs ausentes lista as atualizações de segurança ausentes para o dispositivo.