Visão geral das investigações automatizadas
Aplica-se a:
- Microsoft Defender XDR
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
Plataformas
- Windows
Deseja ver como funciona? Veja o seguinte vídeo:
A tecnologia utilizada na investigação automatizada usa vários algoritmos de inspeção e se baseia em processos usados por analistas de segurança. Os recursos AIR se destinam a examinar os alertas e a tomar providências imediatas para resolver as violações. Os recursos AIR reduzem de forma significativa o volume de alertas, permitindo que as operações de segurança se concentrem nas ameaças mais sofisticadas e outras iniciativas de alto valor. Todas as ações de correção, pendentes ou executadas, são rastreadas na Central de Ações. Na Central de Ações as ações pendentes são aprovadas (ou rejeitadas) e as ações concluídas podem ser desfeitas, se necessário.
Este artigo fornece uma descrição geral do AIR e inclui ligações para os próximos passos e recursos adicionais.
Dica
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Como é iniciada a investigação automatizada
Uma investigação automatizada pode começar quando um alerta é acionado ou quando um operador de segurança inicia a investigação.
| Situação | O que acontece |
|---|---|
| É acionado um alerta | Em geral, uma investigação automatizada começa quando um alerta é acionado e é criado um incidente . Por exemplo, suponha que um ficheiro malicioso reside num dispositivo. Quando esse ficheiro é detetado, é acionado um alerta e é criado um incidente. É iniciado um processo de investigação automatizado no dispositivo. À medida que são gerados outros alertas devido ao mesmo ficheiro noutros dispositivos, são adicionados ao incidente associado e à investigação automatizada. |
| Uma investigação é iniciada manualmente | Uma investigação automatizada pode ser iniciada manualmente pela sua equipa de operações de segurança. Por exemplo, suponha que um operador de segurança está a rever uma lista de dispositivos e repara que um dispositivo tem um nível de risco elevado. O operador de segurança pode selecionar o dispositivo na lista para abrir a lista de opções e, em seguida, selecionar Iniciar Investigação Automatizada. |
Como uma investigação automatizada expande o âmbito
Enquanto uma investigação está em execução, quaisquer outros alertas gerados a partir do dispositivo são adicionados a uma investigação automatizada em curso até que essa investigação esteja concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos serão adicionados à investigação.
Se uma entidade incriminada for vista noutro dispositivo, o processo de investigação automatizada expande o âmbito para incluir esse dispositivo e é iniciado um manual de procedimentos de segurança geral nesse dispositivo. Se forem encontrados 10 ou mais dispositivos durante este processo de expansão a partir da mesma entidade, essa ação de expansão requer uma aprovação e é visível no separador Ações pendentes .
Como as ameaças são remediadas
À medida que os alertas são acionados, e uma investigação automatizada é executada, é gerado um veredicto para cada prova investigada. Os vereditos podem ser:
- Malicioso;
- Suspeito; ou
- Não foram encontradas ameaças.
À medida que os veredictos são alcançados, as investigações automatizadas podem resultar em uma ou mais ações de remediação. Exemplos de ações de remediação incluem o envio de um ficheiro para quarentena, a paragem de um serviço, a remoção de uma tarefa agendada e muito mais. Para saber mais, veja Ações de remediação.
Dependendo do nível de automatização definido para a sua organização, bem como de outras definições de segurança, as ações de remediação podem ocorrer automaticamente ou apenas após a aprovação pela sua equipa de operações de segurança. As definições de segurança adicionais que podem afetar a remediação automática incluem proteção contra aplicações potencialmente indesejadas (PUA).
Todas as ações de correção, pendentes ou executadas, são rastreadas na Central de Ações. Se necessário, a equipa de operações de segurança pode anular uma ação de remediação. Para saber mais, veja Rever e aprovar ações de remediação após uma investigação automatizada.
Dica
Veja a nova página de investigação unificada no portal Microsoft Defender. Para saber mais, veja a página Investigação unificada.
Requisitos do AIR
A sua subscrição tem de incluir o Defender para Endpoint ou Defender para Empresas.
Observação
A investigação e resposta automatizadas requerem Microsoft Defender Antivírus para execução no modo passivo ou no modo ativo. Se Microsoft Defender Antivírus estiver desativado ou desinstalado, a Investigação Automatizada e a Resposta não funcionarão corretamente.
Atualmente, o AIR só suporta as seguintes versões do SO:
- Windows Server 2012 R2 (Pré-visualização)
- Windows Server 2016 (Pré-visualização)
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
- Windows 10, versão 1709 (Compilação 16299.1085 do SO com KB4493441) ou posterior
- Windows 10, versão 1803 (Compilação 17134.704 do SO com KB4493464) ou posterior
- Windows 10, versão 1803 ou posterior
- Windows 11
Observação
A investigação e resposta automatizadas no Windows Server 2012 R2 e Windows Server 2016 requer a instalação do Agente Unificado.
Próximas etapas
- Saiba mais sobre os níveis de automatização
- Veja o guia interativo: Investigar e remediar ameaças com Microsoft Defender para Ponto de Extremidade
- Configurar capacidades automatizadas de investigação e remediação no Microsoft Defender para Ponto de Extremidade
Confira também
- Proteção PUA
- Investigação e resposta automatizadas no Microsoft Defender para Office 365
- Investigação e resposta automatizadas no Microsoft Defender XDR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.