Ações de remediação no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Durante e após uma investigação automatizada no Microsoft Defender XDR, as ações de remediação são identificadas para itens maliciosos ou suspeitos. Alguns tipos de ações de remediação são efetuadas em dispositivos, também conhecidos como pontos finais. Outras ações de remediação são realizadas em identidades, contas e conteúdos de e-mail. Além disso, alguns tipos de ações de remediação podem ocorrer automaticamente, enquanto outros tipos de ações de remediação são realizados manualmente pela equipa de segurança da sua organização. Quando uma investigação automatizada resulta numa ou mais ações de remediação, a investigação só é concluída quando as ações de remediação são tomadas, aprovadas ou rejeitadas.
Importante
Se as ações de remediação são executadas automaticamente ou apenas após aprovação depende de determinadas definições, como níveis de automatização. Para saber mais, veja os seguintes artigos:
A tabela seguinte resume as ações de remediação atualmente suportadas no Microsoft Defender XDR.
| Ações de remediação do dispositivo (ponto final) | Ações de remediação de e-mail | Utilizadores (contas) |
|---|---|---|
| - Recolher pacote de investigação - Isolar o dispositivo (esta ação pode ser anulada) - Máquina offboard - Execução do código de versão - Libertação da quarentena - Exemplo de pedido - Restringir a execução de código (esta ação pode ser anulada) - Executar análise antivírus - Parar e colocar em quarentena - Conter dispositivos da rede |
- Bloquear URL (tempo de clique) - Eliminar mensagens de e-mail ou clusters de eliminação recuperável - Colocar o e-mail em quarentena - Colocar um anexo de e-mail em quarentena - Desativar o reencaminhamento de correio externo |
- Desativar utilizador - Repor palavra-passe do utilizador - Confirmar o utilizador como comprometido |
As ações de remediação, quer estejam pendentes ou já concluídas, podem ser visualizadas no Centro de ação.
Ações de remediação que seguem investigações automatizadas
Quando uma investigação automatizada é concluída, um veredicto é alcançado para cada prova envolvida. Dependendo do veredicto, as ações de remediação são identificadas. Em alguns casos, as ações de remediação são executadas automaticamente; noutros casos, as ações de remediação aguardam aprovação. Tudo depende da forma como a investigação e a resposta automatizadas são configuradas.
A tabela seguinte lista possíveis veredictos e resultados:
| Veredicto | Entidades afetadas | Resultados |
|---|---|---|
| Malicioso | Dispositivos (pontos finais) | As ações de remediação são executadas automaticamente (partindo do princípio de que os grupos de dispositivos da sua organização estão definidos como Completo – remediar ameaças automaticamente) |
| Comprometido | Utilizadores | As ações de remediação são executadas automaticamente |
| Malicioso | Conteúdo de e-mail (URLs ou anexos) | As ações de remediação recomendadas estão pendentes de aprovação |
| Suspeito | Dispositivos ou conteúdo de e-mail | As ações de remediação recomendadas estão pendentes de aprovação |
| Não foram encontradas ameaças | Dispositivos ou conteúdo de e-mail | Não são necessárias ações de remediação |
Ações de remediação que são executadas manualmente
Além das ações de remediação que seguem investigações automatizadas, a sua equipa de operações de segurança pode realizar determinadas ações de remediação manualmente. Estas ações incluem:
- Ação manual do dispositivo, como isolamento do dispositivo ou quarentena de ficheiros
- Ação de e-mail manual, como eliminar mensagens de e-mail de eliminação recuperável
- Ação manual do utilizador, como desativar o utilizador ou repor a palavra-passe do utilizador
- Ação de investigação avançada em dispositivos, utilizadores ou e-mail
- Ação do explorador em conteúdos de e-mail, como mover e-mails para lixo, eliminar e-mails de forma recuperável ou eliminar e-mails
- Ação de resposta em direto manual, como eliminar um ficheiro, parar um processo e remover uma tarefa agendada
- Ação de resposta em direto com as APIs do Microsoft Defender para Endpoint, como isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro
Passos seguintes
- Visite o Centro de ação
- Ver e gerir as ações de remediação
- Resolver falsos positivos ou falsos negativos
- Conter dispositivos a partir da rede
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.