Monitorizar e manter Microsoft 365 Empresas Premium e Defender para Empresas
Depois de configurar o Microsoft 365 Empresas Premium ou a versão autónoma do Microsoft Defender para Empresas, o próximo passo é preparar um plano para manutenção e operações. É importante manter os seus sistemas, dispositivos, contas de utilizador e políticas de segurança atualizados para ajudar a proteger contra ciberataques. Pode utilizar este artigo como guia para preparar o seu plano.
À medida que prepara o seu plano, pode organizar as várias tarefas em duas categorias principais, conforme listado na tabela seguinte:
Tarefas de segurança
Normalmente, as tarefas de segurança são executadas por administradores de segurança e operadores de segurança.
Tarefas de segurança diárias
| Tarefa | Descrição |
|---|---|
| Verificar o dashboard de gestão de vulnerabilidades de ameaças | Obtenha um instantâneo da vulnerabilidade de ameaças ao observar o dashboard de gestão de vulnerabilidades, que reflete a vulnerabilidade da sua organização às ameaças de cibersegurança. Uma classificação de exposição elevada significa que os seus dispositivos são mais vulneráveis à exploração. 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Dashboard de gestão > de vulnerabilidades. 2. Veja a classificação de exposição da sua Organização. Se estiver no intervalo aceitável ou "Alto", pode seguir em frente. Se não estiver, selecione Melhorar classificação para ver mais detalhes e recomendações de segurança para melhorar esta classificação. Ter conhecimento da sua pontuação de exposição ajuda-o a: - Compreender e identificar rapidamente conclusões de alto nível sobre o estado de segurança na sua organização - Detetar e responder a áreas que requerem investigação ou ação para melhorar o estado atual - Comunicar com os pares e a gestão sobre o impacto dos esforços de segurança |
| Rever ações pendentes no Centro de ação | À medida que as ameaças são detetadas, as ações de remediação entram em ação. Dependendo da ameaça específica e da forma como as suas definições de segurança são configuradas, as ações de remediação podem ser executadas automaticamente ou apenas após aprovação, razão pela qual estas devem ser monitorizadas regularmente. As ações de remediação são controladas no Centro de ação. 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Centro de ação. 2. Selecione o separador Pendente para ver e aprovar (ou rejeitar) quaisquer ações pendentes. Estas ações podem surgir de proteção antivírus ou antimalware, investigações automatizadas, atividades de resposta manual ou sessões de resposta em direto. 3. Selecione o separador Histórico para ver uma lista de ações concluídas. |
| Rever dispositivos com deteções de ameaças | Quando são detetadas ameaças em dispositivos, a sua equipa de segurança tem de saber para que quaisquer ações necessárias, como isolar um dispositivo, possam ser tomadas rapidamente. 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Relatórios Relatórios Relatórios > de Segurança Geral>. 2. Desloque-se para baixo até à linha Dispositivos vulneráveis . Se foram detetadas ameaças em dispositivos, pode ver essas informações nesta linha. |
| Saiba mais sobre novos incidentes ou alertas | À medida que as ameaças são detetadas e os alertas são acionados, são criados incidentes. A equipa de segurança da sua empresa pode ver e gerir incidentes no portal do Microsoft Defender. 1. No portal Microsoft Defender (https://security.microsoft.com), no menu de navegação, selecione Incidentes. Os incidentes são apresentados na página com alertas associados. 2. Selecione um alerta para abrir o painel de lista de opções, onde pode saber mais sobre o alerta. 3. Na lista de opções, pode ver o título do alerta, ver uma lista de recursos (como pontos finais ou contas de utilizador) que foram afetados, realizar ações disponíveis e utilizar ligações para ver mais informações e até abrir a página de detalhes do alerta selecionado. |
| Executar uma análise ou investigação automatizada | A sua equipa de segurança pode iniciar uma análise ou uma investigação automatizada num dispositivo com um nível de risco elevado ou ameaças detetadas. Consoante os resultados da análise ou investigação automatizada, as ações de remediação podem ocorrer automaticamente ou após a aprovação. 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Dispositivos> ativos. 2. Selecione um dispositivo para abrir o painel de lista de opções e reveja as informações apresentadas. - Selecione as reticências (...) para abrir o menu de ações. - Selecione uma ação, como Executar análise antivírus ou Iniciar Investigação Automatizada. |
Tarefas de segurança semanais
| Tarefa | Descrição |
|---|---|
| Monitorizar e melhorar a Classificação de Segurança da Microsoft | A Classificação de Segurança da Microsoft é uma medida da postura de segurança da sua organização. Números mais elevados indicam que são necessárias menos ações de melhoramento. Ao utilizar a Classificação de Segurança, pode: - Comunicar o estado atual da postura de segurança da sua organização. - Melhore a postura de segurança ao fornecer deteção, visibilidade, orientação e controlo. - Compare com referências e estabeleça indicadores chave de desempenho (KPIs). Para verificar a sua classificação, siga estes passos: 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Classificação de segurança. 2. Reveja e tome decisões sobre as remediações e ações para melhorar a classificação de segurança geral da Microsoft. |
| Melhorar a Classificação de Segurança para dispositivos | Melhore a configuração de segurança ao remediar problemas com a lista de recomendações de segurança. À medida que o faz, a Classificação de Segurança da Microsoft para Dispositivos melhora e a sua organização torna-se mais resiliente contra ameaças e vulnerabilidades de cibersegurança no futuro. Vale sempre a pena o tempo necessário para rever e melhorar a sua pontuação. Para verificar a classificação de segurança, siga estes passos: 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Classificação de segurança. 2. No cartão Classificação de Segurança da Microsoft para Dispositivos no dashboard Gestão de vulnerabilidades do Defender, selecione uma das categorias. É apresentada uma lista de recomendações relacionadas com essa categoria, juntamente com recomendações. 3. Selecione um item na lista para apresentar os detalhes relacionados com a recomendação. 4. Selecione Opções de remediação. 5. Leia a descrição para compreender o contexto do problema e o que fazer a seguir. Escolha uma data para conclusão, adicione notas e selecione Exportar todos os dados de atividade de remediação para CSV para que possa anexá-la a um e-mail para seguimento. Uma mensagem de confirmação indica que a tarefa de remediação foi criada. 6. Envie um e-mail de seguimento para o administrador de TI e aguarde o tempo que atribuiu para que a remediação seja propagada no sistema. 7. Regresse ao cartão Classificação de Segurança da Microsoft para Dispositivos no dashboard. O número de recomendações de controlos de segurança diminuiu em resultado das suas ações. 8. Selecione Controlos de segurança para voltar à página Recomendações de segurança. O item que abordou já não está listado, o que faz com que a classificação de segurança da Microsoft melhore. |
Tarefas de segurança mensais
| Tarefa | Descrição |
|---|---|
| Executar relatórios | Estão disponíveis vários relatórios no portal do Microsoft Defender (https://security.microsoft.com). 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, selecione Relatórios. 2. Selecione um relatório a rever. Cada relatório apresenta muitas categorias pertinentes para esse relatório. 3. Selecione Ver detalhes para ver informações mais aprofundadas para cada categoria. 4. Selecione o título de uma ameaça específica para ver detalhes específicos da mesma. |
Tarefas de segurança a executar conforme necessário
| Tarefa | Descrição |
|---|---|
| Gerir falsos positivos/negativos | Um falso positivo é uma entidade, como um ficheiro ou um processo que foi detetado e identificado como malicioso, embora a entidade não seja realmente uma ameaça. Um falso negativo é uma entidade que não foi detetada como uma ameaça, apesar de ser realmente maliciosa. Podem ocorrer falsos positivos/negativos com qualquer solução de proteção contra ameaças, incluindo Microsoft Defender para Office 365 e Microsoft Defender para Empresas, ambos incluídos no Microsoft 365 Empresas Premium. Felizmente, podem ser tomadas medidas para resolver e reduzir este tipo de problemas. Para obter falsos positivos/negativos em dispositivos, consulte Resolver falsos positivos/negativos no Microsoft Defender para Endpoint. Para obter falsos positivos/negativos no e-mail, consulte os seguintes artigos: - Como lidar com e-mails maliciosos que são entregues aos destinatários (Falsos Negativos), com Microsoft Defender para Office 365 - Como lidar com e-mails legítimos bloqueados (Falso Positivo), com Microsoft Defender para Office 365 |
| Reforçar a sua postura de segurança | Defender para Empresas inclui um dashboard de gestão de vulnerabilidades que lhe fornece uma classificação de exposição e permite-lhe ver informações sobre dispositivos expostos e ver recomendações de segurança relevantes. Pode utilizar o dashboard Gestão de vulnerabilidades do Defender para reduzir a exposição e melhorar a postura de segurança da sua organização. Veja os seguintes artigos: - Utilizar o dashboard de gestão de vulnerabilidades no Microsoft Defender para Empresas - Informações do dashboard |
| Ajustar políticas de segurança |
Os relatórios estão disponíveis para que possa ver informações sobre ameaças detetadas, estado do dispositivo e muito mais. Por vezes, é necessário ajustar as políticas de segurança. Por exemplo, pode aplicar proteção rigorosa a algumas contas de utilizador ou dispositivos e proteção padrão a outras. Veja os seguintes artigos: - Para proteção de dispositivos: ver ou editar políticas no Microsoft Defender para Empresas - Para proteção de e-mail: Definições recomendadas para a EOP e segurança Microsoft Defender para Office 365 |
| Analisar submissões de administradores | Por vezes, é necessário submeter entidades, como mensagens de e-mail, URLs ou anexos à Microsoft, para uma análise mais aprofundada. Comunicar itens pode ajudar a reduzir a ocorrência de falsos positivos/negativos e melhorar a precisão da deteção de ameaças. Veja os seguintes artigos: - Utilize a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft - Administração rever as mensagens comunicadas pelo utilizador |
| Proteger contas de utilizador prioritárias | Nem todas as contas de utilizador têm acesso às mesmas informações da empresa. Algumas contas têm acesso a informações confidenciais, como dados financeiros, informações de desenvolvimento de produtos, acesso de parceiros a sistemas de compilação críticos e muito mais. Se forem comprometidas, as contas que têm acesso a informações altamente confidenciais representam uma ameaça séria. Chamamos a estes tipos de contas contas prioritárias. As contas prioritárias incluem (mas não estão limitadas a) CEO, CISOs, CFOs, contas de administrador de infraestrutura, contas de sistema de compilação e muito mais. Veja os seguintes artigos: - Proteger as suas contas de administrador - Recomendações de segurança para contas prioritárias no Microsoft 365 |
| Proteger dispositivos de alto risco | A avaliação de risco geral de um dispositivo baseia-se numa combinação de fatores, como os tipos e a gravidade dos alertas ativos no dispositivo. À medida que a sua equipa de segurança resolve alertas ativos, aprova atividades de remediação e suprime alertas subsequentes, o nível de risco diminui. Veja Gerir dispositivos no Microsoft Defender para Empresas. |
| Integrar ou desligar dispositivos | À medida que os dispositivos são substituídos ou descontinuados, são comprados novos dispositivos ou as suas necessidades empresariais mudam, pode integrar ou desligar dispositivos de Defender para Empresas. Veja os seguintes artigos: - Integrar dispositivos no Microsoft Defender para Empresas - Desligar um dispositivo do Microsoft Defender para Empresas |
| Remediar um item | Microsoft 365 Empresas Premium inclui várias ações de remediação. Algumas ações são executadas automaticamente e outras aguardam a aprovação da sua equipa de segurança. 1. No portal Microsoft Defender (https://security.microsoft.com), no painel de navegação, aceda a Dispositivos> ativos. 2. Selecione um dispositivo, como um dispositivo com um nível de risco elevado ou nível de exposição. É aberto um painel de lista de opções e apresenta mais informações sobre alertas e incidentes gerados para esse item. 3. Na lista de opções, veja as informações apresentadas. Selecione as reticências (...) para abrir um menu que lista as ações disponíveis. 4. Selecione uma ação disponível. Por exemplo, pode escolher Executar análise antivírus, o que fará com que Microsoft Defender Antivírus inicie uma análise rápida no dispositivo. Em alternativa, pode selecionar Iniciar Investigação Automatizada para acionar uma investigação automatizada no dispositivo. |
Ações de remediação para dispositivos
A tabela seguinte resume as ações de remediação que estão disponíveis para dispositivos em Microsoft 365 Empresas Premium e Defender para Empresas:
| Source (Origem) | Ações |
|---|---|
| Investigações automatizadas | Colocar um ficheiro em quarentena Remover uma chave de registo Eliminar um processo Parar um serviço Desativar um controlador Remover uma tarefa agendada |
| Ações de resposta manual | Executar análise de antivírus Isolar dispositivo Adicionar um indicador para bloquear ou permitir um ficheiro |
| Resposta em direto | Recolher dados forenses Analisar um ficheiro Executar um script Enviar uma entidade suspeita para a Microsoft para análise Remediar um ficheiro Proativamente investigar ameaças |
Tarefas de administração gerais
Manter o seu ambiente inclui gerir contas de utilizador, gerir dispositivos e manter tudo atualizado e funcionar corretamente. Administração tarefas são normalmente realizadas por administradores globais e administradores inquilinos. Saiba mais sobre as funções de administrador.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Se não estiver familiarizado com o Microsoft 365, dedique algum tempo a obter uma Descrição Geral do centro de administração do Microsoft 365.
Administração centro de tarefas
| Tarefa | Recursos para saber mais |
|---|---|
| Começar a utilizar o centro de administração do Microsoft 365 | Descrição geral do centro de administração do Microsoft 365 |
| Saiba mais sobre as novas funcionalidades no centro de administração do Microsoft 365 | Novidades no centro de administração do Microsoft 365 |
| Saiba mais sobre as novas atualizações e funcionalidades de produtos para que possa ajudar a preparar os utilizadores | Mantenha-se a par das alterações de produtos e funcionalidades do Microsoft 365 |
| Ver relatórios de utilização para ver como as pessoas estão a utilizar o Microsoft 365 | Relatórios do Microsoft 365 no centro de administração |
| Abrir um pedido de suporte técnico | Obter suporte para o Microsoft 365 para empresas |
Utilizadores, grupos e palavras-passe
E-mail e calendários
| Tarefa | Recursos para saber mais |
|---|---|
| Migrar e-mails e contactos do Gmail ou de outro fornecedor de e-mail para o Microsoft 365 | Migrar e-mail e contactos para o Microsoft 365 |
| Adicionar uma assinatura de e-mail, exclusão de responsabilidade legal ou declaração de divulgação a mensagens de e-mail que entram ou saem | Criar assinaturas e exclusões de responsabilidade em toda a organização |
| Configurar, editar ou eliminar um grupo de segurança | Criar, editar ou eliminar um grupo de segurança no centro de administração do Microsoft 365 |
| Adicionar utilizadores a um grupo de distribuição | Adicionar um utilizador ou contacto a um grupo de distribuição do Microsoft 365 |
Configurar uma caixa de correio partilhada para que as pessoas possam monitorizar e enviar e-mails a partir de endereços de e-mail comuns, como info@contoso.com |
Criar uma caixa de correio partilhada |
Dispositivos
| Tarefa | Recursos para saber mais |
|---|---|
| Utilizar o Windows Autopilot para configurar e pré-configurar novos dispositivos ou para repor, reutilizar e recuperar dispositivos (aplica-se a Microsoft 365 Empresas Premium) |
Descrição geral do Windows Autopilot |
| Ver o estado atual de e gerir dispositivos | Gerir dispositivos no Microsoft Defender para Empresas |
| Carregar dispositivos para Defender para Empresas | Carregar dispositivos para Defender para Empresas |
| Exclusão de dispositivos de Defender para Empresas | Desligar um dispositivo do Defender para Empresas |
| Gerir dispositivos com Intune |
O que significa a gestão de dispositivos com Intune? Gerir os seus dispositivos e controlar as funcionalidades do dispositivo no Microsoft Intune |
Domínios
| Tarefa | Recursos para saber mais |
|---|---|
| Adicionar um domínio (como contoso.com) à sua subscrição do Microsoft 365 | Adicionar um domínio ao Microsoft 365 |
| Comprar um domínio | Comprar um nome de domínio |
| Remover um domínio | Remover um domínio |
Subscrições e faturação
| Tarefa | Recursos para saber mais |
|---|---|
| Ver a sua fatura | Ver a fatura da sua subscrição do Microsoft 365 para empresas |
| Gerir os seus métodos de pagamento | Gerir métodos de pagamento |
| Alterar a frequência dos pagamentos | Alterar a frequência de faturação da subscrição do Microsoft 365 |
| Alterar o endereço de faturação | Alterar os endereços de faturação do Microsoft 365 para empresas |