Configurar recursos avançados do ambiente
A área Recursos Avançados na área Configurações Gerais fornece muitos interruptores de ligar/desligar para recursos dentro do produto. Alguns desses recursos você aprenderá em módulos posteriores.
Dependendo dos produtos de segurança da Microsoft que você usa, alguns recursos avançados podem estar disponíveis para você integrar o Defender for Endpoint.
No painel de navegação, selecione Configurações > Endpoints > Recursos avançados.
Selecione o recurso avançado que deseja configurar e alterne a configuração entre Ativado e Desativado.
Selecione Salvar preferências.
Use os seguintes recursos avançados para se proteger melhor contra arquivos potencialmente mal-intencionados e obter uma melhor visão durante as investigações de segurança.
Investigação automatizada
Ative esse recurso para aproveitar os recursos automatizados de investigação e correção do serviço. Para obter mais informações, consulte Investigação automatizada.
Resposta ao vivo
Nota
A resposta ao vivo requer que a investigação automatizada seja ativada antes que você possa ativá-la na seção de configurações avançadas do portal.
Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo nos dispositivos.
Resposta ao vivo para servidores
Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta ao vivo nos servidores.
Execução de script não assinado de resposta ao vivo
Habilitar esse recurso permite executar scripts não assinados em uma sessão de resposta ao vivo.
Remediar sempre a PUA
As aplicações potencialmente indesejadas (API) são uma categoria de software que pode fazer com que a sua máquina seja executada lentamente, exiba anúncios inesperados ou, na pior das hipóteses, instale outro software, que pode ser inesperado ou indesejado.
Ative esse recurso para que as aplicações potencialmente indesejadas (API) sejam corrigidas em todos os dispositivos em seu locatário, mesmo que a proteção PUA não esteja configurada nos dispositivos. Esta ativação do recurso ajuda a proteger os utilizadores contra a instalação inadvertida de aplicações indesejadas no seu dispositivo. Quando desativada, a correção depende da configuração do dispositivo.
Restringir a correlação a grupos de dispositivos com escopo
Essa configuração pode ser usada para cenários em que as operações SOC locais gostariam de limitar as correlações de alerta apenas aos grupos de dispositivos que eles podem acessar. Ao habilitar essa configuração, um incidente composto por alertas de grupos entre dispositivos não será mais considerado um único incidente. O SOC local pode então tomar medidas sobre o incidente porque tem acesso a um dos grupos de dispositivos envolvidos. No entanto, o SOC global vê vários incidentes diferentes por grupo de dispositivos em vez de um incidente. Não recomendamos ativar essa configuração, a menos que isso supere os benefícios da correlação de incidentes em toda a organização.
Nota
A alteração dessa configuração afeta apenas as correlações de alerta futuras.
Ativar EDR no modo de bloco
A deteção e resposta de ponto final (EDR) no modo de bloco fornece proteção contra artefatos mal-intencionados, mesmo quando o Microsoft Defender Antivírus está sendo executado no modo passivo. Quando ativado, o EDR no modo de bloco bloqueia artefatos ou comportamentos mal-intencionados que são detetados em um dispositivo. O EDR no modo de bloco funciona nos bastidores para remediar artefatos maliciosos que são detetados após a violação.
Alertas corrigidos de resolução automática
Para locatários criados no ou após o Windows 10, versão 1809, o recurso automatizado de investigação e correção é configurado por padrão para resolver alertas em que o status do resultado da análise automatizada é "Nenhuma ameaça encontrada" ou "Remediado". Se não quiser que os alertas sejam resolvidos automaticamente, terá de desativar manualmente a funcionalidade.
Gorjeta
Para locatários criados antes dessa versão, você precisará ativar manualmente esse recurso na página Recursos avançados.
Nota
O resultado da ação de resolução automática pode influenciar o cálculo do nível de risco do dispositivo, que se baseia nos alertas ativos encontrados em um dispositivo. Se um analista de operações de segurança definir manualmente o status de um alerta como "Em andamento" ou "Resolvido", o recurso de resolução automática não o substituirá.
Permitir ou bloquear ficheiro
O bloqueio só está disponível se a sua organização cumprir estes requisitos:
- Usa o Microsoft Defender Antivirus como a solução antimalware ativa
- O recurso de proteção baseado em nuvem está ativado
Esta funcionalidade permite-lhe bloquear ficheiros potencialmente maliciosos na sua rede. Bloquear um arquivo impede que ele seja lido, gravado ou executado em dispositivos em sua organização.
Depois de ativar esse recurso, você pode bloquear arquivos através da guia Adicionar indicador na página de perfil de um arquivo.
Indicadores de rede personalizados
Ativar esse recurso permite criar indicadores para endereços IP, domínios ou URLs, que determinam se eles serão permitidos ou bloqueados com base na sua lista de indicadores personalizada.
Para usar esse recurso, os dispositivos devem estar executando o Windows 10 versão 1709 ou posterior ou o Windows 11. Eles também devem ter proteção de rede no modo de bloco e versão 4.18.1906.3 ou posterior da plataforma antimalware, consulte KB 4052623.
Nota
A proteção de rede usa serviços de reputação que processam solicitações em locais que podem estar fora do local selecionado para seus dados do Defender for Endpoint.
Proteção contra adulterações
Durante alguns tipos de ataques cibernéticos, agentes mal-intencionados tentam desativar recursos de segurança, como proteção antivírus, em suas máquinas. Os agentes mal-intencionados gostam de desativar seus recursos de segurança para obter acesso mais fácil aos seus dados, instalar malware ou explorar seus dados, identidade e dispositivos.
A proteção contra violação bloqueia essencialmente o Microsoft Defender Antivírus e impede que as suas definições de segurança sejam alteradas através de aplicações e métodos.
Esta funcionalidade estará disponível se a sua organização utilizar o Microsoft Defender Antivírus e a proteção baseada na nuvem estiver ativada.
Deixe a proteção contra violação ativada para evitar alterações indesejadas na sua solução de segurança e nas suas funcionalidades essenciais.
Mostrar detalhes do utilizador
Ative esse recurso para que você possa ver os detalhes do usuário armazenados no Microsoft Entra ID. Os detalhes incluem a imagem, o nome, o título e as informações do departamento de um usuário ao investigar entidades da conta do usuário. Você pode encontrar informações da conta de usuário nos seguintes modos de exibição:
- Painel de operações de segurança
- Fila de alertas
- Página de detalhes do dispositivo
Integração com o Skype for Business
Habilitar a integração do Skype for Business oferece a capacidade de se comunicar com usuários usando o Skype for Business, email ou telefone. Essa ativação pode ser útil quando você precisa se comunicar com o usuário e mitigar riscos.
Nota
Quando um dispositivo está sendo isolado da rede, há um pop-up onde você pode optar por habilitar as comunicações do Outlook e do Skype que permite comunicações com o usuário enquanto ele está desconectado da rede. Essa configuração se aplica à comunicação do Skype e do Outlook quando os dispositivos estão no modo de isolamento.
Integração com o Microsoft Defender for Identity
A integração com o Microsoft Defender for Identity permite que você gire diretamente para outro produto de segurança Microsoft Identity. O Microsoft Defender for Identity aumenta uma investigação com mais informações sobre uma conta suspeita de comprometimento e recursos relacionados. Ao habilitar esse recurso, você enriquecerá o recurso de investigação baseado em dispositivo girando pela rede do ponto de vista da identidade.
Nota
Você precisará ter a licença apropriada para habilitar esse recurso.
Conexão de Inteligência de Ameaças do Office 365
Esta funcionalidade só está disponível se tiver um Office 365 E5 ativo ou o suplemento Threat Intelligence.
Ao ativar esse recurso, você poderá incorporar dados do Microsoft Defender para Office 365 no Microsoft Defender XDR para conduzir uma investigação de segurança abrangente em caixas de correio do Office 365 e dispositivos Windows.
Nota
Você precisará ter a licença apropriada para habilitar esse recurso.
Para receber a integração contextual de dispositivos no Office 365 Threat Intelligence, você precisará habilitar as configurações do Defender for Endpoint no painel Segurança e Conformidade.
Especialistas em ameaças da Microsoft - Notificações de ataques direcionados
Você só pode usar o recurso de especialistas sob demanda se tiver solicitado a visualização e seu aplicativo tiver sido aprovado. Você pode receber notificações de ataques direcionados dos Especialistas em Ameaças da Microsoft por meio do painel de alertas do seu portal e por e-mail, se você configurá-lo.
Microsoft Defender for Cloud Apps
A habilitação dessa configuração encaminha os sinais do Defender for Endpoint para o Microsoft Defender for Cloud Apps para fornecer uma visibilidade mais profunda do uso de aplicativos na nuvem. Os dados encaminhados são armazenados e processados no mesmo local que os dados do Defender for Cloud Apps.
Habilite a integração do Microsoft Defender for Endpoint no portal Microsoft Defender for Identity
Para receber integração de dispositivo contextual no Microsoft Defender for Identity, você também precisará habilitar o recurso no portal Microsoft Defender for Identity.
Filtragem de conteúdo da Web
Bloqueie o acesso a sites que contenham conteúdo indesejado e rastreie a atividade na Web em todos os domínios. Para especificar as categorias de conteúdo da Web que você deseja bloquear, crie uma política de filtragem de conteúdo da Web. Certifique-se de ter proteção de rede no modo de bloco ao implantar a linha de base de segurança do Microsoft Defender for Endpoint.
Compartilhar alertas de ponto de extremidade com o portal de conformidade do Microsoft Purview
Encaminha alertas de segurança de endpoint e seu status de triagem para o portal de conformidade Microsoft Purview, permitindo que você aprimore as políticas de gerenciamento de riscos internos com alertas e corrija riscos internos antes que eles causem danos. Os dados encaminhados são processados e armazenados no mesmo local que seus dados do Office 365.
Depois de configurar os indicadores de violação da política de segurança nas configurações de gerenciamento de risco interno, os alertas do Defender for Endpoint serão compartilhados com o gerenciamento de risco interno para usuários aplicáveis.
Conexão com o Microsoft Intune
O Defender for Endpoint pode ser integrado ao Microsoft Intune para habilitar o acesso condicional baseado em risco do dispositivo. Ao ativar esse recurso, você poderá compartilhar informações de dispositivo do Defender for Endpoint com o Intune, aprimorando a aplicação de políticas.
Importante
Você precisará habilitar a integração no Intune e no Defender for Endpoint para usar esse recurso.
Este recurso só está disponível se você tiver os seguintes pré-requisitos:
Um locatário licenciado para Enterprise Mobility + Security E3 e Windows E5 (ou Microsoft 365 Enterprise E5)
Um ambiente ativo do Microsoft Intune, com dispositivos Windows gerenciados pelo Intune, o Microsoft Entra ingressado.
Política de Acesso Condicional
Quando você habilita a integração do Intune, o Intune cria automaticamente uma política clássica de Acesso Condicional (CA). Esta política de AC clássica é um pré-requisito para configurar relatórios de estado para o Intune. Ele não deve ser excluído.
Nota
A política de autoridade de certificação clássica criada pelo Intune é distinta das políticas modernas de Acesso Condicional, que são usadas para configurar pontos de extremidade.
Descoberta de dispositivos
Ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras ou alterações de processo complicadas. Usando dispositivos integrados, você pode encontrar dispositivos não gerenciados em sua rede e avaliar vulnerabilidades e riscos.
Nota
Você sempre pode aplicar filtros para excluir dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração em consultas de API para filtrar dispositivos não gerenciados.
Funcionalidades de pré-visualização
Saiba mais sobre os novos recursos na versão prévia do Defender for Endpoint. Experimente as próximas funcionalidades ativando a experiência de pré-visualização.
Você terá acesso aos próximos recursos, sobre os quais poderá fornecer comentários para ajudar a melhorar a experiência geral antes que os recursos estejam disponíveis ao público.
Baixar arquivos em quarentena
Faça backup de arquivos em quarentena em um local seguro e compatível para que possam ser baixados diretamente da quarentena. O botão Transferir ficheiro estará sempre disponível na página do ficheiro. Essa configuração está ativada por padrão.