Níveis de automação em recursos automatizados de investigação e correçãoAutomation levels in automated investigation and remediation capabilities

Aplica-se a:Applies to:

Os recursos automatizados de investigação e correção (AIR) no Microsoft Defender para Endpoint podem ser configurados para um dos vários níveis de automação.Automated investigation and remediation (AIR) capabilities in Microsoft Defender for Endpoint can be configured to one of several levels of automation. Seu nível de automação afeta se as ações de correção após as investigações air são realizadas automaticamente ou somente após aprovação.Your automation level affects whether remediation actions following AIR investigations are taken automatically or only upon approval.

  • A automação completa (recomendada) significa que as ações de correção são tomadas automaticamente em artefatos determinados como mal-intencionados.Full automation (recommended) means remediation actions are taken automatically on artifacts determined to be malicious.
  • A semi automação significa que algumas ações de correção são realizadas automaticamente, mas outras ações de correção aguardam aprovação antes de serem tomadas.Semi-automation means some remediation actions are taken automatically, but other remediation actions await approval before being taken. (Consulte a tabela em Níveis de automação.)(See the table in Levels of automation.)
  • Todas as ações de correção, pendentes ou concluídas, são controladas no Centro de Ações ( https://securitycenter.windows.com ).All remediation actions, whether pending or completed, are tracked in the Action Center (https://securitycenter.windows.com).

Dica

Para melhores resultados, recomendamos o uso de automação completa quando você configura AIR.For best results, we recommend using full automation when you configure AIR. Os dados coletados e analisados no último ano mostram que os clientes que estão usando a automação completa tiveram 40% mais amostras de malware de alta confiança removidas do que os clientes que estão usando níveis inferiores de automação.Data collected and analyzed over the past year shows that customers who are using full automation had 40% more high-confidence malware samples removed than customers who are using lower levels of automation. A automação completa pode ajudar a liberar seus recursos de operações de segurança para se concentrar mais em suas iniciativas estratégicas.Full automation can help free up your security operations resources to focus more on your strategic initiatives.

Níveis de automaçãoLevels of automation

A tabela a seguir descreve cada nível de automação e como ela funciona.The following table describes each level of automation and how it works.

Nível de automaçãoAutomation level DescriçãoDescription
Completo - correção de ameaças automaticamenteFull - remediate threats automatically
(também conhecido como automação completa)(also referred to as full automation)
Com a automação completa, as ações de correção são executadas automaticamente.With full automation, remediation actions are performed automatically. Todas as ações de correção realizadas podem ser exibidas na Central de Ações na guia Histórico. Se necessário, uma ação de correção pode ser desfeita.All remediation actions that are taken can be viewed in the Action Center on the History tab. If necessary, a remediation action can be undone.

A automação* completa é recomendada e selecionada por padrão para locatários criados em ou após 16 de agosto de 2020 com o Microsoft Defender para Ponto de Extremidade, sem grupos de dispositivos definidos ainda.*Full automation is recommended* and is selected by default for tenants that were created on or after August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined yet.*
Semi - exigir aprovação para qualquer correçãoSemi - require approval for any remediation
(também conhecido como semi-automação)(also referred to as semi-automation)
Com esse nível de semi automação, a aprovação é necessária para qualquer ação de correção.With this level of semi-automation, approval is required for any remediation action. Essas ações pendentes podem ser exibidas e aprovadas na Central deAções , na guia Pendente.Such pending actions can be viewed and approved in the Action Center, on the Pending tab.

Esse nível de semi automação é selecionado por padrão para locatários criados antes de 16 de agosto de 2020 com o Microsoft Defender para Ponto de Extremidade, sem grupos de dispositivos definidos.This level of semi-automation is selected by default for tenants that were created before August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined.
Semi - exigir aprovação para correção de pastas principaisSemi - require approval for core folders remediation
(também um tipo de semi-automação)(also a type of semi-automation)
Com esse nível de semi automação, a aprovação é necessária para todas as ações de correção necessárias em arquivos ou executáveis que estão em pastas principais.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are in core folders. As pastas principais incluem diretórios do sistema operacional, como o Windows ( \windows\* ).Core folders include operating system directories, such as the Windows (\windows\*).

As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão em outras pastas (não essenciais).Remediation actions can be taken automatically on files or executables that are in other (non-core) folders.

Ações pendentes para arquivos ou executáveis em pastas principais podem ser exibidas e aprovadas no Centro de Ações ,na guia Pendente.Pending actions for files or executables in core folders can be viewed and approved in the Action Center, on the Pending tab.

As ações realizadas em arquivos ou executáveis em outras pastas podem ser exibidas na Central de Ações , na guia Histórico.Actions that were taken on files or executables in other folders can be viewed in the Action Center, on the History tab.
Semi - exigir aprovação para correção de pastas não temporáriasSemi - require approval for non-temp folders remediation
(também um tipo de semi-automação)(also a type of semi-automation)
Com esse nível de semi automação, a aprovação é necessária para todas as ações de correção necessárias em arquivos ou executáveis que não estão em pastas temporárias.With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are not in temporary folders.

Pastas temporárias podem incluir os seguintes exemplos:Temporary folders can include the following examples:
- \users\*\appdata\local\temp\*
- \documents and settings\*\local settings\temp\*
- \documents and settings\*\local settings\temporary\*
- \windows\temp\*
- \users\*\downloads\*
- \program files\
- \program files (x86)\*
- \documents and settings\*\users\*

As ações de correção podem ser executadas automaticamente em arquivos ou executáveis que estão em pastas temporárias.Remediation actions can be taken automatically on files or executables that are in temporary folders.

Ações pendentes para arquivos ou executáveis que não estão em pastas temporárias podem ser exibidas e aprovadas na Central de Ações ,na guia Pendente.Pending actions for files or executables that are not in temporary folders can be viewed and approved in the Action Center, on the Pending tab.

As ações realizadas em arquivos ou executáveis em pastas temporárias podem ser exibidas e aprovadas na Central de Ações ,na guia Histórico.Actions that were taken on files or executables in temporary folders can be viewed and approved in the Action Center, on the History tab.
Nenhuma resposta automatizadaNo automated response
(também conhecido como sem automação)(also referred to as no automation)
Sem automação, a investigação automatizada não é executado nos dispositivos da sua organização.With no automation, automated investigation does not run on your organization's devices. Como resultado, nenhuma ação de correção é tomada ou pendente como resultado de uma investigação automatizada.As a result, no remediation actions are taken or pending as a result of automated investigation. No entanto, outros recursos de proteção contra ameaças, como a proteção contra aplicativos potencialmente indesejados, podem estar em vigor, dependendo de como seus recursos de proteção antivírus e de última geração estão configurados.However, other threat protection features, such as protection from potentially unwanted applications, can be in effect, depending on how your antivirus and next-generation protection features are configured.

*Não é recomendável usar a opção sem automação, pois reduz a postura de segurança dos dispositivos da sua organização.*Using the no automation option is not recommended, because it reduces the security posture of your organization's devices. Considere configurar seu nível de automação para automação completa (ou pelo menos semi-automação)*.Consider setting up your automation level to full automation (or at least semi-automation)*.

Pontos importantes sobre níveis de automaçãoImportant points about automation levels

  • A automação completa se mostrou confiável, eficiente e segura e é recomendada para todos os clientes.Full automation has proven to be reliable, efficient, and safe, and is recommended for all customers. A automação completa libera seus recursos críticos de segurança para que eles possam se concentrar mais em suas iniciativas estratégicas.Full automation frees up your critical security resources so they can focus more on your strategic initiatives.

  • Os novos locatários (que incluem locatários criados em ou após 16 de agosto de 2020) com o Microsoft Defender para Ponto de Extremidade são definidos como automação completa por padrão.New tenants (which include tenants that were created on or after August 16, 2020) with Microsoft Defender for Endpoint are set to full automation by default.

  • Se sua equipe de segurança definiu grupos de dispositivos com um nível de automação, essas configurações não serão alteradas pelas novas configurações padrão que estão sendo implantadas.If your security team has defined device groups with a level of automation, those settings are not changed by the new default settings that are rolling out.

  • Você pode manter suas configurações de automação padrão ou alterá-las de acordo com suas necessidades organizacionais.You can keep your default automation settings, or change them according to your organizational needs. Para alterar suas configurações, de definir seu nível de automação.To change your settings, set your level of automation.

Próximas etapasNext steps