Investigar dispositivos na lista do Microsoft Defender for Endpoint DevicesInvestigate devices in the Microsoft Defender for Endpoint Devices list

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Investigue os detalhes de um alerta gerado em um dispositivo específico para identificar outros comportamentos ou eventos que possam estar relacionados ao alerta ou ao escopo potencial da violação.Investigate the details of an alert raised on a specific device to identify other behaviors or events that might be related to the alert or the potential scope of the breach.

Observação

Como parte do processo de investigação ou resposta, você pode coletar um pacote de investigação de um dispositivo.As part of the investigation or response process, you can collect an investigation package from a device. Veja como: Coletar o pacote de investigação de dispositivos.Here's how: Collect investigation package from devices.

Você pode clicar em dispositivos afetados sempre que os vir no portal para abrir um relatório detalhado sobre esse dispositivo.You can click on affected devices whenever you see them in the portal to open a detailed report about that device. Os dispositivos afetados são identificados nas seguintes áreas:Affected devices are identified in the following areas:

Ao investigar um dispositivo específico, você verá:When you investigate a specific device, you'll see:

  • Detalhes do dispositivoDevice details
  • Ações de respostaResponse actions
  • Guias (visão geral, alertas, linha do tempo, recomendações de segurança, inventário de software, vulnerabilidades descobertas, KBs ausentes)Tabs (overview, alerts, timeline, security recommendations, software inventory, discovered vulnerabilities, missing KBs)
  • Cartões (alertas ativos, usuários conectados, avaliação de segurança)Cards (active alerts, logged on users, security assessment)

Imagem do visualização do dispositivo

Observação

Devido a restrições de produto, o perfil do dispositivo não considera todas as evidências cibernéticas ao determinar o período de tempo 'Visto pela última vez' (como também visto na página do dispositivo).Due to product constrains, the device profile does not consider all cyber evidence when determining the 'Last Seen' timeframe (as seen on the device page as well). Por exemplo, o valor "Visto pela última vez" na página Dispositivo pode mostrar um quadro de tempo mais antigo, mesmo que alertas ou dados mais recentes estão disponíveis na linha do tempo do computador.For example, the 'Last seen' value in the Device page may show an older time frame even though more recent alerts or data is available in the machine's timeline.

Detalhes do dispositivoDevice details

A seção detalhes do dispositivo fornece informações como o domínio, o sistema operacional e o estado de saúde do dispositivo.The device details section provides information such as the domain, OS, and health state of the device. Se houver um pacote de investigação disponível no dispositivo, você verá um link que permite baixar o pacote.If there's an investigation package available on the device, you'll see a link that allows you to download the package.

Ações de respostaResponse actions

As ações de resposta são executados ao longo da parte superior de uma página de dispositivo específica e incluem:Response actions run along the top of a specific device page and include:

  • Gerenciar marcasManage tags
  • Isolar dispositivoIsolate device
  • Restringir a execução de aplicativoRestrict app execution
  • Executar verificação de antivírusRun antivirus scan
  • Coletar pacote de investigaçãoCollect investigation package
  • Iniciar sessão de resposta ao vivoInitiate Live Response Session
  • Iniciar investigação automatizadaInitiate automated investigation
  • Consultar um especialista em ameaçasConsult a threat expert
  • Central de açõesAction center

Você pode tomar ações de resposta no Centro de Ações, em uma página de dispositivo específica ou em uma página de arquivo específica.You can take response actions in the Action center, in a specific device page, or in a specific file page.

Para obter mais informações sobre como agir em um dispositivo, consulte Take response action on a device.For more information on how to take action on a device, see Take response action on a device.

Para obter mais informações, consulte Investigar entidades do usuário.For more information, see Investigate user entities.

GuiasTabs

As guias fornecem informações relevantes de prevenção de ameaças e segurança relacionadas ao dispositivo.The tabs provide relevant security and threat prevention information related to the device. Em cada guia, você pode personalizar as colunas mostradas selecionando Personalizar colunas da barra acima dos headers da coluna.In each tab, you can customize the columns that are shown by selecting Customize columns from the bar above the column headers.

Visão GeralOverview

A guia Visão geral exibe os cartões para alertas ativos, conectados aos usuários e avaliação de segurança.The Overview tab displays the cards for active alerts, logged on users, and security assessment.

Imagem da guia visão geral na página do dispositivo

AlertasAlerts

A guia Alertas fornece uma lista de alertas associados ao dispositivo.The Alerts tab provides a list of alerts that are associated with the device. Esta lista é uma versão filtrada da fila de Alertase mostra uma breve descrição do alerta, gravidade (alto, médio, baixo, informacional), status na fila (novo, em andamento, resolvido), classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria de alerta, quem está abordando o alerta e a última atividade.This list is a filtered version of the Alerts queue, and shows a short description of the alert, severity (high, medium, low, informational), status in the queue (new, in progress, resolved), classification (not set, false alert, true alert), investigation state, category of alert, who is addressing the alert, and last activity. Você também pode filtrar os alertas.You can also filter the alerts.

Imagem de alertas relacionados ao dispositivo

Quando o ícone de círculo à esquerda de um alerta é selecionado, um sub-menu é exibido.When the circle icon to the left of an alert is selected, a fly-out appears. Neste painel, você pode gerenciar o alerta e exibir mais detalhes, como número de incidentes e dispositivos relacionados.From this panel you can manage the alert and view more details such as incident number and related devices. Vários alertas podem ser selecionados por vez.Multiple alerts can be selected at a time.

Para ver uma exibição de página completa de um alerta, incluindo gráfico de incidentes e árvore de processo, selecione o título do alerta.To see a full page view of an alert including incident graph and process tree, select the title of the alert.

Linha do tempoTimeline

A guia Linha do Tempo fornece uma exibição cronológica dos eventos e alertas associados que foram observados no dispositivo.The Timeline tab provides a chronological view of the events and associated alerts that have been observed on the device. Isso pode ajudá-lo a correlacionar quaisquer eventos, arquivos e endereços IP em relação ao dispositivo.This can help you correlate any events, files, and IP addresses in relation to the device.

A linha do tempo também permite que você faça uma análise seletiva de eventos que ocorreram dentro de um determinado período de tempo.The timeline also enables you to selectively drill down into events that occurred within a given time period. Você pode exibir a sequência temporal de eventos que ocorreram em um dispositivo durante um período de tempo selecionado.You can view the temporal sequence of events that occurred on a device over a selected time period. Para controlar ainda mais sua exibição, você pode filtrar por grupos de eventos ou personalizar as colunas.To further control your view, you can filter by event groups or customize the columns.

Observação

Para que os eventos de firewall sejam exibidos, você precisará habilitar a política de auditoria, consulte Audit Filtering Platform connection.For firewall events to be displayed, you'll need to enable the audit policy, see Audit Filtering Platform connection. O firewall abrange os seguintes eventosFirewall covers the following events

  • 5025 - serviço de firewall interrompido5025 - firewall service stopped
  • 5031 - aplicativo impedido de aceitar conexões de entrada na rede5031 - application blocked from accepting incoming connections on the network
  • 5157 - conexão bloqueada5157 - blocked connection

Imagem da linha do tempo do dispositivo com eventos

Algumas das funcionalidades incluem:Some of the functionality includes:

  • Pesquisar eventos específicosSearch for specific events
    • Use a barra de pesquisa para procurar eventos de linha do tempo específicos.Use the search bar to look for specific timeline events.
  • Filtrar eventos de uma data específicaFilter events from a specific date
    • Selecione o ícone de calendário no canto superior esquerdo da tabela para exibir eventos no último dia, semana, 30 dias ou intervalo personalizado.Select the calendar icon in the upper left of the table to display events in the past day, week, 30 days, or custom range. Por padrão, a linha do tempo do dispositivo é definida para exibir os eventos dos últimos 30 dias.By default, the device timeline is set to display the events from the past 30 days.
    • Use a linha do tempo para pular para um momento específico no tempo realçando a seção.Use the timeline to jump to a specific moment in time by highlighting the section. As setas na linha do tempo apontam investigações automatizadasThe arrows on the timeline pinpoint automated investigations
  • Exportar eventos de linha do tempo detalhados do dispositivoExport detailed device timeline events
    • Exporte a linha do tempo do dispositivo para a data atual ou um intervalo de data especificado até sete dias.Export the device timeline for the current date or a specified date range up to seven days.

Mais detalhes sobre determinados eventos são fornecidos na seção Informações adicionais.More details about certain events are provided in the Additional information section. Esses detalhes variam dependendo do tipo de evento, por exemplo:These details vary depending on the type of event, for example:

  • Contido pelo Application Guard - o evento do navegador da Web foi restrito por um contêiner isoladoContained by Application Guard - the web browser event was restricted by an isolated container
  • Ameaça ativa detectada - a detecção de ameaça ocorreu enquanto a ameaça estava em execuçãoActive threat detected - the threat detection occurred while the threat was running
  • Correção malsucedida - uma tentativa de correção da ameaça detectada foi invocada, mas falhouRemediation unsuccessful - an attempt to remediate the detected threat was invoked but failed
  • Correção bem-sucedida - a ameaça detectada foi interrompida e limpaRemediation successful - the detected threat was stopped and cleaned
  • Aviso ignorado pelo usuário - o aviso Windows Defender SmartScreen foi ignorado e substituído por um usuárioWarning bypassed by user - the Windows Defender SmartScreen warning was dismissed and overridden by a user
  • Script suspeito detectado - um script potencialmente mal-intencionado foi encontrado em execuçãoSuspicious script detected - a potentially malicious script was found running
  • A categoria de alerta - se o evento levou à geração de um alerta, a categoria de alerta ("Movimento Lateral", por exemplo) é fornecidaThe alert category - if the event led to the generation of an alert, the alert category ("Lateral Movement", for example) is provided

Detalhes do eventoEvent details

Selecione um evento para exibir detalhes relevantes sobre esse evento.Select an event to view relevant details about that event. Um painel é exibido para mostrar informações gerais do evento.A panel displays to show general event information. Quando aplicável e os dados estão disponíveis, um gráfico mostrando entidades relacionadas e suas relações também são mostrados.When applicable and data is available, a graph showing related entities and their relationships are also shown.

Para inspecionar ainda mais o evento e os eventos relacionados, você pode executar rapidamente uma consulta de busca avançada selecionando Hunt para eventos relacionados.To further inspect the event and related events, you can quickly run an advanced hunting query by selecting Hunt for related events. A consulta retornará o evento selecionado e a lista de outros eventos que ocorreram ao mesmo tempo no mesmo ponto de extremidade.The query will return the selected event and the list of other events that occurred around the same time on the same endpoint.

Imagem do painel de detalhes do evento

Recomendações de segurançaSecurity recommendations

As recomendações de segurança são geradas do Microsoft Defender para o recurso de Gerenciamento de Vulnerabilidades & Ameaças do Ponto de Extremidade.Security recommendations are generated from Microsoft Defender for Endpoint's Threat & Vulnerability Management capability. Selecionar uma recomendação mostrará um painel onde você pode exibir detalhes relevantes, como a descrição da recomendação e os riscos potenciais associados à não decretação.Selecting a recommendation will show a panel where you can view relevant details such as description of the recommendation and the potential risks associated with not enacting it. Consulte Recomendação de segurança para obter detalhes.See Security recommendation for details.

Guia De recomendações de segurança

Inventário de softwareSoftware inventory

A guia Inventário de software permite que você veja o software no dispositivo, juntamente com quaisquer pontos fracos ou ameaças.The Software inventory tab lets you view software on the device, along with any weaknesses or threats. Selecionar o nome do software levará você para a página de detalhes do software onde você pode exibir recomendações de segurança, vulnerabilidades descobertas, dispositivos instalados e distribuição de versão.Selecting the name of the software will take you to the software details page where you can view security recommendations, discovered vulnerabilities, installed devices, and version distribution. Consulte Inventário de software para obter detalhesSee Software inventory for details

Imagem da guia inventário de software

Vulnerabilidades descobertasDiscovered vulnerabilities

A guia Vulnerabilidades Descobertas mostra o nome, a gravidade e as percepções de ameaça das vulnerabilidades descobertas no dispositivo.The Discovered vulnerabilities tab shows the name, severity, and threat insights of discovered vulnerabilities on the device. Selecionar vulnerabilidades específicas mostrará uma descrição e detalhes.Selecting specific vulnerabilities will show a description and details.

Imagem da guia vulnerabilidades descobertas

KBs ausentesMissing KBs

A guia KBs ausentes lista as atualizações de segurança ausentes para o dispositivo.The Missing KBs tab lists the missing security updates for the device.

Imagem da guia kbs ausente

CartõesCards

Alertas ativosActive alerts

O cartão proteção avançada contra ameaças do Azure exibirá uma visão geral de alto nível dos alertas relacionados ao dispositivo e ao nível de risco, se você tiver habilitado o recurso Microsoft Defender para Identidade e houver alertas ativos.The Azure Advanced Threat Protection card will display a high-level overview of alerts related to the device and their risk level, if you have enabled the Microsoft Defender for Identity feature, and there are any active alerts. Mais informações estão disponíveis na sonda "Alertas".More information is available in the "Alerts" drill down.

Imagem do cartão de alertas ativos

Observação

Você precisará habilitar a integração no Microsoft Defender for Identity e no Defender for Endpoint para usar esse recurso.You'll need to enable the integration on both Microsoft Defender for Identity and Defender for Endpoint to use this feature. No Defender para Ponto de Extremidade, você pode habilitar esse recurso em recursos avançados.In Defender for Endpoint, you can enable this feature in advanced features. Para obter mais informações sobre como habilitar recursos avançados, consulte Ativar recursos avançados.For more information on how to enable advanced features, see Turn on advanced features.

Usuários conectadosLogged on users

O cartão Usuários Conectados mostra quantos usuários entraram nos últimos 30 dias, juntamente com os usuários mais e menos frequentes.The Logged on users card shows how many users have logged on in the past 30 days, along with the most and least frequent users. Selecionar o link "Ver todos os usuários" abre o painel de detalhes, que exibe informações como tipo de usuário, tipo de logoff e quando o usuário foi visto pela primeira e última vez.Selecting the "See all users" link opens the details pane, which displays information such as user type, log on type, and when the user was first and last seen. Para obter mais informações, consulte Investigar entidades do usuário.For more information, see Investigate user entities.

Imagem do painel de detalhes do usuário

Observação

O valor de usuário "Mais frequente" é calculado somente com base em evidências de usuários que efetuaram logor interativamente.The 'Most frequent' user value is calculated only based on evidence of users who successfully logged on interactively. No entanto, o painel lateral "Todos os usuários" calcula todos os tipos de logons do usuário, portanto, espera-se que ele veja usuários mais frequentes no painel lateral, já que esses usuários podem não ser interativos.However, the "All users" side-pane calculates all sorts of user logons so it is expected to see more frequent users in the side-pane, given that those users may not be interactive.

Avaliações de segurançaSecurity assessments

O cartão de avaliações de segurança mostra o nível geral de exposição, recomendações de segurança, software instalado e vulnerabilidades descobertas.The Security assessments card shows the overall exposure level, security recommendations, installed software, and discovered vulnerabilities. O nível de exposição de um dispositivo é determinado pelo impacto acumulado de suas recomendações de segurança pendentes.A device's exposure level is determined by the cumulative impact of its pending security recommendations.

Imagem do cartão de avaliações de segurança