Revisar ações de correção após uma investigação automatizadaReview remediation actions following an automated investigation

Ações de correçãoRemediation actions

Quando uma investigação automatizada é executado, um veredito é gerado para cada prova investigada.When an automated investigation runs, a verdict is generated for each piece of evidence investigated. Os vereditos podem ser Mal-intencionados, Suspeitos ou Nenhuma ameaça encontrada.Verdicts can be Malicious, Suspicious, or No threats found.

DependendoDepending on

  • o tipo de ameaça,the type of threat,
  • o veredito resultante ethe resulting verdict, and
  • como os grupos de dispositivos da sua organização são configurados,how your organization's device groups are configured,

As ações de correção podem ocorrer automaticamente ou somente após a aprovação pela equipe de operações de segurança da sua organização.remediation actions can occur automatically or only upon approval by your organization’s security operations team.

Veja alguns exemplos:Here are a few examples:

  • Exemplo 1: Os grupos de dispositivos da Fabrikam são definidos como Completos - correção de ameaças automaticamente (a configuração recomendada).Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). Nesse caso, as ações de correção são tomadas automaticamente para artefatos considerados mal-intencionados após uma investigação automatizada (consulte Review completed actions).In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • Exemplo 2: Os dispositivos da Contoso estão incluídos em um grupo de dispositivos definido para Semi - exige aprovação para qualquer correção.Example 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. Nesse caso, a equipe de operações de segurança da Contoso deve revisar e aprovar todas as ações de correção após uma investigação automatizada (consulte Review pending actions).In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • Exemplo 3: Tailspin Toys tem seus grupos de dispositivos definidos como Nenhuma resposta automatizada (não recomendada).Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). Nesse caso, investigações automatizadas não ocorrem.In this case, automated investigations do not occur. Nenhuma ação de correção é realizada ou pendente e nenhuma ação é registrada no Centro de Ações para seus dispositivos (consulte Gerenciar grupos de dispositivos).No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

Seja realizada automaticamente ou após a aprovação, uma investigação automatizada pode resultar em uma ou mais ações de correção:Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • Colocar em quarentena um arquivoQuarantine a file
  • Remover uma chave do RegistroRemove a registry key
  • Kill a processKill a process
  • Parar um serviçoStop a service
  • Desabilitar um driverDisable a driver
  • Remover uma tarefa agendadaRemove a scheduled task

Revisar ações pendentesReview pending actions

  1. Vá para o Microsoft 365 de segurança ( https://security.microsoft.com ) e entre.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. No painel de navegação, escolha Central de ações.In the navigation pane, choose Action center.
  3. Revise os itens na guia Pendente.Review the items on the Pending tab.
  4. Selecione uma ação para abrir seu painel de flyout.Select an action to open its flyout pane.
  5. No painel de sobrevoos, revise as informações e, em seguida, dê uma das seguintes etapas:In the flyout pane, review the information, and then take one of the following steps:
    • Selecione Abrir página de investigação para exibir mais detalhes sobre a investigação.Select Open investigation page to view more details about the investigation.
    • Selecione Aprovar para iniciar uma ação pendente.Select Approve to initiate a pending action.
    • Selecione Rejeitar para impedir que uma ação pendente seja tomada.Select Reject to prevent a pending action from being taken.
    • Selecione Ir procurar para entrar em Busca Avançada.Select Go hunt to go into Advanced hunting.

Revisar ações concluídasReview completed actions

  1. Vá para o Microsoft 365 de segurança ( https://security.microsoft.com ) e entre.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. No painel de navegação, escolha Central de ações.In the navigation pane, choose Action center.
  3. Revise os itens na guia Histórico.Review the items on the History tab.
  4. Selecione um item para exibir mais detalhes sobre essa ação de correção.Select an item to view more details about that remediation action.

Desfazer ações concluídasUndo completed actions

Se você tiver determinado que um dispositivo ou um arquivo não é uma ameaça, poderá desfazer as ações de correção que foram tomadas, se essas ações foram tomadas automaticamente ou manualmente.If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. Na central de ações, na guia Histórico, você pode desfazer qualquer uma das seguintes ações:In the Action center, on the History tab, you can undo any of the following actions:

Origem da açãoAction source Ações com suporteSupported Actions
- Investigação automatizada- Automated investigation
- Microsoft Defender Antivírus- Microsoft Defender Antivirus
- Ações de resposta manual- Manual response actions
- Isolar dispositivo- Isolate device
- Restringir a execução de código- Restrict code execution
- Colocar em quarentena um arquivo- Quarantine a file
- Remover uma chave do Registro- Remove a registry key
- Interromper um serviço- Stop a service
- Desabilitar um driver- Disable a driver
- Remover uma tarefa agendada- Remove a scheduled task

Para desfazer várias ações ao mesmo tempoTo undo multiple actions at one time

  1. Vá para a Central de Ações ( https://security.microsoft.com/action-center ) e entre.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Na guia Histórico, selecione as ações que você deseja desfazer.On the History tab, select the actions that you want to undo. Certifique-se de selecionar itens que tenham o mesmo tipo de Ação.Make sure to select items that have the same Action type. Um painel de sobrevoo é aberto.A flyout pane opens.
  3. No painel de sobrevoos, selecione Desfazer.In the flyout pane, select Undo.

Para remover um arquivo da quarentena em vários dispositivosTo remove a file from quarantine across multiple devices

  1. Vá para a Central de Ações ( https://security.microsoft.com/action-center ) e entre.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Na guia Histórico, selecione um item que tenha o arquivo De quarentena tipo ação.On the History tab, select an item that has the Action type Quarantine file.
  3. No painel de sobrevoos, selecione Aplicar a X mais instâncias deste arquivo e selecione Desfazer.In the flyout pane, select Apply to X more instances of this file, and then select Undo.

Níveis de automação, resultados de investigação automatizados e ações resultantesAutomation levels, automated investigation results, and resulting actions

Os níveis de automação afetam se determinadas ações de correção são realizadas automaticamente ou somente após aprovação.Automation levels affect whether certain remediation actions are taken automatically or only upon approval. Às vezes, sua equipe de operações de segurança tem mais etapas a serem tomadas, dependendo dos resultados de uma investigação automatizada.Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. A tabela a seguir resume níveis de automação, resultados de investigações automatizadas e o que fazer em cada caso.The following table summarizes automation levels, results of automated investigations, and what to do in each case.

Configuração do grupo de dispositivosDevice group setting Resultados automatizados da investigaçãoAutomated investigation results O que fazerWhat to do
Completo - correção de ameaças automaticamente (a configuração recomendada)Full - remediate threats automatically (the recommended setting) Um veredito de Mal-intencionado é atingido por uma evidência.A verdict of Malicious is reached for a piece of evidence.

As ações de correção apropriadas são tomadas automaticamente.Appropriate remediation actions are taken automatically.
Revisar ações concluídasReview completed actions
Completo - correção de ameaças automaticamenteFull - remediate threats automatically Um veredito de Suspicious é atingido para uma evidência.A verdict of Suspicious is reached for a piece of evidence.

As ações de correção estão aguardando aprovação para continuar.Remediation actions are pending approval to proceed.
Aprovar (ou rejeitar) ações pendentesApprove (or reject) pending actions
Semi - exigir aprovação para qualquer correçãoSemi - require approval for any remediation Um veredito de mal-intencionado ou suspeito é atingido para uma evidência.A verdict of either Malicious or Suspicious is reached for a piece of evidence.

As ações de correção estão aguardando aprovação para continuar.Remediation actions are pending approval to proceed.
Aprovar (ou rejeitar) ações pendentesApprove (or reject) pending actions
Semi - exigir aprovação para correção de pastas principaisSemi - require approval for core folders remediation Um veredito de Mal-intencionado é atingido por uma evidência.A verdict of Malicious is reached for a piece of evidence.

Se o artefato for um arquivo ou executável e estiver em um diretório do sistema operacional, como a pasta Windows ou a pasta Arquivos do programa, as ações de correção estão pendentes de aprovação.If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

Se o artefato não estiver em um diretório do sistema operacional, as ações de correção serão tomadas automaticamente.If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. Aprovar (ou rejeitar) ações pendentes1. Approve (or reject) pending actions

2. Revisar ações concluídas2. Review completed actions
Semi - exigir aprovação para correção de pastas principaisSemi - require approval for core folders remediation Um veredito de Suspicious é atingido para uma evidência.A verdict of Suspicious is reached for a piece of evidence.

As ações de correção estão pendentes de aprovação.Remediation actions are pending approval.
Aprovar (ou rejeitar) ações pendentes.Approve (or reject) pending actions.
Semi - exigir aprovação para correção de pastas não temporáriasSemi - require approval for non-temp folders remediation Um veredito de Mal-intencionado é atingido por uma evidência.A verdict of Malicious is reached for a piece of evidence.

Se o artefato for um arquivo ou executável que não esteja em uma pasta temporária, como a pasta de downloads do usuário ou pasta temporária, as ações de correção estão pendentes de aprovação.If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

Se o artefato for um arquivo ou executável que esteja em uma pasta temporária, as ações de correção serão executadas automaticamente.If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. Aprovar (ou rejeitar) ações pendentes1. Approve (or reject) pending actions

2. Revisar ações concluídas2. Review completed actions
Semi - exigir aprovação para correção de pastas não temporáriasSemi - require approval for non-temp folders remediation Um veredito de Suspicious é atingido para uma evidência.A verdict of Suspicious is reached for a piece of evidence.

As ações de correção estão pendentes de aprovação.Remediation actions are pending approval.
Aprovar (ou rejeitar) ações pendentesApprove (or reject) pending actions
Qualquer um dos níveis de automação Completo ou SemiAny of the Full or Semi automation levels Um veredito de Nenhuma ameaça encontrada é alcançado para uma evidência.A verdict of No threats found is reached for a piece of evidence.

Nenhuma ação de correção é tomada e nenhuma ação está pendente de aprovação.No remediation actions are taken, and no actions are pending approval.
Exibir detalhes e resultados das investigações automatizadasView details and results of automated investigations
Nenhuma resposta automatizada (não recomendada)No automated response (not recommended) Nenhuma investigação automatizada é realizada, portanto, nenhum veredito é atingido e nenhuma ação de correção é tomada ou aguarda aprovação.No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. Considere configurar ou alterar seus grupos de dispositivos para usar automação completa ou semiConsider setting up or changing your device groups to use Full or Semi automation

No Microsoft Defender para Ponto de Extremidade, todos os vereditos são rastreados no Centro de Ações.In Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

Próximas etapasNext steps

Confira tambémSee also