Página entidade do dispositivo no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A página entidade do dispositivo no portal Microsoft Defender ajuda na investigação de entidades do dispositivo. A página contém todas as informações importantes sobre uma determinada entidade de dispositivo. Se um alerta ou incidente indicar que um dispositivo está se comportando de forma suspeita ou pode ser comprometido, investigue os detalhes do dispositivo para identificar outros comportamentos ou eventos que possam estar relacionados ao alerta ou incidente e descubra o escopo potencial da violação. Você também pode usar a página entidade do dispositivo para executar algumas tarefas de segurança comuns, bem como algumas ações de resposta para mitigar ou corrigir ameaças de segurança.

Importante

O conjunto de conteúdo exibido na página entidade do dispositivo pode ser ligeiramente diferente, dependendo do registro do dispositivo em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Identidade.

Se sua organização integrou o Microsoft Sentinel ao portal do Defender, serão exibidas informações adicionais.

No Microsoft Sentinel, as entidades de dispositivo também são conhecidas como entidades de host . Saiba mais.

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal Microsoft Defender.

As entidades do dispositivo podem ser encontradas nas seguintes áreas:

  • Lista de dispositivos, em Ativos
  • Fila de alertas
  • Qualquer alerta/incidente individual
  • Qualquer página de entidade de usuário individual
  • Qualquer exibição de detalhes de arquivo individual
  • Qualquer endereço IP ou exibição de detalhes de domínio
  • Log de atividades
  • Consultas de caça avançadas
  • Central de Ações

Você pode selecionar dispositivos sempre que vê-los no portal para abrir a página de entidade do dispositivo, que exibe mais detalhes sobre o dispositivo. Por exemplo, você pode ver os detalhes dos dispositivos listados nos alertas de um incidente no portal Microsoft Defender em Incidentes & alertas Incidentes >>Incidentes> Dispositivos > ativos.

Captura de tela da página Usuários para um incidente no portal Microsoft Defender.

A página entidade do dispositivo apresenta suas informações em um formato com guias. Este artigo define os tipos de informações disponíveis em cada guia e também as ações que você pode executar em um determinado dispositivo.

As seguintes guias são exibidas na página entidade do dispositivo:

Cabeçalho de página da entidade

A seção mais alta da página da entidade inclui os seguintes detalhes:

  • Nome da entidade
  • Indicadores de gravidade, criticidade e valor do dispositivo de risco
  • Marcas pelas quais o dispositivo pode ser classificado. Pode ser adicionado pelo Defender para Ponto de Extremidade, Defender para Identidade ou pelos usuários. Marcas de Microsoft Defender para Identidade não são editáveis.
  • As ações de resposta também estão localizadas aqui. Leia mais sobre eles abaixo.

Guia Visão geral

A guia padrão é Visão geral. Ele fornece uma rápida olhada nos fatos de segurança mais importantes sobre o dispositivo. A guia Visão geral contém a barra lateral de detalhes do dispositivo e um dashboard com alguns cartões que exibem informações de alto nível.

Detalhes do dispositivo

A barra lateral lista o nome completo e o nível de exposição do dispositivo. Ele também fornece algumas informações básicas importantes em pequenas subseções, que podem ser expandidas ou recolhidas, como:

Seção Informações incluídas
Detalhes da VM Nomes de máquina e domínio e IDs, status de integridade e integração, carimbos de data/hora para a primeira e última vez vistas, endereços IP e muito mais
Detalhes de sincronização de política DLP Se for relevante
status de configuração Detalhes sobre Microsoft Defender para Ponto de Extremidade configuração
Detalhes do recurso de nuvem Plataforma de nuvem, ID de recursos, informações de assinatura e muito mais
Hardware e firmware Informações sobre VM, processador e BIOS e muito mais
Gerenciamento de dispositivo Microsoft Defender para Ponto de Extremidade status de registro e informações de gerenciamento
Dados do diretório Sinalizadores UAC , SPNs e associações de grupo.

Painel

A main parte da guia Visão geral mostra vários cartões de exibição do tipo dashboard:

  • Alertas ativos e nível de risco envolvendo o dispositivo nos últimos seis meses, agrupados por gravidade
  • Avaliações de segurança e nível de exposição do dispositivo
  • Conectados aos usuários no dispositivo nos últimos 30 dias
  • A integridade do dispositivo status e outras informações sobre as verificações mais recentes do dispositivo.

Dica

O nível de exposição está relacionado ao quanto o dispositivo está cumprindo as recomendações de segurança, enquanto o nível de risco é calculado com base em uma série de fatores, incluindo os tipos e a gravidade dos alertas ativos.

Captura de tela da guia Visão geral da página entidade do dispositivo no portal Microsoft Defender.

Guia Incidentes e alertas

A guia Incidentes e alertas contém uma lista de incidentes que contêm alertas que foram gerados no dispositivo, de qualquer uma das várias fontes de detecção de Microsoft Defender, incluindo, se integrado, Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, sua gravidade (alta, média, baixa, informativa), sua status na fila (nova, em andamento, resolvida), sua classificação (não definida, alerta falso, alerta verdadeiro), estado de investigação, categoria, que é atribuída para endereçá-la e última atividade observada.

Você pode personalizar quais colunas são exibidas para cada item. Você também pode filtrar os alertas por severidade, status ou qualquer outra coluna no display.

A coluna entidades afetadas refere-se a todas as entidades de dispositivo e usuário referenciadas no incidente ou alerta.

Quando um incidente ou alerta é selecionado, um fly-out é exibido. Neste painel, você pode gerenciar o incidente ou o alerta e exibir mais detalhes, como número de incidente/alerta e dispositivos relacionados. Vários alertas podem ser selecionados por vez.

Para ver uma exibição de página inteira de um incidente ou alerta, selecione seu título.

Captura de tela da guia Incidentes e alertas para a página entidade do dispositivo no portal Microsoft Defender.

Guia Linha do tempo

A guia Linha do Tempo exibe uma exibição cronológica de todos os eventos que foram observados no dispositivo. Isso pode ajudá-lo a correlacionar todos os eventos, arquivos e endereços IP em relação ao dispositivo.

A escolha das colunas exibidas na lista pode ser personalizada. As colunas padrão listam a hora do evento, o usuário ativo, o tipo de ação, as entidades associadas (processos, arquivos, endereços IP) e informações adicionais sobre o evento.

Você pode controlar o período de tempo para o qual os eventos são exibidos deslizando as bordas do período de tempo ao longo do gráfico geral linha do tempo na parte superior da página. Você também pode escolher um período de tempo na lista suspensa na parte superior da lista (o padrão é de 30 dias). Para controlar ainda mais sua exibição, você pode filtrar por grupos de eventos ou personalizar as colunas.

Você pode exportar até sete dias de eventos para um arquivo CSV, para download.

Detalhar os detalhes de eventos individuais selecionando e evento e exibindo seus detalhes no painel de sobrevoo resultante. Confira Detalhes do evento abaixo.

Observação

Para que eventos de firewall sejam exibidos, você precisará habilitar a política de auditoria, consulte Conexão da Plataforma de Filtragem de Auditoria.

O firewall aborda os seguintes eventos:

  • 5025 – serviço de firewall interrompido
  • 5031 – aplicativo impedido de aceitar conexões de entrada na rede
  • 5157 – conexão bloqueada

Captura de tela da guia Linha do Tempo da página entidade do dispositivo no portal Microsoft Defender.

Detalhes do evento

Selecione um evento para exibir detalhes relevantes sobre esse evento. Um painel de sobrevoo é exibido para mostrar muito mais informações sobre o evento. Os tipos de informações exibidas dependem do tipo de evento. Quando aplicável e os dados estiverem disponíveis, você poderá ver um grafo mostrando entidades relacionadas e suas relações, como uma cadeia de arquivos ou processos. Você também pode ver uma descrição de resumo das táticas e técnicas do MITRE ATT&CK aplicáveis ao evento.

Para inspecionar ainda mais o evento e os eventos relacionados, você pode executar rapidamente uma consulta de caça avançada selecionando Caçar para eventos relacionados. A consulta retorna o evento selecionado e a lista de outros eventos que ocorreram na mesma hora no mesmo ponto de extremidade.

Captura de tela do painel de detalhes do evento.

Guia Recomendações de segurança

A guia Recomendações de segurança lista as ações que você pode executar para proteger o dispositivo. Selecionar um item nesta lista abre um flyout em que você pode obter instruções sobre como aplicar a recomendação.

Assim como acontece com as guias anteriores, a escolha das colunas exibidas pode ser personalizada.

A exibição padrão inclui colunas que detalham as fraquezas de segurança abordadas, a ameaça associada, o componente ou software relacionado afetado pela ameaça e muito mais. Os itens podem ser filtrados pelo status da recomendação.

Saiba mais sobre recomendações de segurança.

Captura de tela da guia Recomendações de segurança para a página entidade do dispositivo.

Guia Inventários

Esta guia exibe inventários de quatro tipos de componentes: software, componentes vulneráveis, extensões de navegador e certificados.

Inventário de software

Este cartão lista o software instalado no dispositivo.

A exibição padrão exibe o fornecedor de software, o número de versão instalado, o número de fraquezas de software conhecidas, insights de ameaças, código do produto e marcas. O número de itens exibidos e quais colunas são exibidas podem ser personalizados.

Selecionar um item desta lista abre um flyout contendo mais detalhes sobre o software selecionado e o caminho e o carimbo de data/hora pela última vez que o software foi encontrado.

Essa lista pode ser filtrada pelo código do produto, pelas fraquezas e pela presença de ameaças.

Captura de tela da guia Inventário de software para o perfil do dispositivo no portal Microsoft Defender

Componentes vulneráveis

Esse cartão lista componentes de software que contêm vulnerabilidades.

As opções de exibição e filtragem padrão são as mesmas do software.

Selecione um item para exibir mais informações em um flyout.

Extensões do navegador

Este cartão mostra as extensões do navegador instaladas no dispositivo. Os campos padrão exibidos são o nome da extensão, o navegador para o qual ele está instalado, a versão, o risco de permissão (com base no tipo de acesso a dispositivos ou sites solicitados pela extensão) e o status. Opcionalmente, o fornecedor também pode ser exibido.

Selecione um item para exibir mais informações em um flyout.

Certificados

Este cartão exibe todos os certificados instalados no dispositivo.

Os campos exibidos por padrão são o nome do certificado, a data de emissão, a data de validade, o tamanho da chave, o emissor, o algoritmo de assinatura, o uso da chave e o número de instâncias.

A lista pode ser filtrada por status, autoassinado ou não, tamanho da chave, hash de assinatura e uso de chave.

Selecione um certificado para exibir mais informações em um flyout.

Guia vulnerabilidades descobertas

Esta guia lista quaisquer CVEs (Vulnerabilidades Comuns e Explorações) que possam afetar o dispositivo.

A exibição padrão lista a gravidade do CVE, a Pontuação de Vulnerabilidade Comum (CVSS), o software relacionado à CVE, quando o CVE foi publicado, quando o CVE foi detectado pela primeira vez e atualizado pela última vez, e ameaças associadas à CVE.

Assim como acontece com as guias anteriores, a escolha das colunas a serem exibidas pode ser personalizada. A lista pode ser filtrada por severidade, status de ameaças, exposição do dispositivo e marcas.

Selecionar um item desta lista abre um flyout que descreve a CVE.

Captura de tela da guia Vulnerabilidades descobertas para o perfil do dispositivo no portal do Microsoft Defender

Guia KBs ausente

A guia KBs ausente lista todos os Atualizações da Microsoft que ainda não foram aplicados ao dispositivo. Os "KBs" em questão são artigos da Base de Dados de Conhecimento, que descrevem essas atualizações; por exemplo, KB4551762.

A exibição padrão lista o boletim que contém as atualizações, a versão do sistema operacional, o número da ID do KB, os produtos afetados, os CVEs endereçados e as marcas.

A opção das colunas a serem exibidas pode ser personalizada.

Selecionar um item abre um flyout que é vinculado à atualização.

Guia eventos do Sentinel

Se sua organização integrou o Microsoft Sentinel ao portal do Defender, essa guia adicional estará na página entidade do dispositivo. Essa guia importa a página entidade host do Microsoft Sentinel.

Sentinel linha do tempo

Este linha do tempo mostra alertas associados à entidade do dispositivo, conhecida no Microsoft Sentinel como a entidade host. Esses alertas incluem aqueles vistos na guia Incidentes e alertas e aqueles criados pelo Microsoft Sentinel de fontes de dados de terceiros e não da Microsoft.

Este linha do tempo também mostra caçadas marcadas de outras investigações que fazem referência a essa entidade de usuário, eventos de atividade do usuário de fontes de dados externas e comportamentos incomuns detectados pelas regras de anomalia do Microsoft Sentinel.

Insights

Os insights da entidade são consultas definidas pelos pesquisadores de segurança da Microsoft para ajudá-lo a investigar de forma mais eficiente e eficaz. Esses insights fazem automaticamente as grandes perguntas sobre sua entidade de dispositivo, fornecendo informações de segurança valiosas na forma de dados e gráficos tabulares. Os insights incluem dados sobre entradas, adições de grupo, execuções de processo, eventos anômalos e muito mais e incluem algoritmos avançados de machine learning para detectar comportamento anômalo.

Veja a seguir alguns dos insights mostrados:

  • Captura de tela feita no host.
  • Processos não assinados pela Microsoft detectados.
  • Informações de execução do processo do Windows.
  • Atividade de entrada do Windows.
  • Ações em contas.
  • Logs de eventos limpos no host.
  • Adições de grupo.
  • Enumeração de hosts, usuários, grupos no host.
  • Microsoft Defender Controle de Aplicativo.
  • Processe a raridade por meio do cálculo de entropia.
  • Número anormalmente alto de um evento de segurança.
  • Insights da lista de observação (versão prévia).
  • Windows Defender eventos antivírus.

Os insights são baseados nas seguintes fontes de dados:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Pulsação (Agente do Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Captura de tela da guia eventos do Sentinel na página entidade do usuário.

Se você quiser explorar ainda mais qualquer um dos insights neste painel, selecione o link que acompanha o insight. O link leva você para a página de caça avançada , onde exibe a consulta subjacente ao insight, juntamente com seus resultados brutos. Você pode modificar a consulta ou detalhar os resultados para expandir sua investigação ou apenas satisfazer sua curiosidade.

Captura de tela da tela de caça avançada com consulta de insights.

Ações de resposta

As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.

Captura de tela da barra de ações da página entidade do dispositivo no portal Microsoft Defender.

Importante

  • As ações de resposta só estarão disponíveis se o dispositivo estiver registrado em Microsoft Defender para Ponto de Extremidade.
  • Os dispositivos registrados no Microsoft Defender para Ponto de Extremidade podem exibir diferentes números de ações de resposta, com base no sistema operacional do dispositivo e no número da versão.

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

Ação Descrição
Valor do dispositivo
Definir a criticidade
Gerenciar marcas Atualizações marcas personalizadas que você aplicou a este dispositivo.
Imprecisão do dispositivo de relatório
Executar verificação antivírus Atualizações Microsoft Defender definições antivírus e executa imediatamente uma verificação antivírus. Escolha entre verificação rápida ou verificação completa.
Coletar pacote de investigação Coleta informações sobre o dispositivo. Quando a investigação for concluída, você poderá baixá-la.
Restringir execução de aplicativo Impede a execução de aplicativos que não são assinados pela Microsoft.
Iniciar investigação automatizada Investiga e corrige automaticamente ameaças. Embora você possa disparar manualmente investigações automatizadas para executar a partir desta página, determinadas políticas de alerta disparam investigações automáticas por conta própria.
Iniciar sessão de resposta ao vivo Carrega um shell remoto no dispositivo para investigações de segurança detalhadas.
Isolar dispositivo Isola o dispositivo da rede da sua organização mantendo-o conectado a Microsoft Defender. Você pode optar por permitir que o Outlook, o Teams e Skype for Business sejam executados enquanto o dispositivo estiver isolado, para fins de comunicação.
Pergunte aos Especialistas do Defender
Central de Ações Exibe informações sobre todas as ações de resposta que estão em execução no momento. Só estará disponível se outra ação já tiver sido selecionada.
Baixar a versão de força do script de isolamento
Excluir
Ir à caça
Ativar o modo de solução de problemas
Sincronização de política

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.