Configurar recursos automatizados de investigação e resposta no Microsoft 365 DefenderConfigure automated investigation and response capabilities in Microsoft 365 Defender

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Microsoft 365 O Defender inclui poderosos recursos automatizados de investigação e resposta que podem economizar muito tempo e esforço à sua equipe de operações de segurança.Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. Com a auto-recuperação,esses recursos imitam as etapas que um analista de segurança tomaria para investigar e responder a ameaças, apenas mais rápidas e com mais capacidade de escala.With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale.

Este artigo descreve como configurar a investigação e a resposta automatizadas no Microsoft 365 Defender com estas etapas:This article describes how to configure automated investigation and response in Microsoft 365 Defender with these steps:

  1. Revise os pré-requisitos.Review the prerequisites.
  2. Revise ou altere o nível de automação para grupos de dispositivos.Review or change the automation level for device groups.
  3. Revise suas políticas de segurança e alerta em Office 365.Review your security and alert policies in Office 365.
  4. Certifique-se Microsoft 365 o Defender está ligado.Make sure Microsoft 365 Defender is turned on.

Em seguida, após a configuração, você pode exibir e gerenciar ações de correção no Centro de Ações.Then, after you're all set up, you can view and manage remediation actions in the Action center.

Pré-requisitos para investigação e resposta automatizadas no Microsoft 365 DefenderPrerequisites for automated investigation and response in Microsoft 365 Defender



RequisitoRequirement DetalhesDetails
Requisitos de assinaturaSubscription requirements Uma dessas assinaturas:One of these subscriptions:
  • Microsoft 365 E5Microsoft 365 E5
  • Microsoft 365 A5Microsoft 365 A5
  • Microsoft 365 E3 com o Microsoft 365 E5 Security complementoMicrosoft 365 E3 with the Microsoft 365 E5 Security add-on
  • Microsoft 365 A3 com o complemento Microsoft 365 A5 SecurityMicrosoft 365 A3 with the Microsoft 365 A5 Security add-on
  • Office 365 E5 mais Enterprise Mobility + Security E5 mais Windows E5Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Consulte Microsoft 365 requisitos de licenciamento do Defender.See Microsoft 365 Defender licensing requirements.

Requisitos de redeNetwork requirements
Requisitos de máquina do WindowsWindows machine requirements
Proteção para conteúdo de email e Office arquivosProtection for email content and Office files Microsoft Defender para Office 365 configuradoMicrosoft Defender for Office 365 configured
PermissõesPermissions Para configurar recursos automatizados de investigação e resposta, você deve ter a função administrador global ou administrador de segurança atribuída Azure Active Directory ( ) ou no centro de administração do Microsoft 365 https://portal.azure.com ( https://admin.microsoft.com ).To configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

Para obter as permissões necessárias para trabalhar com recursos automatizados de investigação e resposta, como revisão, aprovação ou rejeição de ações pendentes,consulte Permissões necessárias para tarefas do Centro de Ações.To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

Revisar ou alterar o nível de automação para grupos de dispositivosReview or change the automation level for device groups

Se as investigações automatizadas são realizadas e se as ações de correção são realizadas automaticamente ou somente após a aprovação de seus dispositivos dependem de determinadas configurações, como as políticas de grupo de dispositivos da sua organização.Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. Revise o nível de automação configurado para suas políticas de grupo de dispositivos.Review the configured automation level for your device group policies.

  1. Vá para o Central de Segurança do Microsoft Defender ( https://securitycenter.windows.com ) e entre.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
  2. Vá para Configurações > Grupos de > Dispositivos de Permissões.Go to Settings > Permissions > Device groups.
  3. Revise as políticas de grupo de dispositivos.Review your device group policies. Em particular, veja a coluna Nível de Correção.In particular, look at the Remediation level column. Recomendamos usar Full - correção de ameaças automaticamente.We recommend using Full - remediate threats automatically. Talvez seja necessário criar ou editar seus grupos de dispositivos para obter o nível de automação que deseja.You might need to create or edit your device groups to get the level of automation you want. Para obter ajuda com essa tarefa, consulte os seguintes artigos:To get help with this task, see the following articles:

Revise suas políticas de segurança e alerta no Office 365Review your security and alert policies in Office 365

A Microsoft fornece políticas de alerta internas que ajudam a identificar determinados riscos.Microsoft provides built-in alert policies that help identify certain risks. Esses riscos incluem abuso de Exchange de administrador, atividade de malware, possíveis ameaças externas e internas e riscos de governança de informações.These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. Alguns alertas podem disparar investigação e resposta automatizadas em Office 365.Some alerts can trigger automated investigation and response in Office 365. Certifique-se de que os recursos do Defender Office 365 estão configurados corretamente.Make sure your Defender for Office 365 features are configured correctly.

Embora determinados alertas e políticas de segurança possam disparar investigações automatizadas, nenhuma ação de correção é realizada automaticamente para email e conteúdo.Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. Em vez disso, todas as ações de correção para conteúdo de email e email aguardam aprovação pela sua equipe de operações de segurança no Centro de Ações.Instead, all remediation actions for email and email content await approval by your security operations team in the Action center.

As configurações de segurança no Office 365 ajudam a proteger o email e o conteúdo.Security settings in Office 365 help protect email and content. Para exibir ou alterar essas configurações, siga as diretrizes em Proteger contra ameaças.To view or change these settings, follow the guidance in Protect against threats.

  1. No centro de Microsoft 365 de segurança ( ), acesse Políticas & Políticas de Ameaças https://security.microsoft.com > de Regras.In the Microsoft 365 security center (https://security.microsoft.com), go to Policies & Rules > Threat policies.
  2. Certifique-se de que todas as políticas a seguir estão configuradas.Make sure all of the following policies are configured. Para obter ajuda e recomendações, consulte Protect against threats.To get help and recommendations, see Protect against threats.
  3. Certifique-se de que o Microsoft Defender Office 365 para SharePoint, OneDrive e Microsoft Teams está ligado.Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.
  4. Certifique-se de que a limpeza automática zero hora para proteção de email está em vigor.Make sure zero-hour auto purge for email protection is in effect.
  5. (Esta etapa é opcional.) Revise suas Office 365 de alerta no centro Microsoft 365 de conformidade ( https://compliance.microsoft.com/compliancepolicies ).(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). Várias políticas de alerta padrão estão na categoria Gerenciamento de ameaças.Several default alert policies are in the Threat management category. Alguns desses alertas podem disparar investigação e resposta automatizadas.Some of these alerts can trigger automated investigation and response. Para saber mais, confira Políticas de alerta padrão.To learn more, see Default alert policies.

Certifique-se Microsoft 365 o Defender está ligadoMake sure Microsoft 365 Defender is turned on

MTP on

  1. Entre no centro de Microsoft 365 de segurança ( https://security.microsoft.com ).Sign in to the Microsoft 365 security center (https://security.microsoft.com).
  2. No painel de navegação, procure Incidentes, Centro de Ações e Busca, conforme mostrado na imagem anterior.In the navigation pane, look for Incidents, Action center, and Hunting, as shown in the preceding image.
  3. No painel de navegação, escolha Configurações > Microsoft 365 Defender.In the navigation pane, choose Settings > Microsoft 365 Defender. Confirme se Microsoft 365 o Defender está ligado.Confirm that Microsoft 365 Defender is turned on.

Dica

Precisa de ajuda?Need help? Consulte Ativar o Microsoft 365 Defender.See Turn on Microsoft 365 Defender.

Próximas etapasNext steps