Ações de correção no Microsoft 365 DefenderRemediation actions in Microsoft 365 Defender

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Aplica-se a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Durante e após uma investigação automatizada no Microsoft 365 Defender, as ações de correção são identificadas para itens mal-intencionados ou suspeitos.During and after an automated investigation in Microsoft 365 Defender, remediation actions are identified for malicious or suspicious items. Alguns tipos de ações de correção são tomadas em dispositivos, também chamados de pontos de extremidade.Some kinds of remediation actions are taken on devices, also referred to as endpoints. Outras ações de correção são tomadas no conteúdo de email.Other remediation actions are taken on email content. Investigações automatizadas concluídas após ações de correção são tomadas, aprovadas ou rejeitadas.Automated investigations complete after remediation actions are taken, approved, or rejected.

Importante

Se as ações de correção são tomadas automaticamente ou somente após aprovação depende de determinadas configurações, como os níveis de automação.Whether remediation actions are taken automatically or only upon approval depends on certain settings, such as how automation levels. Para saber mais, confira os seguintes artigos:To learn more, see the following articles:

A tabela a seguir resume as ações de correção atualmente suportadas no Microsoft 365 Defender.The following table summarizes remediation actions that are currently supported in Microsoft 365 Defender.

Ações de correção de dispositivo (ponto de extremidade)Device (endpoint) remediation actions Ações de correção de emailEmail remediation actions
- Coletar pacote de investigação- Collect investigation package
- Isolar dispositivo (essa ação pode ser desfeita)- Isolate device (this action can be undone)
- Máquina de offboard- Offboard machine
- Execução de código de versão- Release code execution
- Liberação da quarentena- Release from quarantine
- Exemplo de solicitação- Request sample
- Restringir a execução de código (essa ação pode ser desfeita)- Restrict code execution (this action can be undone)
- Executar a verificação antivírus- Run antivirus scan
- Parar e colocar em quarentena- Stop and quarantine
- Bloquear URL (hora do clique)- Block URL (time-of-click)
- Excluir mensagens de email ou clusters- Soft delete email messages or clusters
- Email de quarentena- Quarantine email
- Colocar em quarentena um anexo de email- Quarantine an email attachment
- Desativar o encaminhamento de email externo- Turn off external mail forwarding

As ações de correção, sejam aprovações pendentes ou já concluídas, podem ser exibidas no Centro de ações.Remediation actions, whether pending approval or already complete, can be viewed in the Action center.

Ações de correção que seguem investigações automatizadasRemediation actions that follow automated investigations

Quando uma investigação automatizada é concluída, um veredito é atingido para cada prova envolvida.When an automated investigation completes, a verdict is reached for every piece of evidence involved. Dependendo do veredito, as ações de correção são identificadas.Depending on the verdict, remediation actions are identified. Em alguns casos, as ações de correção são executadas automaticamente, em outros casos, as ações de correção aguardam aprovação.In some cases, remediation actions are taken automatically; in other cases, remediation actions await approval. Tudo depende de como a investigação e a resposta automatizadas são configuradas.It all depends on how automated investigation and response is configured.

A tabela a seguir lista os possíveis verditos e resultados:The following table lists possible verdicts and outcomes:

VerditoVerdict Entidades afetadasAffected entities ResultadosOutcomes
Mal-intencionadoMalicious Dispositivos (pontos de extremidade)Devices (endpoints) As ações de correção são tomadas automaticamente (supondo que os grupos de dispositivos da sua organização sejam definidos como Full - correção de ameaças automaticamente)Remediation actions are taken automatically (assuming your organization's device groups are set to Full - remediate threats automatically)
Mal-intencionadoMalicious Conteúdo do email (URLs ou anexos)Email content (URLs or attachments) As ações de correção recomendadas estão aguardando aprovaçãoRecommended remediation actions are pending approval
SuspeitoSuspicious Conteúdo de dispositivos ou emailsDevices or email content As ações de correção recomendadas estão aguardando aprovaçãoRecommended remediation actions are pending approval
Nenhuma ameaça encontradaNo threats found Conteúdo de dispositivos ou emailsDevices or email content Nenhuma ação de correção é necessáriaNo remediation actions are needed

Ações de correção realizadas manualmenteRemediation actions that are taken manually

Além das ações de correção que seguem investigações automatizadas, sua equipe de operações de segurança pode realizar determinadas ações de correção manualmente.In addition to remediation actions that follow automated investigations, your security operations team can take certain remediation actions manually. Elas incluem o seguinte:These include the following:

  • Ação manual do dispositivo, como isolamento de dispositivo ou quarentena de arquivoManual device action, such as device isolation or file quarantine
  • Ação de email manual, como a exclusão suave de mensagens de emailManual email action, such as soft-deleting email messages
  • Ação de busca avançada em dispositivos ou emailAdvanced hunting action on devices or email
  • Ação do Explorer no conteúdo de email, como a movimentação de emails para lixo eletrônico, a exclusão de emails ou a exclusão direta de emailsExplorer action on email content, such as moving email to junk, soft-deleting email, or hard-deleting email
  • Ação de resposta ao vivo manual, como excluir um arquivo, interromper um processo e remover uma tarefa agendadaManual live response action, such as deleting a file, stopping a process, and removing a scheduled task
  • Ação de resposta ao vivo com o Microsoft Defender para APIsde ponto de extremidade , como isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivoLive response action with Microsoft Defender for Endpoint APIs, such as isolating a device, running an antivirus scan, and getting information about a file

Próximas etapasNext steps