Detalhes e resultados de uma investigação automatizada no Microsoft 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Quando uma investigação automatizada ocorre em Microsoft Defender para Office 365, os detalhes sobre essa investigação estão disponíveis durante e após o processo de investigação automatizado. Se você tiver as permissões necessárias, poderá exibir esses detalhes no portal Microsoft Defender. Os detalhes da investigação fornecem status atualizados e a capacidade de aprovar quaisquer ações pendentes.

Dica

Confira a nova página de investigação unificada no portal do Microsoft Defender. Para saber mais, confira (NEW!) Página de investigação unificada.

Status de investigação

A investigação status indica o progresso da análise e das ações. À medida que a investigação é executada, status alterações para indicar se foram encontradas ameaças e se as ações foram aprovadas.

Status Descrição
Iniciando A investigação foi acionada e aguarda para começar a ser executada.
Em execução O processo de investigação começou e está em andamento. Esse estado também ocorre quando ações pendentes são aprovadas.
Nenhuma ameaça encontrada A investigação foi concluída e nenhuma ameaça (conta de usuário, mensagem de email, URL ou arquivo) foi identificada.

DICA: se você suspeitar que algo foi perdido (como um falso negativo), poderá tomar medidas usando o Threat Explorer.

Parcialmente investigado A investigação automatizada encontrou problemas, mas não há ações de correção específicas para resolve esses problemas.

O status parcialmente investigado pode ocorrer quando algum tipo de atividade do usuário foi identificado, mas nenhuma ação de limpeza está disponível. Exemplos incluem qualquer uma das seguintes atividades de usuário:


Observação: este status parcialmente investigado costumava ser rotulado como Ameaças Encontradas.

A investigação não encontrou URLs mal-intencionadas, arquivos ou mensagens de email para correção e nenhuma atividade de caixa de correio a ser corrigida, como desativar regras de encaminhamento ou delegação.

DICA: se você suspeitar que algo foi perdido (como um falso negativo), poderá investigar e tomar medidas usando o Threat Explorer

Encerrado por sistema A investigação parou. Uma investigação pode parar por vários motivos:
  • As ações pendentes da investigação expiraram. Tempo limite de ações pendentes após aguardar aprovação por uma semana
  • Há muitas ações. Por exemplo, se houver muitos usuários clicando em URLs mal-intencionadas, ele poderá exceder a capacidade da investigação de executar todos os analisadores, de modo que a investigação seja interrompida

DICA: se uma investigação for interrompida antes que as ações fossem tomadas, tente usar o Explorer de Ameaças para encontrar e lidar com ameaças.
Ação Pendente A investigação encontrou uma ameaça, como um email mal-intencionado, uma URL mal-intencionada ou uma configuração de caixa de correio arriscada, e uma ação para corrigir essa ameaça está aguardando aprovação.

O estado de Ação Pendente é disparado quando qualquer ameaça com uma ação correspondente é encontrada. No entanto, a lista de ações pendentes pode aumentar à medida que uma investigação é executada. Exibir detalhes da investigação para ver se outros itens ainda estão pendentes de conclusão.

Remediado A investigação foi concluída e todas as ações de correção foram aprovadas (anotadas como totalmente corrigidas).

OBSERVAÇÃO: As ações de correção aprovadas podem ter erros que impedem que as ações sejam tomadas. Independentemente de as ações de correção serem concluídas com êxito, o status de investigação não muda. Exibir detalhes da investigação.

Parcialmente corrigido A investigação resultou em ações de correção, e algumas foram aprovadas e concluídas. Outras ações ainda estão pendentes.
Falhou Pelo menos um analisador de investigação teve um problema em que não pôde ser concluído corretamente.

NOTA Se uma investigação falhar após a aprovação das ações de correção, as ações de correção ainda poderão ter sido bem-sucedidas. Exiba os detalhes da investigação.

Enfileirado por limitação Uma investigação está sendo realizada em uma fila. Quando outras investigações forem concluídas, as investigações enfileiradas começam. A limitação ajuda a evitar o fraco desempenho do serviço.

DICA: ações pendentes podem limitar quantas novas investigações podem ser executadas. Certifique-se de aprovar (ou rejeitar) ações pendentes.

Encerrado por limitação Se uma investigação for mantida na fila por muito tempo, ela será interrompida.

DICA: você pode iniciar uma investigação do Explorer de Ameaças.

Exibir detalhes de uma investigação

  1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.
  2. No painel de navegação, selecione Ações & centro de ações de envios>.
  3. Nas guias Pending ou History , selecione uma ação. Seu painel de sobrevoo é aberto.
  4. No painel de sobrevoo, selecione Abrir página de investigação.
  5. Use as várias guias para saber mais sobre a investigação.

Certos tipos de alertas disparam uma investigação automatizada no Microsoft 365. Para saber mais, confira políticas de alerta que disparam investigações automatizadas.

  1. Acesse o portal Microsoft Defender (https://security.microsoft.com) e entre.
  2. No painel de navegação, selecione Centro de ações.
  3. Nas guias Pending ou History , selecione uma ação. Seu painel de sobrevoo é aberto.
  4. No painel de sobrevoo, selecione Abrir página de investigação.
  5. Selecione a guia Alertas para exibir uma lista de todos os alertas associados a essa investigação.
  6. Selecione um item na lista para abrir seu painel de sobrevoo. Lá, você pode exibir mais informações sobre o alerta.

Lembre-se dos seguintes pontos

  • Email contagens são calculadas no momento da investigação, e algumas contagens são recalculadas quando você abre sobrevoos de investigação (com base em uma consulta subjacente).

  • As contagens de email mostradas para os clusters de email na guia Email e o valor da quantidade de email mostrado no flyout do cluster são calculados no momento da investigação e não são alterados.

  • A contagem de emails mostrada na parte inferior da guia Email do flyout do cluster de email e a contagem de mensagens de email mostradas em Explorer refletem as mensagens de email recebidas após a análise inicial da investigação.

    Assim, um cluster de email que mostra uma quantidade original de 10 mensagens de email mostraria um total de 15 listas de email quando mais cinco mensagens de email chegam entre a fase de análise de investigação e quando o administrador revisa a investigação. Da mesma forma, investigações antigas podem começar a mostrar contagens maiores do que Explorer as consultas mostram, porque os dados em Microsoft Defender para Office 365 Plano 2 expira após sete dias para avaliações e após 30 dias para licenças pagas.

    Mostrar contagem de contagens históricas e atuais em diferentes exibições é feito para indicar o impacto do email no momento da investigação e o impacto atual até o momento em que a correção é executada.

  • No contexto do email, você pode ver uma ameaça de anomalia de volume aparecer como parte da investigação. Uma anomalia de volume indica um pico em mensagens de email semelhantes em torno do tempo de evento de investigação em comparação com os períodos de tempo anteriores. Um pico no tráfego de email junto com determinadas características (por exemplo, domínio de assunto e remetente, semelhança do corpo e IP do remetente) é típico do início de campanhas de email ou ataques. No entanto, campanhas de email em massa, spam e legítimas geralmente compartilham essas características.

  • Anomalias de volume representam uma ameaça potencial e, portanto, podem ser menos graves em comparação com ameaças de malware ou phish que são identificadas usando mecanismos antivírus, detonação ou reputação mal-intencionada.

  • Você não precisa aprovar todas as ações. Se você não concordar com a ação recomendada ou sua organização não escolher determinados tipos de ações, você poderá optar por Rejeitar as ações ou simplesmente ignorá-las e não tomar nenhuma ação.

  • A aprovação e/ou a rejeição de todas as ações permitem que a investigação seja totalmente encerrada (status se torna corretiva), deixando algumas ações incompletas nos resultados da investigação status mudando para um estado parcialmente corrigido.

Próximas etapas