Visão geral das investigações automatizadas

Aplica-se a:

• Microsoft Defender XDR
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas

Plataformas

• Windows

Deseja ver como funciona? Assista ao vídeo a seguir:

A tecnologia utilizada na investigação automatizada usa vários algoritmos de inspeção e se baseia em processos usados por analistas de segurança. Os recursos AIR se destinam a examinar os alertas e a tomar providências imediatas para resolver as violações. Os recursos AIR reduzem de forma significativa o volume de alertas, permitindo que as operações de segurança se concentrem nas ameaças mais sofisticadas e outras iniciativas de alto valor. Todas as ações de correção, pendentes ou executadas, são rastreadas na Central de Ações. Na Central de Ações as ações pendentes são aprovadas (ou rejeitadas) e as ações concluídas podem ser desfeitas, se necessário.

Este artigo fornece uma visão geral do AIR e inclui links para as próximas etapas e recursos adicionais.

Dica

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Como a investigação automatizada começa

Uma investigação automatizada pode começar quando um alerta é disparado ou quando um operador de segurança inicia a investigação.

Situação	O que acontece
Um alerta é disparado	Em geral, uma investigação automatizada começa quando um alerta é disparado e um incidente é criado. Por exemplo, suponha que um arquivo mal-intencionado resida em um dispositivo. Quando esse arquivo é detectado, um alerta é disparado e o incidente é criado. Um processo de investigação automatizado começa no dispositivo. À medida que outros alertas são gerados devido ao mesmo arquivo em outros dispositivos, eles são adicionados ao incidente associado e à investigação automatizada.
Uma investigação é iniciada manualmente	Uma investigação automatizada pode ser iniciada manualmente pela equipe de operações de segurança. Por exemplo, suponha que um operador de segurança esteja revisando uma lista de dispositivos e observe que um dispositivo tem um alto nível de risco. O operador de segurança pode selecionar o dispositivo na lista para abrir seu flyout e, em seguida, selecionar Iniciar Investigação Automatizada.

Como uma investigação automatizada expande seu escopo

Enquanto uma investigação está em execução, quaisquer outros alertas gerados do dispositivo são adicionados a uma investigação automatizada em andamento até que essa investigação seja concluída. Além disso, se a mesma ameaça for vista em outros dispositivos, esses dispositivos serão adicionados à investigação.

Se uma entidade incriminada for vista em outro dispositivo, o processo de investigação automatizada expandirá seu escopo para incluir esse dispositivo e uma cartilha de segurança geral será iniciada nesse dispositivo. Se 10 ou mais dispositivos forem encontrados durante esse processo de expansão da mesma entidade, essa ação de expansão exigirá uma aprovação e ficará visível na guia Ações pendentes .

Como as ameaças são corrigidas

À medida que os alertas são disparados e uma investigação automatizada é executada, um veredicto é gerado para cada evidência investigada. Os vereditos podem ser:

• Mal-intencionado;
• Suspeito; Ou
• Nenhuma ameaça foi encontrada.

À medida que os veredictos são alcançados, investigações automatizadas podem resultar em uma ou mais ações de correção. Exemplos de ações de correção incluem o envio de um arquivo para quarentena, a interrupção de um serviço, a remoção de uma tarefa agendada e muito mais. Para saber mais, confira Ações de correção.

Dependendo do nível de automação definido para sua organização, bem como de outras configurações de segurança, as ações de correção podem ocorrer automaticamente ou somente após a aprovação da equipe de operações de segurança. Configurações de segurança adicionais que podem afetar a correção automática incluem proteção contra PUA (aplicativos potencialmente indesejados ).

Todas as ações de correção, pendentes ou executadas, são rastreadas na Central de Ações. Se necessário, sua equipe de operações de segurança poderá desfazer uma ação de correção. Para saber mais, confira Examinar e aprovar ações de correção após uma investigação automatizada.

Dica

Confira a nova página de investigação unificada no portal do Microsoft Defender. Para saber mais, confira Página de investigação unificada.

Requisitos para AIR

Sua assinatura deve incluir o Defender para Ponto de Extremidade ou o Defender para Empresas.

Observação

A investigação e a resposta automatizadas exigem Microsoft Defender Antivírus para execução no modo passivo ou no modo ativo. Se Microsoft Defender Antivírus estiver desabilitado ou desinstalado, a Investigação Automatizada e a Resposta não funcionarão corretamente.

Atualmente, o AIR só dá suporte às seguintes versões do sistema operacional:

• Windows Server 2012 R2 (versão prévia)
• Windows Server 2016 (versão prévia)
• Windows Server 2019
• Windows Server 2022
• Windows 10, versão 1709 (Build 16299.1085 do sistema operacional com KB4493441) ou posterior
• Windows 10, versão 1803 (compilação do sistema operacional 17134.704 com KB4493464) ou posterior
• Windows 10, versão 1803 ou posterior
• Windows 11

Observação

A investigação e a resposta automatizadas no Windows Server 2012 R2 e Windows Server 2016 exigem que o Agente Unificado seja instalado.

Próximas etapas

• Saiba mais sobre os níveis de automação
• Consulte o guia interativo: investigar e corrigir ameaças com Microsoft Defender para Ponto de Extremidade
• Configurar recursos automatizados de investigação e correção no Microsoft Defender para Ponto de Extremidade

Confira também

• Proteção PUA
• Investigação e resposta automatizadas em Microsoft Defender para Office 365
• Investigação e resposta automatizadas em Microsoft Defender XDR

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.