Executar ações de resposta em um dispositivo

Aplica-se a:

Importante

Algumas informações nesse artigo estão relacionadas ao produto pré-lançado que pode ser modificado de forma substancial antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Responda rapidamente aos ataques detectados isolando dispositivos ou coletando um pacote de investigação. Depois de agir em dispositivos, você pode marcar detalhes da atividade no Centro de Ações.

As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:

  • Gerenciar marcas
  • Iniciar investigação automatizada
  • Iniciar sessão de resposta ao vivo
  • Coletar pacote de investigação
  • Executar verificação de antivírus
  • Restringir a execução de aplicativo
  • Isolar dispositivo
  • Conter dispositivo
  • Consultar um especialista em ameaças
  • Central de Ações

Imagem de ações de resposta.

Importante

O Plano 1 do Defender para Ponto de Extremidade inclui apenas as seguintes ações de resposta manual:

  • Executar verificação de antivírus
  • Isolar dispositivo
  • Parar e colocar em quarentena um arquivo
  • Adicione um indicador para bloquear ou permitir um arquivo.

Microsoft Defender para Empresas não inclui a ação "Parar e colocar em quarentena um arquivo" no momento.

Sua assinatura deve incluir o Plano 2 do Defender para Ponto de Extremidade para ter todas as ações de resposta descritas neste artigo.

Você pode encontrar páginas de dispositivo de qualquer uma das seguintes exibições:

  • Fila de alertas - Selecione o nome do dispositivo ao lado do ícone do dispositivo na fila de alertas.
  • Lista de dispositivos – selecione o título do nome do dispositivo na lista de dispositivos.
  • Caixa de pesquisa - Selecione Dispositivo no menu suspenso e insira o nome do dispositivo.

Importante

Para obter informações sobre disponibilidade e suporte para cada ação de resposta, consulte os requisitos de sistema operacional compatíveis/mínimos encontrados em cada recurso.

Gerenciar marcas

Adicione ou gerencie marcas para criar uma afiliação de grupo lógico. As marcas de dispositivo oferecem suporte ao mapeamento correto da rede, permitindo anexar marcas diferentes para capturar contexto e habilitar a criação de lista dinâmica como parte de um incidente.

Para obter mais informações sobre a marcação do dispositivo, consulte Criar e gerenciar marcas de dispositivo.

Iniciar investigação automatizada

Você pode iniciar uma nova investigação automatizada de uso geral no dispositivo, se necessário. Enquanto uma investigação estiver em execução, qualquer outro alerta gerado do dispositivo será adicionado a uma investigação automatizada em andamento até que essa investigação seja concluída. Além disso, se a mesma ameaça for vista em outros dispositivos, esses dispositivos serão adicionados à investigação.

Para obter mais informações sobre investigações automatizadas, consulte Visão geral das investigações automatizadas.

Iniciar sessão de resposta ao vivo

A resposta ao vivo é uma funcionalidade que oferece acesso instantâneo a um dispositivo usando uma conexão de shell remota. Isso lhe dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediatas para conter prontamente ameaças identificadas em tempo real.

A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que você colete dados forenses, execute scripts, envie entidades suspeitas para análise, corrija ameaças e procure ameaças emergentes proativamente.

Para obter mais informações sobre resposta ao vivo, consulte Investigar entidades em dispositivos usando resposta ao vivo.

Coletar pacote de investigação de dispositivos

Como parte do processo de investigação ou resposta, você pode coletar um pacote de investigação de um dispositivo. Ao coletar o pacote de investigação, você pode identificar o estado atual do dispositivo e entender ainda mais as ferramentas e técnicas usadas pelo invasor.

Para baixar o pacote (arquivo Zip) e investigar os eventos ocorridos em um dispositivo:

  1. Selecione Coletar pacote de investigação na linha de ações de resposta na parte superior da página do dispositivo.

  2. Especifique na caixa de texto por que você deseja executar essa ação. Selecione Confirmar.

  3. O arquivo zip é baixado.

Etapas alternativas:

  1. Selecione Coletar Pacote de Investigação na seção ações de resposta da página do dispositivo.

    Imagem do pacote de investigação de coleta

  2. Adicione comentários e selecione Confirmar.

    Imagem do comentário de confirmação

  3. Selecione Centro de ações na seção ações de resposta da página do dispositivo.

    Imagem do centro de ações

  4. Clique no pacote de coleção de pacotes disponível para baixar o pacote de coleção.

    Imagem do pacote de download

    Para dispositivos Windows, o pacote contém as seguintes pastas:

    Pasta Descrição
    Autoruns Contém um conjunto de arquivos que representam o conteúdo do registro de um ASEP (ponto de entrada de início automático) conhecido para ajudar a identificar a persistência do invasor no dispositivo.

    NOTA: Se a chave do registro não for encontrada, o arquivo conterá a seguinte mensagem: "ERRO: o sistema não pôde encontrar a chave ou o valor especificado do registro".
    Programas instalados Este arquivo .CSV contém a lista de programas instalados que podem ajudar a identificar o que está instalado no dispositivo no momento. Para obter mais informações, consulte Win32_Product classe.
    Conexões de rede Esta pasta contém um conjunto de pontos de dados relacionados às informações de conectividade que podem ajudar a identificar a conectividade com URLs suspeitas, a infraestrutura de comando e controle do invasor (C&C), qualquer movimento lateral ou conexões remotas.
    • ActiveNetConnections.txt: exibe estatísticas de protocolo e conexões de rede TCP/IP atuais. Fornece a capacidade de procurar conectividade suspeita feita por um processo.
    • Arp.txt: exibe as tabelas de cache do ARP (protocolo de resolução de endereço) atual para todas as interfaces. O cache ARP pode revelar outros hosts em uma rede comprometida ou sistemas suspeitos na rede que podem ter sido usados para executar um ataque interno.
    • DnsCache.txt: exibe o conteúdo do cache de resolver cliente DNS, que inclui as duas entradas pré-carregadas do arquivo hosts local e quaisquer registros de recurso recentemente obtidos para consultas de nome resolvidas pelo computador. Isso pode ajudar na identificação de conexões suspeitas.
    • IpConfig.txt: exibe a configuração TCP/IP completa para todos os adaptadores. Os adaptadores podem representar interfaces físicas, como adaptadores de rede instalados ou interfaces lógicas, como conexões discadas.
    • FirewallExecutionLog.txt e pfirewall.log

    NOTA: O arquivo pfirewall.log deve existir em %windir%\system32\logfiles\firewall\pfirewall.log, portanto, ele será incluído no pacote de investigação. Para obter mais informações sobre como criar o arquivo de log de firewall, consulte Configurar o firewall de Windows Defender com o Log de Segurança Avançada
    Pré-fetar arquivos Os arquivos do Windows Prefetch foram projetados para acelerar o processo de inicialização do aplicativo. Ele pode ser usado para rastrear todos os arquivos usados recentemente no sistema e localizar rastreamentos para aplicativos que podem ter sido excluídos, mas ainda podem ser encontrados na lista de arquivos pré-fetch.
    • Pasta prefetch: contém uma cópia dos arquivos de pré-fetch de %SystemRoot%\Prefetch. OBSERVAÇÃO: é sugerido baixar um visualizador de arquivo prefetch para exibir os arquivos de pré-fetch.
    • PrefetchFilesList.txt: contém a lista de todos os arquivos copiados que podem ser usados para rastrear se houver alguma falha de cópia na pasta prefetch.
    Processos Contém um arquivo .CSV listando os processos em execução e fornece a capacidade de identificar processos atuais em execução no dispositivo. Isso pode ser útil ao identificar um processo suspeito e seu estado.
    Tarefas agendadas Contém um arquivo .CSV listando as tarefas agendadas, que podem ser usadas para identificar rotinas executadas automaticamente em um dispositivo escolhido para procurar um código suspeito que foi definido para ser executado automaticamente.
    Log de eventos de segurança Contém o log de eventos de segurança, que contém registros de atividade de logon ou logout ou outros eventos relacionados à segurança especificados pela política de auditoria do sistema.

    NOTA: Abra o arquivo de log de eventos usando o visualizador de eventos.
    Serviços Contém um arquivo .CSV que lista serviços e seus estados.
    Sessões de SMB (Bloco de Mensagens do Windows Server) Listas acesso compartilhado a arquivos, impressoras e portas serial e comunicações diversas entre nós em uma rede. Isso pode ajudar a identificar a exfiltração de dados ou a movimentação lateral.

    Contém arquivos para SMBInboundSessions e SMBOutboundSession.

    NOTA: Se não houver sessões (entrada ou saída), você receberá um arquivo de texto que informa que não há sessões SMB encontradas.
    Informações do sistema Contém um arquivo SystemInformation.txt que lista informações do sistema, como a versão do sistema operacional e cartões de rede.
    Diretórios temp Contém um conjunto de arquivos de texto que lista os arquivos localizados em %Temp% para cada usuário no sistema.

    Isso pode ajudar a rastrear arquivos suspeitos que um invasor pode ter deixado cair no sistema.

    NOTA: Se o arquivo contiver a seguinte mensagem: "O sistema não pode encontrar o caminho especificado", significa que não há diretório temporário para esse usuário e pode ser porque o usuário não fez logon no sistema.
    Usuários e grupos Fornece uma lista de arquivos que cada um representa um grupo e seus membros.
    WdSupportLogs Fornece o MpCmdRunLog.txt e o MPSupportFiles.cab

    NOTA: Essa pasta só será criada no Windows 10, versão 1709 ou posterior com a rollup de atualização de fevereiro de 2020 ou mais recente instalada:
    • Win10 1709 (RS3) Build 16299.1717: KB4537816
    • Win10 1803 (RS4) Build 17134.1345: KB4537795
    • Win10 1809 (RS5) Build 17763.1075: KB4537818
    • Win10 1903/1909 (19h1/19h2) Builds 18362.693 e 18363.693: KB4535996
    CollectionSummaryReport.xls Esse arquivo é um resumo da coleção de pacotes de investigação, contém a lista de pontos de dados, o comando usado para extrair os dados, o status de execução e o código de erro se houver falha. Você pode usar este relatório para rastrear se o pacote inclui todos os dados esperados e identificar se houve algum erro.

    Os pacotes de coleção para dispositivos macOS e Linux contêm o seguinte:

    Objeto macOS Linux
    Aplicativos Uma lista de todos os aplicativos instalados Não aplicável
    Volume de disco
    • Quantidade de espaço livre
    • Lista de todos os volumes de disco montados
    • Lista de todas as partições
    • Quantidade de espaço livre
    • Lista de todos os volumes de disco montados
    • Lista de todas as partições
    Arquivo Uma lista de todos os arquivos abertos com os processos correspondentes usando esses arquivos Uma lista de todos os arquivos abertos com os processos correspondentes usando esses arquivos
    Histórico Histórico do Shell Não aplicável
    Módulos kernel Todos os módulos carregados Não aplicável
    Conexões de rede
    • Conexões ativas
    • Conexões de escuta ativas
    • Tabela ARP
    • Regras de firewall
    • Configuração da interface
    • Configurações de proxy
    • Configurações da VPN
    • Conexões ativas
    • Conexões de escuta ativas
    • Tabela ARP
    • Regras de firewall
    • Lista DE IP
    • Configurações de proxy
    Processos Uma lista de todos os processos em execução Uma lista de todos os processos em execução
    Serviços e tarefas agendadas
    • Certificados
    • Perfis de configuração
    • Informações de hardware
    • Detalhes da CPU
    • Informações de hardware
    • Informações do sistema operacional
    Informações de segurança do sistema
    • Informações de integridade extensíveis da Interface do Firmware (EFI)
    • Firewall status
    • Informações de MRT (Ferramenta de Remoção de Malware)
    • STATUS de Proteção de Integridade do Sistema (SIP)
    Não aplicável
    Usuários e grupos
    • Histórico de logon
    • Sudoers
    • Histórico de logon
    • Sudoers

Executar Microsoft Defender verificação antivírus em dispositivos

Como parte do processo de investigação ou resposta, você pode iniciar remotamente uma verificação antivírus para ajudar a identificar e corrigir malware que pode estar presente em um dispositivo comprometido.

Importante

  • Essa ação tem suporte para macOS e Linux para a versão do cliente 101.98.84 e superior. Você também pode usar a resposta ao vivo para executar a ação. Para obter mais informações sobre resposta ao vivo, consulte Investigar entidades em dispositivos usando resposta ao vivo
  • Uma verificação antivírus Microsoft Defender pode ser executada junto com outras soluções antivírus, Microsoft Defender Antivírus é ou não a solução antivírus ativa. Microsoft Defender Antivírus pode estar no modo Passivo. Para obter mais informações, consulte Microsoft Defender compatibilidade com Antivírus.

Um que você selecionou Executar verificação antivírus, selecione o tipo de verificação que deseja executar (rápido ou completo) e adicione um comentário antes de confirmar a verificação.

A notificação para selecionar verificação rápida ou verificação completa e adicionar comentário

O Centro de Ação mostrará as informações de verificação e o dispositivo linha do tempo incluirá um novo evento, refletindo que uma ação de verificação foi enviada no dispositivo. Microsoft Defender alertas antivírus refletirão as detecções que surgiram durante a verificação.

Observação

Ao disparar uma verificação usando a ação de resposta do Defender para Ponto de Extremidade, Microsoft Defender valor antivírus 'ScanAvgCPULoadFactor' ainda se aplica e limita o impacto da CPU da verificação. Se ScanAvgCPULoadFactor não estiver configurado, o valor padrão será um limite de 50% de carga máxima de CPU durante uma verificação. Para obter mais informações, confira configurar-advanced-scan-types-microsoft-defender-antivírus.

Restringir a execução de aplicativo

Além de conter um ataque interrompendo processos mal-intencionados, você também pode bloquear um dispositivo e impedir que tentativas subsequentes de programas potencialmente mal-intencionados sejam executadas.

Importante

  • Essa ação está disponível para dispositivos no Windows 10, versão 1709 ou posterior, Windows 11 e Windows Server 2019 ou posterior.
  • Esse recurso estará disponível se sua organização usar Microsoft Defender Antivírus.
  • Essa ação precisa atender aos Windows Defender formatos de política de integridade de código do Controle de Aplicativo e aos requisitos de assinatura. Para obter mais informações, consulte Formatos de política de integridade de código e assinatura).

Para restringir a execução de um aplicativo, é aplicada uma política de integridade de código que só permite que os arquivos sejam executados se eles forem assinados por um certificado emitido pela Microsoft. Esse método de restrição pode ajudar a impedir que um invasor controle dispositivos comprometidos e execute outras atividades mal-intencionadas.

Observação

Você poderá reverter a restrição de execução de aplicativos a qualquer momento. O botão na página do dispositivo será alterado para dizer Remover restrições de aplicativo e, em seguida, você tomará as mesmas etapas que restringir a execução do aplicativo.

Depois de selecionar Restringir a execução do aplicativo na página do dispositivo, digite um comentário e selecione Confirmar. O Centro de Ação mostrará as informações de verificação e o dispositivo linha do tempo incluirá um novo evento.

A notificação de restrição do aplicativo

Notificação no usuário do dispositivo

Quando um aplicativo é restrito, a notificação a seguir é exibida para informar ao usuário que um aplicativo está sendo impedido de executar:

A mensagem de restrição de aplicativo

Observação

A notificação não está disponível no Windows Server 2016 e Windows Server 2012 R2.

Isolar dispositivos da rede

Dependendo da gravidade do ataque e da sensibilidade do dispositivo, talvez você queira isolar o dispositivo da rede. Essa ação pode ajudar a impedir que o invasor controle o dispositivo comprometido e execute outras atividades, como exfiltração de dados e movimentação lateral.

Importante

  • Há suporte para isolar dispositivos da rede para macOS para a versão do cliente 101.98.84 e superior. Você também pode usar a resposta ao vivo para executar a ação. Para obter mais informações sobre resposta ao vivo, consulte Investigar entidades em dispositivos usando resposta ao vivo
  • O isolamento total está disponível para dispositivos que executam Windows 11, Windows 10, versão 1703 ou posterior, Windows Server 2022, Windows Server 2019, Windows Server 2016 e Windows Server 2012 R2.
  • Você pode usar o recurso de isolamento do dispositivo em todos os Microsoft Defender para Ponto de Extremidade com suporte no Linux listados nos requisitos do sistema. Verifique se os seguintes pré-requisitos estão habilitados: iptables, ip6tables e kernel linux com CONFIG_NETFILTER, CONFID_IP_NF_IPTABLES e CONFIG_IP_NF_MATCH_OWNER.
  • O isolamento seletivo está disponível para dispositivos que executam Windows 10, versão 1709 ou posterior e Windows 11.
  • Ao isolar um dispositivo, somente determinados processos e destinos são permitidos. Portanto, os dispositivos que estão por trás de um túnel VPN completo não poderão alcançar o serviço de nuvem Microsoft Defender para Ponto de Extremidade depois que o dispositivo for isolado. Recomendamos usar uma VPN de túnel dividido para Microsoft Defender para Ponto de Extremidade e Microsoft Defender tráfego relacionado à proteção baseada em nuvem antivírus.
  • O recurso dá suporte à conexão VPN.
  • Você deve ter pelo menos uma das seguintes permissões de função: "Ações de correção ativa". Para obter mais informações, consulte Criar e gerenciar funções.
  • Você deve ter acesso ao dispositivo com base nas configurações do grupo de dispositivos. Para obter mais informações, consulte Criar e gerenciar grupos de dispositivos.
  • Não há suporte para exclusão para o isolamento do macOS e do Linux.
  • Um dispositivo isolado é removido do isolamento quando um administrador modifica ou adiciona uma nova regra iptável ao dispositivo isolado.
  • Isolar um servidor em execução em Microsoft Hyper-V bloqueia o tráfego de rede para todas as máquinas virtuais filho do servidor.

Esse recurso de isolamento do dispositivo desconecta o dispositivo comprometido da rede, mantendo a conectividade com o serviço Defender para Ponto de Extremidade, que continua monitorando o dispositivo.

No Windows 10, versão 1709 ou posterior, você terá mais controle sobre o nível de isolamento de rede. Você também pode optar por habilitar o Outlook, o Microsoft Teams e Skype for Business conectividade (também conhecido como 'Isolamento Seletivo').

Observação

Você poderá reconectar o dispositivo de volta à rede a qualquer momento. O botão na página do dispositivo será alterado para dizer Liberar do isolamento e, em seguida, você tomará as mesmas etapas que isolar o dispositivo.

Depois de selecionar Isolar dispositivo na página do dispositivo, digite um comentário e selecioneConfirmar. O Centro de Ação mostrará as informações de verificação e o dispositivo linha do tempo incluirá um novo evento.

Uma página de detalhes do dispositivo isolado

Observação

O dispositivo permanecerá conectado ao serviço Defender para Ponto de Extremidade, mesmo que ele esteja isolado da rede. Se você tiver escolhido habilitar o Outlook e Skype for Business comunicação, poderá se comunicar com o usuário enquanto o dispositivo estiver isolado. O isolamento seletivo só funciona nas versões clássicas do Outlook e do Microsoft Teams.

Dispositivo de liberação à força do isolamento

O recurso de isolamento do dispositivo é uma ferramenta inestimável para proteger dispositivos contra ameaças externas. No entanto, há instâncias em que dispositivos isolados ficam sem resposta.
Há um script para download para essas instâncias que você pode executar para liberar dispositivos à força de isolamento. O script está disponível por meio de um link na interface do usuário.

Observação

  • Administradores e gerenciar configurações de segurança em permissões da Central de Segurança podem liberar dispositivos à força do isolamento.
  • O script é válido apenas para o dispositivo específico.
  • O script expirará em três dias.

Para liberar o dispositivo à força do isolamento:

  1. Na página do dispositivo, selecione Baixar script para forçar a liberação de um dispositivo do isolamento do menu de ação.
  2. No assistente do lado direito, selecione Baixar script.

Requisitos mínimos

Os requisitos mínimos para o recurso "dispositivo de liberação forçada do isolamento" são:

  • Dá suporte apenas ao Windows
  • Há suporte para as seguintes versões do Windows:
    • Windows 10 21H2 e 22H2 com KB5023773 de KB
    • Windows 11 versão 21H2, todas as edições com KB5023774
    • Windows 11 versão 22H2, todas as edições com KB5023778

Notificação no usuário do dispositivo

Quando um dispositivo está sendo isolado, a seguinte notificação é exibida para informar ao usuário que o dispositivo está sendo isolado da rede:

Uma mensagem sem conexão de rede

Observação

A notificação não está disponível em plataformas que não são do Windows.

Conter dispositivos da rede

Quando você identificou um dispositivo não gerenciado que está comprometido ou potencialmente comprometido, talvez você queira conter esse dispositivo da rede. Quando você contiver um dispositivo qualquer dispositivo Microsoft Defender para Ponto de Extremidade dispositivo integrado bloqueará a comunicação de entrada e saída com esse dispositivo. Essa ação pode ajudar a impedir que dispositivos vizinhos sejam comprometidos enquanto o analista de operações de segurança localiza, identifica e corrige a ameaça no dispositivo comprometido.

Observação

Há suporte para bloquear a comunicação de entrada e saída com um dispositivo 'contido' em dispositivos Microsoft Defender para Ponto de Extremidade Windows 10 e Windows Server 2019+ integrados.

Como conter um dispositivo

  1. Acesse a página Inventário de dispositivos e selecione o dispositivo a ser contido.

  2. Selecione Conter dispositivo no menu de ações no flyout do dispositivo.

    Captura de tela da mensagem pop-up do dispositivo de contenção.

  3. No pop-up do dispositivo de contenção, digite um comentário e selecione Confirmar.

Captura de tela do item de menu conter dispositivo.

Conter um dispositivo da página do dispositivo

Um dispositivo também pode ser contido na página do dispositivo selecionando Conter dispositivo na barra de ações:

Captura de tela do item de menu conter dispositivo na página do dispositivo.

Observação

Pode levar até 5 minutos para que os detalhes sobre um dispositivo recém-contido alcancem Microsoft Defender para Ponto de Extremidade dispositivos integrados.

Importante

  • Se um dispositivo contido alterar seu endereço IP, todos os Microsoft Defender para Ponto de Extremidade dispositivos integrados reconhecerão isso e começarão a bloquear as comunicações com o novo endereço IP. O endereço IP original não será mais bloqueado (pode levar até 5 minutos para ver essas alterações).
  • Nos casos em que o IP do dispositivo contido é usado por outro dispositivo na rede, haverá um aviso ao conter o dispositivo, com um link para a caça avançada (com uma consulta pré-preenchida). Isso fornecerá visibilidade aos outros dispositivos usando o mesmo IP para ajudá-lo a tomar uma decisão consciente se quiser continuar com a contenção do dispositivo.
  • Nos casos em que o dispositivo contido é um dispositivo de rede, um aviso será exibido com uma mensagem de que isso pode causar problemas de conectividade de rede (por exemplo, contendo um roteador que está agindo como um gateway padrão). Neste ponto, você poderá escolher se deve conter o dispositivo ou não.

Depois de conter um dispositivo, se o comportamento não estiver conforme o esperado, verifique se o serviço BFE (Mecanismo de Filtragem Base) está habilitado nos dispositivos integrados do Defender para Ponto de Extremidade.

Parar de conter um dispositivo

Você poderá parar de conter um dispositivo a qualquer momento.

  1. Selecione o dispositivo no inventário do dispositivo ou abra a página do dispositivo.

  2. Selecione Liberar na contenção no menu de ação. Essa ação restaurará a conexão desse dispositivo com a rede.

Conter usuário da rede

Quando uma identidade em sua rede pode ser comprometida, você deve impedir que essa identidade acesse a rede e os pontos de extremidade diferentes. O Defender para Ponto de Extremidade pode "conter" uma identidade, bloqueá-la do acesso e ajudar a prevenir ataques, especificamente, ransomware. Quando uma identidade estiver contida, qualquer dispositivo Microsoft Defender para Ponto de Extremidade integrado com suporte bloqueará o tráfego de entrada em protocolos específicos relacionados a ataques (logons de rede, RPC, SMB, RDP), encerrará sessões remotas em andamento e logoff conexões RDP existentes (encerre a sessão em si, incluindo todos os processos relacionados), ao mesmo tempo em que habilita o tráfego legítimo. Essa ação pode ajudar significativamente a reduzir o impacto de um ataque. Quando uma identidade está contida, os analistas de operações de segurança têm tempo extra para localizar, identificar e corrigir a ameaça à identidade comprometida.

Observação

Há suporte para bloquear a comunicação de entrada com um usuário "contido" em dispositivos Microsoft Defender para Ponto de Extremidade Windows 10 e 11 (Sense versão 8740 e superior), dispositivos Windows Server 2019+ e Windows Servers 2012R2 e 2016 com o agente moderno.

Como conter um usuário

Atualmente, a contenção de usuários só está disponível automaticamente usando a interrupção automática do ataque. Quando a Microsoft detecta um usuário como sendo comprometido, uma política "Conter Usuário" é definida automaticamente.

Exibir as ações de usuário de contenção

Depois que um usuário estiver contido, você poderá exibir a ação nesta exibição Histórico da Central de Ações. Aqui, você pode ver quando a ação ocorreu e quais usuários em sua organização estavam contidos:

Exibir a ação de contenção do usuário no centro de ações

Além disso, depois que uma identidade for considerada "contida", esse usuário será bloqueado pelo Defender para Ponto de Extremidade e não poderá executar qualquer movimento lateral mal-intencionado ou criptografia remota em ou em qualquer dispositivo integrado com suporte do Defender para Ponto de Extremidade. Esses blocos aparecerão como alertas para ajudá-lo a ver rapidamente os dispositivos que o usuário comprometido tentou acessar e possíveis técnicas de ataque:

Mostra que um usuário contém evento de bloco de movimentação lateral

Desfazer contém ações do usuário

Você pode liberar os blocos e a contenção em um usuário a qualquer momento:

  1. Selecione a ação Conter Usuário na Central de Ações. No painel lateral, selecione Desfazer
  2. Selecione o usuário no inventário do usuário, painel lateral da página Incidente ou painel lateral de alerta e selecione Desfazer

Essa ação restaurará a conexão desse usuário com a rede.

Mostra que o usuário contém opção de desfazer no centro de ação

Recursos de investigação com o Usuário de Contenção

Depois que um usuário estiver contido, você poderá investigar a ameaça potencial exibindo as ações bloqueadas pelo usuário comprometido. Na exibição dispositivo linha do tempo, você pode ver informações sobre eventos específicos, incluindo granularidade de protocolo e interface e a técnica MITRE relevante associada a ele.

Mostra detalhes do evento bloqueados para usuários contidos

Além disso, você pode expandir a investigação usando a Caça Avançada. Procure qualquer "Tipo de Ação" começando com "Conter" na tabela "DeviceEvents". Em seguida, você pode exibir todos os diferentes eventos de bloqueio singular em relação a Conter Usuário em seu locatário, aprofundar-se no contexto de cada bloco e extrair as diferentes entidades e técnicas associadas a esses eventos.

Mostra que a busca avançada por eventos de contenção de usuário

Consultar um especialista em ameaças

Você pode consultar um especialista em ameaças da Microsoft para obter mais informações sobre um dispositivo potencialmente comprometido ou já comprometido. Especialistas em Ameaças da Microsoft pode ser contratado diretamente de dentro do Microsoft Defender XDR para uma resposta oportuna e precisa. Especialistas fornecem insights não apenas sobre um dispositivo potencialmente comprometido, mas também para entender melhor ameaças complexas, notificações de ataque direcionadas que você obtém ou se você precisa de mais informações sobre os alertas ou um contexto de inteligência contra ameaças que você vê em seu portal dashboard.

Consulte Consultar um Especialista em Ameaças da Microsoft para obter detalhes.

Verificar os detalhes de atividade na Central de ações

A Central de Ações fornece informações sobre ações que foram tomadas em um dispositivo ou arquivo. Você poderá exibir os seguintes detalhes:

  • Coleção de pacotes de investigação
  • Verificação antivírus
  • Restrição de aplicativo
  • Isolamento do dispositivo

Todos os outros detalhes relacionados também são mostrados, por exemplo, data/hora de envio, usuário de envio e se a ação foi bem-sucedida ou falhou.

O centro de ações com informações

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.