Configurar funcionalidades avançadas no Defender para Endpoint

Aplica-se a:

• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Consoante os produtos de segurança da Microsoft que utiliza, algumas funcionalidades avançadas poderão estar disponíveis para integrar o Defender para Endpoint.

Ativar funcionalidades avançadas

1. Inicie sessão no Microsoft Defender XDR com uma conta com a função Administrador de segurança ou Administrador global atribuída.

2. No painel de navegação, selecione Definições>Pontos finais Funcionalidades avançadas>.

3. Selecione a funcionalidade avançada que pretende configurar e alterne a definição entre Ativado e Desativado.

4. Selecione Guardar preferências.

Utilize as seguintes funcionalidades avançadas para se proteger melhor de ficheiros potencialmente maliciosos e obter melhores informações durante as investigações de segurança.

Resposta em direto

Ative esta funcionalidade para que os utilizadores com as permissões adequadas possam iniciar uma sessão de resposta em direto nos dispositivos.

Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.

Resposta em direto para servidores

Ative esta funcionalidade para que os utilizadores com as permissões adequadas possam iniciar uma sessão de resposta em direto nos servidores.

Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.

Execução de scripts não assinados de resposta em direto

Ativar esta funcionalidade permite-lhe executar scripts não assinados numa sessão de resposta em direto.

Restringir a correlação a grupos de dispositivos no âmbito

Esta configuração pode ser utilizada para cenários aos quais as operações SOC locais gostariam de limitar as correlações de alertas apenas a grupos de dispositivos aos quais podem aceder. Ao ativar esta definição, um incidente composto por alertas que os grupos entre dispositivos deixarão de ser considerados um único incidente. O SOC local pode então tomar medidas sobre o incidente porque tem acesso a um dos grupos de dispositivos envolvidos. No entanto, o SOC global verá vários incidentes diferentes por grupo de dispositivos em vez de um incidente. Não recomendamos ativar esta definição, a menos que isso supere os benefícios da correlação de incidentes em toda a organização.

Nota

• A alteração desta definição afeta apenas as correlações de alertas futuras.

• A criação de grupos de dispositivos é suportada no Defender para Endpoint Plano 1 e Plano 2.

Ativar o EDR no modo de bloco

A deteção e resposta de pontos finais (EDR) no modo de bloqueio fornece proteção contra artefactos maliciosos, mesmo quando Microsoft Defender Antivírus está em execução no modo passivo. Quando ativado, o EDR no modo de bloco bloqueia artefactos ou comportamentos maliciosos detetados num dispositivo. O EDR no modo de bloqueio funciona nos bastidores para remediar artefactos maliciosos que são detetados após a falha de segurança.

Autoresolve alertas remediados

Para os inquilinos criados em ou depois de Windows 10, versão 1809, a capacidade de investigação e remediação automatizada é configurada por predefinição para resolver alertas em que o estado do resultado da análise automatizada é "Não foram encontradas ameaças" ou "Remediado". Se não quiser que os alertas sejam resolvidos automaticamente, terá de desativar manualmente a funcionalidade.

Sugestão

Para os inquilinos criados antes dessa versão, terá de ativar manualmente esta funcionalidade a partir da página Funcionalidades avançadas .

Nota

• O resultado da ação de resolução automática pode influenciar o cálculo do nível de risco do dispositivo, que se baseia nos alertas ativos encontrados num dispositivo.
• Se um analista de operações de segurança definir manualmente o estado de um alerta como "Em curso" ou "Resolvido", a capacidade de resolução automática não a substituirá.

Permitir ou bloquear ficheiro

O bloqueio só está disponível se a sua organização cumprir estes requisitos:

• Utiliza Microsoft Defender Antivírus como a solução antimalware ativa e,
• A funcionalidade de proteção baseada na cloud está ativada

Esta funcionalidade permite-lhe bloquear ficheiros potencialmente maliciosos na sua rede. Bloquear um ficheiro impedirá que seja lido, escrito ou executado em dispositivos na sua organização.

Para ativar a opção Permitir ou bloquear ficheiros:

1. No painel de navegação, selecione Definições Pontos finais>Funcionalidades>Avançadas>Gerais>Permitir ou bloquear ficheiro.

2. Alterne a definição entre Ativado e Desativado.

   

3. Selecione Guardar preferências na parte inferior da página.

Depois de ativar esta funcionalidade, pode bloquear ficheiros através do separador Adicionar Indicador na página de perfil de um ficheiro.

Ocultar potenciais registos de dispositivos duplicados

Ao ativar esta funcionalidade, pode garantir que está a ver as informações mais precisas sobre os seus dispositivos ao ocultar potenciais registos duplicados de dispositivos. Existem diferentes motivos pelos quais podem ocorrer registos de dispositivos duplicados, por exemplo, a capacidade de deteção de dispositivos no Microsoft Defender para Endpoint pode analisar a sua rede e detetar um dispositivo que já está integrado ou que foi recentemente desativado.

Esta funcionalidade identificará potenciais dispositivos duplicados com base no respetivo nome de anfitrião e hora da última visualização. Os dispositivos duplicados serão ocultados de múltiplas experiências no portal, tais como o Inventário de Dispositivos, Gestão de vulnerabilidades do Microsoft Defender páginas e APIs Públicas para dados do computador, deixando o registo de dispositivo mais preciso visível. No entanto, os duplicados continuarão visíveis nas páginas pesquisa global, investigação avançada, alertas e incidentes.

Esta definição está ativada por predefinição e é aplicada ao nível do inquilino. Se não quiser ocultar potenciais registos duplicados de dispositivos, terá de desativar manualmente a funcionalidade.

Indicadores de rede personalizados

Ativar esta funcionalidade permite-lhe criar indicadores para endereços IP, domínios ou URLs, que determinam se serão permitidos ou bloqueados com base na sua lista de indicadores personalizados.

Para utilizar esta funcionalidade, os dispositivos têm de estar a executar Windows 10 versão 1709 ou posterior ou Windows 11. Também devem ter proteção de rede no modo de bloqueio e na versão 4.18.1906.3 ou posterior da plataforma antimalware . Veja KB 4052623.

Para obter mais informações, veja Gerir indicadores.

Nota

A proteção de rede tira partido dos serviços de reputação que processam pedidos em localizações que podem estar fora da localização que selecionou para os seus dados do Defender para Endpoint.

Proteção contra adulteração

Durante alguns tipos de ciberataques, os maus atores tentam desativar as funcionalidades de segurança, como a proteção antivírus, nas suas máquinas. Os maus atores gostam de desativar as suas funcionalidades de segurança para obter acesso mais fácil aos seus dados, instalar software maligno ou explorar os seus dados, identidade e dispositivos. A proteção contra adulteração bloqueia essencialmente Microsoft Defender Antivírus e impede que as definições de segurança sejam alteradas através de aplicações e métodos.

Para obter mais informações, incluindo como configurar a proteção contra adulteração, veja Proteger as definições de segurança com proteção contra adulteração.

Mostrar detalhes do utilizador

Ative esta funcionalidade para que possa ver os detalhes do utilizador armazenados no Microsoft Entra ID. Os detalhes incluem a imagem, o nome, o título e as informações do departamento de um utilizador ao investigar entidades de conta de utilizador. Pode encontrar informações da conta de utilizador nas seguintes vistas:

• Fila de alertas
• Página de detalhes do dispositivo

Para obter mais informações, veja Investigar uma conta de utilizador.

integração do Skype para Empresas

Ativar a integração de Skype para Empresas permite-lhe comunicar com utilizadores através de Skype para Empresas, e-mail ou telemóvel. Esta ativação pode ser útil quando precisa de comunicar com o utilizador e mitigar os riscos.

Nota

Quando um dispositivo está a ser isolado da rede, existe um pop-up onde pode optar por ativar as comunicações do Outlook e do Skype que permitem comunicações com o utilizador enquanto estão desligados da rede. Esta definição aplica-se à comunicação do Skype e do Outlook quando os dispositivos estão no modo de isolamento.

Office 365 ligação de Informações sobre Ameaças

Importante

Esta definição foi utilizada quando Microsoft Defender para Office 365 e Microsoft Defender para Endpoint estavam em portais diferentes anteriormente. Após a convergência das experiências de segurança num portal unificado que agora se chama Microsoft Defender XDR, estas definições são irrelevantes e não têm nenhuma funcionalidade associada às mesmas. Pode ignorar com segurança o estado do controlo até que seja removido do portal.

Esta funcionalidade só está disponível se tiver uma subscrição ativa para Office 365 E5 ou o suplemento Informações sobre Ameaças. Para obter mais informações, consulte a página Office 365 E5 produto.

Esta funcionalidade permite-lhe incorporar dados de Microsoft Defender para Office 365 em Microsoft Defender XDR para realizar uma investigação de segurança abrangente em caixas de correio Office 365 e dispositivos Windows.

Nota

Terá de ter a licença adequada para ativar esta funcionalidade.

Para receber a integração contextual de dispositivos no Office 365 Informações sobre Ameaças, terá de ativar as definições do Defender para Endpoint no dashboard Conformidade do & de Segurança. Para obter mais informações, veja Investigação e resposta a ameaças.

Notificações de Ataque de Ponto Final

As Notificações de Ataque de Ponto Final permitem que a Microsoft procure ativamente ameaças críticas com base na urgência e no impacto nos dados do ponto final.

Para investigação proativa em todo o âmbito de Microsoft Defender XDR, incluindo ameaças que abrangem e-mail, colaboração, identidade, aplicações na cloud e pontos finais, saiba mais sobre Microsoft Defender Especialistas.

Microsoft Defender for Cloud Apps

Ativar esta definição reencaminha os sinais do Defender para Ponto Final para Microsoft Defender for Cloud Apps para fornecer uma visibilidade mais aprofundada sobre a utilização de aplicações na cloud. Os dados reencaminhados são armazenados e processados na mesma localização que os dados do Defender para Cloud Apps.

Nota

Esta funcionalidade estará disponível com uma licença E5 para Enterprise Mobility + Security em dispositivos com Windows 10, versão 1709 (Compilação 16299.1085 do SO com KB4493441), Windows 10, versão 1803 (Compilação 17134.704 do SO com KB4493464), Windows 10, versão 1809 (Compilação 17763.379 do SO com KB4489899), versões Windows 10 posteriores ou Windows 11.

Ativar a integração do Microsoft Defender para Endpoint a partir do portal do Microsoft Defender para Identidade

Para receber a integração contextual de dispositivos no Microsoft Defender para Identidade, também terá de ativar a funcionalidade no portal do Microsoft Defender para Identidade.

1. Inicie sessão no portal Microsoft Defender para Identidade com uma função de Administrador Global ou Administrador de Segurança.

2. Selecione Create sua instância.

3. Alterne a definição Integração para Ativado e selecione Guardar.

Depois de concluir os passos de integração em ambos os portais, poderá ver alertas relevantes na página detalhes do dispositivo ou detalhes do utilizador.

Filtragem de conteúdos Web

Bloqueie o acesso a sites que contenham conteúdo indesejado e controle a atividade Web em todos os domínios. Para especificar as categorias de conteúdo Web que pretende bloquear, crie uma política de filtragem de conteúdo Web. Certifique-se de que tem proteção de rede no modo de bloqueio ao implementar a linha de base de segurança Microsoft Defender para Endpoint.

Partilhar alertas de ponto final com Portal de Conformidade do Microsoft Purview

Reencaminha alertas de segurança de pontos finais e o respetivo estado de triagem para Portal de Conformidade do Microsoft Purview, permitindo-lhe melhorar as políticas de gestão de riscos internos com alertas e remediar riscos internos antes de causarem danos. Os dados reencaminhados são processados e armazenados na mesma localização que os dados Office 365.

Depois de configurar os indicadores de violação da política de segurança nas definições de gestão de riscos internos, os alertas do Defender para Endpoint serão partilhados com a gestão de riscos internos para os utilizadores aplicáveis.

Telemetria autenticada

Pode Ativar a Telemetria autenticada para impedir o spoofing de telemetria no dashboard.

Microsoft Intune ligação

O Defender para Endpoint pode ser integrado com Microsoft Intune para ativar o acesso condicional baseado no risco do dispositivo. Quando ativar esta funcionalidade, poderá partilhar informações do dispositivo do Defender para Endpoint com Intune, melhorando a imposição de políticas.

Importante

Terá de ativar a integração no Intune e no Defender para Endpoint para utilizar esta funcionalidade. Para obter mais informações sobre passos específicos, veja Configurar o Acesso Condicional no Defender para Ponto Final.

Esta funcionalidade só está disponível se tiver os seguintes pré-requisitos:

• Um inquilino licenciado para Enterprise Mobility + Security E3 e o Windows E5 (ou Microsoft 365 Enterprise E5)
• Um ambiente de Microsoft Intune ativo, com dispositivos Windows geridos Intune Microsoft Entra associados.

Política de Acesso Condicional

Quando ativa Intune integração, Intune criará automaticamente uma política de Acesso Condicional (AC) clássica. Esta política de AC clássica é um pré-requisito para configurar relatórios de estado para Intune. Não deve ser eliminado.

Nota

A política de AC clássica criada por Intune é distinta das políticas de Acesso Condicional modernas, que são utilizadas para configurar pontos finais.

Deteção de dispositivos

Ajuda-o a encontrar dispositivos não geridos ligados à sua rede empresarial sem a necessidade de aplicações adicionais ou alterações complexas do processo. Com dispositivos integrados, pode encontrar dispositivos não geridos na sua rede e avaliar vulnerabilidades e riscos. Para obter mais informações, veja Deteção de dispositivos.

Nota

Pode sempre aplicar filtros para excluir dispositivos não geridos da lista de inventário de dispositivos. Também pode utilizar a coluna de estado de inclusão em consultas de API para filtrar dispositivos não geridos.

Funcionalidades de pré-visualização

Saiba mais sobre as novas funcionalidades na versão de pré-visualização do Defender para Endpoint. Experimente as funcionalidades futuras ao ativar a experiência de pré-visualização.

Terá acesso a funcionalidades futuras, sobre as quais pode fornecer feedback para ajudar a melhorar a experiência geral antes de as funcionalidades estarem disponíveis em geral.

Transferir ficheiros em quarentena

Cópia de segurança de ficheiros em quarentena numa localização segura e conforme para que possam ser transferidos diretamente a partir da quarentena. O botão Transferir ficheiro estará sempre disponível na página de ficheiros. Esta definição está ativada por predefinição. Saiba mais sobre os requisitos

Conectividade simplificada durante a integração do dispositivo (Pré-visualização)

Esta definição irá definir o pacote de inclusão predefinido como "simplificado" para os sistemas operativos aplicáveis.

Continuará a ter a opção de utilizar o pacote de inclusão padrão na página de inclusão, mas terá de selecioná-lo especificamente no menu pendente.

Tópicos relacionados

• Atualizar definições de retenção de dados
• Configurar notificações de alertas

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.