Tomar medidas de resposta num dispositivo

Aplica-se a:

Quer experimentar o Defender para Endpoint? Inscreva-se numa versão de avaliação gratuita.

Responda rapidamente a ataques detetados ao isolar dispositivos ou recolher um pacote de investigação. Depois de tomar medidas nos dispositivos, pode verificar os detalhes de atividade no Centro de ação.

As ações de resposta são executadas na parte superior da página de um dispositivo específico e incluem:

  • Gerir etiquetas
  • Iniciar Investigação Automática
  • Iniciar Sessão de Resposta em Direto
  • Recolher pacote de investigação
  • Executar análise de antivírus
  • Restringir a execução de aplicações
  • Isolar dispositivo
  • Consultar um perito em ameaças
  • Centro de ação

Imagem das ações de resposta.

Importante

Microsoft Defender para Empresas inclui as seguintes ações de resposta manuais:

  • Executar análise de antivírus
  • Isolar dispositivo
  • Parar e quarentena um ficheiro
  • Adicionar um indicador para bloquear ou permitir um ficheiro

A sua subscrição tem de incluir o Defender para Plano 2 de Pontos Finais para ter todas as ações de resposta descritas neste artigo.

Pode encontrar páginas de dispositivos a partir de qualquer uma das seguintes vistas:

  • Dashboard de operações de segurança – selecione um nome de dispositivo a partir do cartão Dispositivos em risco.
  • Fila de alertas - Selecione o nome do dispositivo junto ao ícone do dispositivo na fila de alertas.
  • Lista de dispositivos – selecione o título do nome do dispositivo a partir da lista de dispositivos.
  • Caixa de pesquisa - Selecione Dispositivo no menu suspenso e introduza o nome do dispositivo.

Importante

  • Estas ações de resposta só estão disponíveis para dispositivos no Windows 10, versão 1703 ou posterior, Windows 11, Windows Server 2019 e Windows Server 2022.
  • Para plataformas que não Windows, as capacidades de resposta (como isolamento de dispositivos) estão dependentes das capacidades de terceiros.
  • Para agentes da Microsoft em primeiro lugar, consulte a ligação "mais informações" em cada funcionalidade para conhecer os requisitos mínimos de SO.

Gerir etiquetas

Adicione ou faça a gestão de etiquetas para criar uma afiliação de grupo lógica. As etiquetas de dispositivo suportam o mapeamento adequado da rede, permitindo-lhe anexar diferentes etiquetas para capturar o contexto e permitir a criação de listas dinâmicas como parte de um incidente.

Para obter mais informações sobre a etiquetação de dispositivos, consulte Criar e gerir etiquetas de dispositivos.

Iniciar Investigação Automática

Se for necessário, pode iniciar uma nova investigação automática para o objetivo geral no dispositivo. Enquanto a investigação estiver em execução, qualquer outro alerta gerado a partir do dispositivo será adicionado a uma investigação automatizada em curso até essa investigação ser concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos são adicionados à investigação.

Para obter mais informações sobre investigações automatizadas, consulte Resumo das investigações automáticas.

Iniciar Sessão de resposta em direto

A resposta em direto é uma capacidade que lhe dá acesso instantâneo a um dispositivo através de uma ligação à shell remota. Isto dá-lhe a capacidade de fazer trabalho investigativo aprofundado e de tomar medidas de resposta imediatas para conter imediatamente ameaças identificadas em tempo real.

A resposta em tempo real foi concebida para melhorar investigações ao permitir-lhe recolher dados periciais, executar scripts, enviar entidades suspeitas para análise, remediar ameaças e procurar proativamente ameaças emergentes.

Para obter mais informações sobre respostas em direto, consulte Investigar entidades em dispositivos que utilizam respostas em direto.

Recolher um pacote de investigação de dispositivos

Como parte do processo de investigação ou resposta, pode recolher um pacote de investigação a partir de um dispositivo. Ao recolher o pacote de investigação, pode identificar o estado atual do dispositivo e compreender melhor as ferramentas e técnicas utilizadas pelo atacante.

Importante

Estas ações não são atualmente suportadas para macOS e Linux. Utilize a resposta em direto para executar a ação. Para obter mais informações sobre respostas em direto, consulte Investigar entidades em dispositivos que utilizam respostas em direto

Para transferir o pacote (ficheiro Zip) e investigar os eventos que ocorreram num dispositivo

  1. Selecione Recolher pacote de investigação a partir da linha de ações de resposta na parte superior da página do dispositivo.
  2. Especifique na caixa de texto a razão pela qual pretende efetuar esta ação. Selecione Confirmar.
  3. O ficheiro zip será transferido

Forma alternativa:

  1. Selecione Centro de ação na secção de ações de resposta da página do dispositivo.

    A opção Centro de ação

  2. Na panfleto do Centro de ação, selecione Pacote de coleção de pacotes disponível para transferir o ficheiro zip.

    A opção de pacote de transferência

O pacote contém as seguintes pastas:



Pasta Descrição
Autoruns Contém um conjunto de ficheiros que cada um representa o conteúdo do registo de um ponto de introdução automático conhecido (ASEP) para ajudar a identificar a persistência do atacante no dispositivo.

NOTA: Se a chave de registo não for encontrada, o ficheiro irá conter a seguinte mensagem: "ERRO: O sistema não conseguiu encontrar a chave ou valor de registo especificado."
Programas instalados Este .CSV contém a lista de programas instalados que podem ajudar a identificar o que está atualmente instalado no dispositivo. Para obter mais informações, consulte Win32_Product turma.
Ligações de rede Esta pasta contém um conjunto de pontos de dados relacionados com as informações de conectividade que podem ajudar na identificação de conectividade a URLs suspeitos, comandos e controlo do atacante (C&C), qualquer movimento lateral ou ligações remotas.
  • ActiveNetConnections.txt: apresenta as estatísticas do protocolo e as ligações de rede TCP/IP atuais. Fornece a capacidade de procurar conectividade suspeita feita por um processo.
  • Arp.txt: Apresenta as tabelas de cache de cache de resolução de endereços (ARP) atuais para todas as interfaces. A cache ARP pode revelar outros anfitriões numa rede que foram comprometidos ou sistemas suspeitos na rede que possam ter sido utilizados para executar um ataque interno.
  • DnsCache.txt: Apresenta os conteúdos da cache de resolução de clientes DNS, que inclui ambas as entradas pré-carregadas do ficheiro local Anfitriões e todos os registos de recursos obtidos recentemente para consultas de nome resolvidas pelo computador. Isto pode ajudar na identificação de ligações suspeitas.
  • IpConfig.txt: apresenta a configuração TCP/IP completa para todos os adaptadores. Os adaptadores podem representar interfaces físicas, como adaptadores de rede instalados ou interfaces lógicas, como ligações por marcação.
  • FirewallExecutionLog.txt e pfirewall.log

NOTA: O ficheiro de registo pfirewall.log tem de existir em %windir%\system32\logfiles\firewall\pfirewall.log, pelo que será incluído no pacote de investigação. Para obter mais informações sobre como criar o ficheiro de registo da firewall, consulte Configurar o Windows Defender Firewall com Registo de Segurança Avançada
Pré-visualar ficheiros Windows ficheiros Prefetch foram concebidos para acelerar o processo de arranque da aplicação. Pode ser utilizado para controlar todos os ficheiros utilizados recentemente no sistema e localizar rastreios de aplicações que possam ter sido eliminadas, mas que ainda podem ser encontrados na lista de ficheiros de pré-entrada.
  • Pasta de pré-receção: contém uma cópia dos ficheiros pré-efetivos do %SystemRoot%\Prefetch. NOTA: é sugerido que transfira um visualista de ficheiros de pré-visualização para ver os ficheiros de pré-visualização.
  • PrefetchFilesList.txt: contém a lista de todos os ficheiros copiados que podem ser utilizados para controlar se obtiveram falhas de cópia na pasta de pré-visualizações.
Processos Contém um .CSV que lista os processos em execução e fornece a capacidade de identificar os processos atuais em execução no dispositivo. Isto pode ser útil ao identificar um processo suspeito e o respetivo estado.
Tarefas agendadas Contém um ficheiro .CSV que lista as tarefas agendadas, que pode ser utilizado para identificar rotinas efetuadas automaticamente num dispositivo selecionado para procurar código suspeito que foi definido para ser executado automaticamente.
Registo de eventos de segurança Contém o registo de evento de segurança, que contém registos de atividade de início de sessão ou de início de sessão ou outros eventos relacionados com segurança especificados pela política de auditoria do sistema.

NOTA: Abra o ficheiro de registo do evento com o Visualador de eventos.
Serviços Contém um ficheiro .CSV que lista serviços e os respetivos estados.
Windows de Mensagens do Servidor (SMB) Lista o acesso partilhado a ficheiros, impressoras e portas de série e comunicações diversas entre nós numa rede. Isto pode ajudar a identificar a exfiltração de dados ou movimento lateral.

Contém ficheiros para SMBInboundSessions e SMBOutboundSession.

NOTA: Se não houver sessões (de saída ou de inserção), irá obter um ficheiro de texto a dizer que não foram encontradas sessões SMB.
Informações do Sistema Contém um ficheiro SystemInformation.txt que lista informações do sistema, como a versão do SO e os cartões de rede.
Diretórios Temp Contém um conjunto de ficheiros de texto que lista os ficheiros localizados em %Temp% para cada utilizador no sistema.

Isto pode ajudar a controlar ficheiros suspeitos que um atacante pode ter largado no sistema.

NOTA: Se o ficheiro contiver a seguinte mensagem: "O sistema não consegue encontrar o caminho especificado", significa que não existe diretório temporário para este utilizador e poderá significar que o utilizador não acedeu ao sistema.
Utilizadores e Grupos Fornece uma lista de ficheiros que cada um representa um grupo e os seus membros.
WdSupportLogs Fornece as informações MpCmdRunLog.txt e MPSupportFiles.cab

NOTA: Esta pasta só será criada no Windows 10, versão 1709 ou posterior com o rollup de atualizações de fevereiro de 2020 ou mais recente instalado:
  • Win10 1709 (RS3) Comtrução 16299.1717: KB4537816
  • Win10 1803 (RS4) Comtrução 17134.1345: KB4537795
  • Win10 1809 (RS5) Comtrução 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) Comentações 18362.693 e 18363.693: KB4535996
CollectionSummaryReport.xls Este ficheiro é um resumo da coleção do pacote de investigação, que contém a lista de pontos de dados, o comando utilizado para extrair os dados, o estado de execução e o código de erro se houver uma falha. Pode utilizar este relatório para controlar se o pacote inclui todos os dados esperados e identificar se ocorreu algum erro.

Executar a Antivírus do Microsoft Defender de análise em dispositivos

Como parte do processo de investigação ou resposta, pode iniciar remotamente uma análise antivírus para ajudar a identificar e remediar software malictivo que possa estar presente num dispositivo comprometido.

Importante

  • Esta ação não é atualmente suportada para macOS e Linux. Utilize a resposta em direto para executar a ação. Para obter mais informações sobre respostas em direto, consulte Investigar entidades em dispositivos que utilizam respostas em direto
  • Uma Antivírus do Microsoft Defender análise de Antivírus do Microsoft Defender (Microsoft Defender AV) pode ser executada juntamente com outras soluções antivírus, quer o Microsoft Defender AV seja a solução antivírus ativa ou não. O Microsoft Defender AV pode estar em modo passivo. Para obter mais informações, consulte o Antivírus do Microsoft Defender compatibilidade.

Se tiver selecionado Executar análise antivírus, selecione o tipo de análise que quer executar (rápido ou completo) e adicione um comentário antes de confirmar a digitalização.

A notificação para selecionar a análise rápida ou a análise completa e adicionar comentários

O Centro de ação irá apresentar as informações da análise e a linha de tempo do dispositivo incluirá um novo evento, o que reflete que uma ação de análise foi submetida no dispositivo. Os alertas av do Microsoft Defender irão refletir quaisquer deteções que surtam durante a análise.

Nota

Ao ativar uma análise com a ação de resposta Do Defender para Ponto Final, o valor antivírus do Microsoft Defender "ScanAvgCPULoadFactor" continua a ser aplicado e limita o impacto da CPU da análise.

Se ScanAvgCPULoadFactor não estiver configurado, o valor predefinido é um limite de 50% de carregamento máximo de CPU durante uma análise.

Para obter mais informações, consulte Configurar-advanced-scan-types-microsoft-defender-antivirus.

Restringir a execução de aplicações

Para além de conter um ataque ao parar processos maliciosos, também pode bloquear um dispositivo e impedir a execução de tentativas subsequentes de programas potencialmente maliciosos.

Importante

  • Esta ação está disponível para dispositivos no Windows 10, versão 1709 ou posterior, Windows 11 e Windows Server 2016.
  • Esta funcionalidade está disponível se a sua organização Antivírus do Microsoft Defender.
  • Esta ação tem de cumprir os Windows Defender da política de integridade do código de aplicação e os requisitos de assinatura. Para obter mais informações, consulte Formatos de políticas de integridade do código e assinatura.

Para restringir a execução de uma aplicação, é aplicada uma política de integridade do código que só permite que os ficheiros sejam executados se estiverem assinados por um certificado emitido pela Microsoft. Este método de restrição pode ajudar a impedir um atacante de controlar dispositivos comprometidos e executar mais atividades maliciosas.

Nota

Poderá reverter a restrição de execução de aplicações em qualquer altura. O botão na página do dispositivo será alterado para "Remover restrições de aplicações" e, em seguida, irá seguir os mesmos passos que restringir a execução de aplicações.

Assim que tiver selecionado Restringir a execução de aplicações na página do dispositivo, escreva um comentário e selecione Confirmar. O Centro de ação irá apresentar as informações da análise e a linha de tempo do dispositivo incluirá um novo evento.

Notificação de restrição de aplicação

Notificação no utilizador do dispositivo

Quando uma aplicação é restringida, é apresentada a seguinte notificação para informar o utilizador de que uma aplicação está a ser restringida de ser executada:

A mensagem de restrição da aplicação

Nota

A notificação não está disponível no Windows Server 2016 e Windows Server 2012 R2.

Isolar dispositivos da rede

Dependendo da severidade do ataque e da confidencialidade do dispositivo, pode querer isolar o dispositivo da rede. Esta ação pode ajudar a impedir que o atacante controle o dispositivo comprometido e realize outras atividades, como a exfiltração de dados e movimento lateral.

Importante

  • Esta ação não é atualmente suportada para macOS e Linux. Utilize a resposta em direto para executar a ação. Para obter mais informações sobre respostas em direto, consulte Investigar entidades em dispositivos que utilizam respostas em direto
  • Está disponível isolamento total para dispositivos no Windows 10, versão 1703, Windows 11, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.
  • O isolamento seletivo está disponível para dispositivos com Windows 10, versão 1709 ou posterior e Windows 11.
  • Ao isolar um dispositivo, só são permitidos determinados processos e destinos. Por conseguinte, os dispositivos que estiverem atrás de um instintivo VPN completo não poderão contactar o serviço Microsoft Defender para Endpoint nuvem após o dispositivo se isolar. Recomendamos que utilize uma VPN divisora para Microsoft Defender para Endpoint e Antivírus do Microsoft Defender tráfego relacionado com a proteção baseada na nuvem.

Esta funcionalidade de isolamento de dispositivo desliga o dispositivo comprometido da rede enquanto mantém a conectividade ao serviço Defender para Pontos Finais, que continua a monitorizar o dispositivo.

Na Windows 10, versão 1709 ou posterior, terá mais controlo sobre o nível de isolamento de rede. Também pode optar por ativar a Outlook, Microsoft Teams e Skype para Empresas (também conhecido como "Isolamento Seletivo").

Nota

Poderá voltar a ligar o dispositivo à rede em qualquer altura. O botão na página do dispositivo será alterado para libertar do isolamento e, em seguida, irá seguir os mesmos passos que isolar o dispositivo.

Assim que tiver selecionado Isolar dispositivo na página do dispositivo, escreva um comentário e selecione Confirmar. O Centro de ação irá apresentar as informações da análise e a linha de tempo do dispositivo incluirá um novo evento.

Página de detalhes de um dispositivo isolado

Nota

O dispositivo permanecerá ligado ao serviço Defender para Pontos Finais mesmo que se mantenha isolado da rede. Se optou por ativar a comunicação Outlook e Skype para Empresas, poderá comunicar com o utilizador enquanto o dispositivo está isolado.

Notificação no utilizador do dispositivo

Quando um dispositivo está a ser isolado, é apresentada a seguinte notificação para informar o utilizador de que o dispositivo está a ser isolado da rede:

Uma mensagem sem ligação de rede

Consultar um perito em ameaças

Pode consultar um especialista em ameaças da Microsoft para mais informações sobre um dispositivo potencialmente comprometido ou sobre dispositivos já comprometidos. Grupo de Peritos em Ameaças da Microsoft ser envolvidos diretamente a partir do Microsoft 365 Defender para uma resposta ateste e precisa. Os especialistas fornecem informações não só sobre um dispositivo potencialmente comprometido, como também para compreender melhor as ameaças complexas, as notificações de ataques diretas que obtêm ou se precisar de mais informações sobre os alertas ou um contexto de análise de ameaças que vê no dashboard do portal.

Consulte o trmudo Especialista Em Ameaças da Microsoft para obter detalhes.

Verificar detalhes de atividade no Centro de ação

O Centro de ação fornece informações sobre as ações que foram e tomadas num dispositivo ou ficheiro. Poderá ver os seguintes detalhes:

  • Coleção de pacotes de investigação
  • Análise de antivírus
  • Restrição de aplicação
  • Isolamento de dispositivos

Todos os outros detalhes relacionados também são apresentados, por exemplo, data/hora de submissão, submissão do utilizador e se a ação teve êxito ou falhou.

O centro de ação com informações

Consulte também