O Centro de Ação

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

O Centro de Ação fornece uma experiência de "um único painel de vidro" para tarefas de incidentes e alertas, tais como:

  • Aprovar ações de remediação pendentes.
  • Visualizar um registo de auditoria de ações de remediação já aprovadas.
  • Rever ações de remediação concluídas.

Uma vez que o Centro de Ação fornece uma visão abrangente Microsoft 365 Defender trabalho, a sua equipa de operações de segurança pode trabalhar de forma mais eficaz e eficiente.

O Centro de Ação unificado

O Centro de Ação unificado (https://security.microsoft.com/action-center) lista as ações de remediação pendentes e concluídas para os seus dispositivos, e&-mail e conteúdos de colaboração e identidades numa única localização.

O Centro de Ação unificado no portal Microsoft 365 Defender Empresas.

Por exemplo:

O Centro de Ação unificado reúne ações de remediação no Defender para Pontos Finais e Defender para Office 365. Define uma linguagem comum para todas as ações de remediação e fornece uma experiência de investigação unificada. A sua equipa de operações de segurança tem uma experiência de "um único painel de vidro" para ver e gerir ações de remediação.

Pode utilizar o Centro de Ação unificado se tiver as permissões adequadas e uma ou mais das seguintes subscrições:

Dica

Para saber mais, consulte Requisitos.

Utilizar o Centro de Ação

  1. Vá para o Microsoft 365 Defender de e inscreva-se.
  2. No painel de navegação, selecionar Centro de ação.

Quando visita o Centro de ação, vê dois separadores: Ações pendentes e Histórico. A tabela seguinte resume o que verá em cada separador:

Tab Descrição
Pendente Apresenta uma lista de ações que necessitam de atenção. Pode aprovar ou rejeitar ações uma de cada vez ou selecionar várias ações se as mesmas tiverem o mesmo tipo de ação (como ficheiro de Quarentena).

SUGESTÃO: certifique-se de que revê e aprova (ou rejeita) ações pendentes o mais rapidamente possível, para que as suas investigações automáticas possam ser concluídas de forma ateste.

Histórico Serve como um registo de auditoria para as ações e tomadas, tais como:
- Ações de remediação que foram tomadas como resultado de investigações automáticas
- Ações de remediação que foram tomadas em mensagens de e-mail suspeitas ou maliciosas, ficheiros ou URLs
- Ações de remediação aprovadas pela equipa de operações de segurança
- Comandos executados e ações de remediação que foram aplicadas durante sessões de Resposta em Direto
- Ações de remediação que foram tomadas pela sua proteção antivírus

Fornece uma forma de desfazer determinadas ações (consulte o artigo Desfazer ações concluídas).

Pode personalizar, ordenar, filtrar e exportar dados no Centro de ação.

As funcionalidades de ordenação, filtragem e personalização do Centro de ação

  • Selecione um título de coluna para ordenar os itens por ordem ascendente ou descendente.
  • Utilize o filtro de período de tempo para ver os dados do último dia, semana, 30 dias ou 6 meses.
  • Selecionar as colunas que pretende ver.
  • Especifique quantos itens quer incluir em cada página de dados.
  • Utilize filtros para ver apenas os itens que pretende ver.
  • Selecione Exportar para exportar os resultados para um .csv ficheiro.

Ações rastreadas no Centro de Ação

Todas as ações, quer tenham uma aprovação pendente ou já tenham sido tomadas, são controlar-se no Centro de ação. As ações disponíveis incluem o seguinte:

  • Recolher pacote de investigação
  • Isolar dispositivo (esta ação pode ser desfazer)
  • Excluir máquina
  • Execução do código de lançamento
  • Lançamento da quarentena
  • Exemplo de pedido
  • Restringir a execução de código (esta ação pode ser desfasada)
  • Executar análise de antivírus
  • Parar e quarentena

Para além das ações de remediação que são tomadas automaticamente como resultado de investigações automatizadas, o Centro de Ação também rastrea as ações que a sua equipa de segurança endereça às ameaças detetadas e ações que foram tomadas como resultado de funcionalidades de proteção contra ameaças no Microsoft 365 Defender. Para obter mais informações sobre ações de remediação automáticas e manuais, consulte ações de remediação.

Ver detalhes da origem de ação

(NOVO!) O Centro de Ação melhorado inclui agora uma coluna origem de Ação que lhe diz de onde veio cada ação. A seguinte tabela descreve possíveis valores de origem de ação:

Valor de origem da ação Descrição
Ação manual do dispositivo Uma ação manual tomada num dispositivo. Os exemplos incluem isolamento de dispositivos ou quarentena de ficheiros.
Ação de e-mail manual Uma ação manual tomada no e-mail. Um exemplo inclui a eliminação de forma remediativa de mensagens de e-mail ou a remediação de uma mensagem de e-mail.
Ação de dispositivo automatizada Uma ação automatizada e tomada numa entidade, como um ficheiro ou processo. Os exemplos de ações automatizadas incluem o envio de um ficheiro para a quarentena, a interrupção de um processo e a remoção de uma chave de registo. (Consulte Ações de remediação Microsoft Defender para Endpoint.)
Ação de e-mail automática Uma ação automatizada tomada em conteúdos de e-mail, como uma mensagem de e-mail, anexo ou URL. Os exemplos de ações automatizadas incluem a eliminação de mensagens de e-mail de forma reles, o bloqueio de URLs e a desligação do receção de e-mails externos. (Consulte Ações de remediação Microsoft Defender para Office 365.)
Ação de procura avançada Ações tomadas em dispositivos ou e-mails com procura avançada.
Ação do Explorador Ações tomadas em conteúdos de e-mail com o Explorador.
Ação de resposta em direto manual Ações tomadas num dispositivo com resposta em direto. Os exemplos incluem eliminar um ficheiro, parar um processo e remover uma tarefa agendada.
Ação de resposta em direto Ações e tomadas num dispositivo com Microsoft Defender para Endpoint APIs. Os exemplos de ações incluem isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro.

Permissões necessárias para tarefas do Centro de ação

Para efetuar tarefas, como aprovar ou rejeitar ações pendentes no Centro de Ação, tem de ter permissões atribuídas conforme indicado na seguinte tabela:

Ação de remediação Funções e permissões necessárias
Microsoft Defender para Endpoint de remediação (dispositivos) Função de Administrador de Segurança atribuída no Azure Active Directory (Azure AD) (https://portal.azure.com) ou na centro de administração do Microsoft 365 (https://admin.microsoft.com)
--- ou ---
Função de ações de remediação ativas atribuídas Microsoft Defender para Endpoint

Para saber mais, consulte os seguintes recursos:
- Funções incorporadas do Azure AD
- Criar e gerir funções para controlo de acesso baseado em funções (Microsoft Defender para Endpoint)
Microsoft Defender para Office 365 ações de remediação (Office e-mail) Função de Administrador de Segurança atribuída no Azure AD (https://portal.azure.com) ou na centro de administração do Microsoft 365 (https://admin.microsoft.com)
--- e ---
Função de Pesquisa e Remoção atribuída no Centro de Conformidade & Segurança (https://protection.office.com)

IMPORTANTE: se tiver a função de Administrador de Segurança atribuída apenas no Centro de Conformidade do Office 365 Security & (https://protection.office.com), não poderá aceder às funcionalidades do Centro de ação ou da Microsoft 365 Defender. Tem de ter a função de Administrador de Segurança atribuída no Azure AD ou na centro de administração do Microsoft 365.

Para saber mais, consulte os seguintes recursos:
- Funções incorporadas do Azure AD
- Permissões no Centro de Conformidade & Conformidade

Dica

Os utilizadores com a função de Administrador Global atribuída no Azure AD podem aprovar ou rejeitar qualquer ação pendente no Centro de Ação. No entanto, como prática recomendada, a sua organização deve limitar o número de pessoas com a função de Administrador Global atribuída. Recomendamos que utilize as funções Administrador de Segurança, Ações de remediação ativas e as funções de Pesquisa e Remoção listadas na tabela anterior para permissões do Centro de ação.

Passo seguinte