Ações de remediação Microsoft 365 Defender

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e pilotar a Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

Durante e após uma investigação automatizada no Microsoft 365 Defender, as ações de remediação são identificadas para itens maliciosos ou suspeitos. São tomadas alguns tipos de ações de remediação nos dispositivos, também conhecidas como pontos finais. Outras ações de remediação são tomadas em identidades, contas e conteúdos de e-mail. As investigações automatizadas são concluídas após a remediação ser tomada, aprovada ou rejeitada.

Importante

A efetivação de ações de remediação é efetivada automaticamente ou apenas mediante aprovação depende de determinadas definições, como níveis de automatização. Para saber mais, consulte os seguintes artigos:

A seguinte tabela resume as ações de remediação atualmente suportadas em Microsoft 365 Defender.

Ações de remediação de dispositivos (pontos finais) Ações de remediação de e-mail Utilizadores (contas)
- Recolher pacote de investigação
- Isolar dispositivo (esta ação pode ser desfeita)
- Máquina offboard
- Execução do código de lançamento
- Liberte da quarentena
- Exemplo do pedido
- Restringir a execução de código (esta ação pode ser desfasada)
- Executar análise de antivírus
- Parar e quarentena
- Bloquear URL (hora de clique)
- Eliminar de forma remova mensagens de e-mail ou clusters
- E-mail em quarentena
- Pôr um anexo de e-mail em quarentena
- Deslige o re encaminhamento de e-mail externo
- Desativar utilizador
- Repor palavra-passe de utilizador
- Confirmar utilizador como comprometido

As ações de remediação, quer sejam pendentes ou já concluídas, podem ser vistas no Centro de ação.

Ações de remediação que seguem investigações automáticas

Quando uma investigação automatizada é concluída, é atingido um veredito para todas as provas envolvidas. Dependendo do veredito, as ações de remediação são identificadas. Em alguns casos, as ações de remediação são tomadas automaticamente; noutros casos, as ações de remediação aguardam aprovação. Tudo depende da forma como a investigação e resposta automáticas são configuradas.

A tabela seguinte lista possíveis vereditos e resultados:

Veredito Entidades afetadas Resultados
Malicioso Dispositivos (pontos finais) As ações de remediação são tomadas automaticamente (partindo do princípio que os grupos de dispositivos da sua organização estão definidos para Completo - remediar ameaças automaticamente)
Comprometido Utilizadores As ações de remediação são tomadas automaticamente
Malicioso Conteúdo de e-mail (URLs ou anexos) As ações de remediação recomendadas estão pendentes e a aprovação está pendente
Suspeito Dispositivos ou conteúdo de e-mail As ações de remediação recomendadas estão pendentes e a aprovação está pendente
Não foram encontradas ameaças Dispositivos ou conteúdo de e-mail Não são necessárias ações de remediação

Ações de remediação que são e tomadas manualmente

Para além de ações de remediação que seguem investigações automatizadas, a sua equipa de operações de segurança pode tomar algumas ações de remediação manualmente. Estas incluem o seguinte:

  • Ação manual do dispositivo, como isolamento de dispositivo ou quarentena de ficheiros
  • Ação de e-mail manual, tal como eliminar mensagens de e-mail de forma removada
  • Ação manual do utilizador, como desativar utilizador ou repor palavra-passe de utilizador
  • Ação avançada de procura em dispositivos, utilizadores ou e-mail
  • Ação do explorador em conteúdos de e-mail, como mover e-mail para lixo, eliminar e-mails de forma remova ou eliminar e-mails com dificuldades
  • Ação de resposta em direto manual, como eliminar um ficheiro, parar um processo e remover uma tarefa agendada
  • Ação de resposta em direto Microsoft Defender para Endpoint APIs, como isolar um dispositivo, executar uma análise antivírus e obter informações sobre um ficheiro

Passos seguintes