Use a central de ações
Centro de ação
O centro de ação unificado do portal do Microsoft Defender lista ações de correção pendentes e concluídas para seus dispositivos, conteúdo de email e colaboração e identidades em um único local.
A Central de Ações unificada reúne ações de correção no Defender for Endpoint e no Defender for Office 365. Ele define uma linguagem comum para todas as ações de remediação e fornece uma experiência de investigação unificada. Sua equipe de operações de segurança tem uma experiência de "painel único" para visualizar e gerenciar ações de correção.
A Central de Ações consiste em itens pendentes e históricos:
Pendente exibe uma lista de investigações em andamento que exigem atenção. São apresentadas ações recomendadas que a sua equipa de operações de segurança pode aprovar ou rejeitar. A guia Pendente aparecerá somente se houver ações pendentes a serem aprovadas (ou rejeitadas).
Histórico como um log de auditoria para todos os seguintes itens:
Medidas de reparação tomadas na sequência de uma investigação automatizada
Ações de correção que foram aprovadas pela sua equipe de operações de segurança (algumas ações, como enviar um arquivo para quarentena, podem ser desfeitas)
Comandos que foram executados e ações de correção que foram aplicadas em sessões de resposta ao vivo (algumas ações podem ser desfeitas)
Ações de correção que foram aplicadas pelo Microsoft Defender Antivirus (algumas ações podem ser desfeitas)
Selecione Investigações automatizadas e, em seguida, Central de ações.
Quando uma investigação automatizada é executada, um veredicto é gerado para cada prova investigada. Os veredictos podem ser maliciosos, suspeitos ou sem ameaças encontradas, dependendo de:
Tipo de ameaça
Veredicto resultante
Como os grupos de dispositivos da sua organização são configurados
As ações de correção podem ocorrer automaticamente ou somente mediante aprovação pela equipe de operações de segurança da sua organização.
Rever ações pendentes
Para aprovar ou rejeitar uma ação pendente:
Selecione qualquer item na guia Pendente.
Selecione uma investigação de qualquer uma das categorias para abrir um painel onde você pode aprovar ou rejeitar ações de correção.
Outros detalhes, como detalhes de arquivo ou serviço, detalhes da investigação e detalhes do alerta são exibidos. No painel, você pode selecionar o link Abrir página de investigação para ver os detalhes da investigação. Você também pode selecionar várias investigações para aprovar ou rejeitar ações em várias investigações.
Rever ações concluídas
Para rever as ações concluídas:
Selecione a guia Histórico (Se necessário, expanda o período de tempo para exibir mais dados.)
Selecione um item para ver mais detalhes sobre essa ação de correção.
Desfazer ações concluídas
Determinou que um dispositivo ou um ficheiro não é uma ameaça. Você pode desfazer ações de correção que foram executadas, independentemente de essas ações terem sido tomadas automaticamente ou manualmente. Você pode desfazer qualquer uma das seguintes ações:
Source
Investigação automatizada
Antivírus do Microsoft Defender
Ações de resposta manual
Ações apoiadas
Isolar o dispositivo
Restringir a execução de código
Colocar um ficheiro em quarentena
Remover uma chave de registo
Parar um serviço
Desativar um driver
Remover uma tarefa agendada
Remover um ficheiro da quarentena em vários dispositivos
Para remover um ficheiro da quarentena em vários dispositivos:
Na guia Histórico, selecione um arquivo que tenha o tipo de ação Arquivo de quarentena.
No painel do lado direito do ecrã, selecione Aplicar a X mais instâncias deste ficheiro e, em seguida, selecione Desfazer.
Visualizando detalhes da fonte de ação
A Central de ações inclui uma coluna Fonte da ação que informa de onde cada ação veio. A tabela a seguir descreve os possíveis valores de origem da ação:
Valor da fonte da ação | Description |
---|---|
Ação manual do dispositivo | Uma ação manual executada em um dispositivo. Os exemplos incluem isolamento de dispositivos ou quarentena de ficheiros. |
Ação manual de e-mail | Uma ação manual executada no e-mail. Um exemplo inclui a exclusão suave de mensagens de e-mail ou a correção de uma mensagem de e-mail. |
Ação automatizada do dispositivo | Uma ação automatizada executada em uma entidade, como um arquivo ou processo. Exemplos de ações automatizadas incluem o envio de um arquivo para quarentena, a interrupção de um processo e a remoção de uma chave do Registro. |
Ação de e-mail automatizada | Uma ação automatizada executada no conteúdo do e-mail, como uma mensagem de e-mail, um anexo ou um URL. Exemplos de ações automatizadas incluem a exclusão suave de mensagens de e-mail, o bloqueio de URLs e a desativação do encaminhamento de e-mails externos. |
Ação de caça avançada | Ações realizadas em dispositivos ou e-mail com caça avançada. |
Ação do Explorer | Ações executadas no conteúdo de e-mail com o Explorer. |
Ação manual de resposta ao vivo | Ações executadas em um dispositivo com resposta ao vivo. Os exemplos incluem a exclusão de um arquivo, a interrupção de um processo e a remoção de uma tarefa agendada. |
Ação de resposta em tempo real | Ações executadas em um dispositivo com APIs do Microsoft Defender for Endpoint. Exemplos de ações incluem isolar um dispositivo, executar uma verificação antivírus e obter informações sobre um arquivo. |
Submissões
Em organizações do Microsoft 365 com caixas de correio do Exchange Online, os administradores podem usar o portal de Envios no portal do Microsoft Defender para enviar mensagens de email, URLs e anexos à Microsoft para verificação.
Ao enviar uma mensagem de e-mail para análise, você receberá:
- Verificação de autenticação de e-mail: detalhes sobre se a autenticação de e-mail passou ou falhou quando foi entregue.
- Acessos à política: informações sobre quaisquer políticas que possam ter permitido ou bloqueado o e-mail recebido no seu inquilino, substituindo os veredictos do nosso filtro de serviço.
- Reputação/detonação de carga útil: exame atualizado de quaisquer URLs e anexos na mensagem.
- Análise de motoniveladores: Revisão feita por avaliadores humanos para confirmar se as mensagens são maliciosas ou não.
Importante
A reputação/detonação da carga útil e a análise da motoniveladora não são feitas em todos os inquilinos. As informações são impedidas de sair da organização quando os dados não devem sair do limite do locatário para fins de conformidade.
O que precisa de saber antes de começar?
Para enviar mensagens e arquivos para a Microsoft, você precisa ter uma das seguintes funções:
Administrador de Segurança ou Leitor de Segurança no portal Microsoft Defender.
Os administradores podem enviar mensagens de até 30 dias se elas ainda estiverem disponíveis na caixa de correio e não forem limpas pelo usuário ou outro administrador.
Os envios de administrador são limitados nas seguintes taxas:
Máximo de submissões em qualquer período de 15 minutos: 150 submissões
Mesmas submissões num período de 24 horas: Três submissões
Mesmas submissões num período de 15 minutos: Uma submissão
Denuncie conteúdo suspeito à Microsoft
Na página Envios, verifique se a guia E-mails, anexos de e-mail ou URLs está selecionada com base no tipo de conteúdo que você deseja denunciar. E, em seguida, selecione o ícone Enviar para a Microsoft para análise. Envie à Microsoft para análise.
Use o submenu Enviar à Microsoft para análise que aparece para enviar o respetivo tipo de conteúdo (email, URL ou anexo de email).
Nota
Os envios de arquivos e URLs não estão disponíveis nas nuvens que não permitem que os dados saiam do ambiente. A capacidade de selecionar Arquivo ou URL ficará acinzentada.
Notificar os utilizadores a partir do portal
Na página Envios, selecione a guia Mensagens relatadas pelo usuário e selecione a mensagem que deseja marcar e notificar.
Selecione a lista suspensa Marcar como e notificar e, em seguida, selecione Nenhuma ameaça encontrada > Phishing ou Lixo Eletrônico.
A mensagem comunicada será marcada como falso positivo ou falso negativo. Uma notificação por e-mail é enviada automaticamente de dentro do portal para o usuário que denunciou a mensagem.
Enviar um e-mail questionável para a Microsoft
Na caixa Selecione o tipo de envio, verifique se Email está selecionado na lista suspensa.
Na seção Adicionar o ID da mensagem de rede ou carregar o arquivo de email, use uma das seguintes opções:
Adicionar o ID da mensagem de rede de email: o ID é um valor GUID disponível no cabeçalho X-MS-Exchange-Organization-Network-Message-Id na mensagem ou no cabeçalho X-MS-Office365-Filtering-Correlation-Id em mensagens em quarentena.
Carregue o arquivo de e-mail (.msg ou .eml): Selecione Procurar arquivos. Na caixa de diálogo que se abre, localize e selecione o ficheiro .eml ou .msg e, em seguida, selecione Abrir.
Na caixa Escolha um destinatário que teve um problema, especifique o destinatário contra o qual você gostaria de executar uma verificação de política. A verificação da política determinará se o e-mail ignorou a verificação devido às políticas do usuário ou da organização.
Na seção Selecione um motivo para enviar à Microsoft, selecione uma das seguintes opções:
- Não deveria ter sido bloqueado (Falso positivo)
- Deveria ter sido bloqueado (Falso negativo): Na seção "O e-mail deveria ter sido categorizado como" que aparece, selecione um dos seguintes valores (se você não tiver certeza, use seu melhor julgamento): Phish, Malware ou Spam
Quando terminar, selecione Enviar.
Enviar um URL suspeito para a Microsoft
Na caixa Selecione o tipo de envio, selecione URL na lista suspensa.
Na caixa URL apresentada, introduza o URL completo. Por exemplo,
https://www.fabrikam.com/marketing.html
.Na seção Selecione um motivo para enviar à Microsoft, selecione uma das seguintes opções:
- Não deveria ter sido bloqueado (Falso positivo)
- Deveria ter sido bloqueado (Falso negativo): Na seção "Este URL deveria ter sido categorizado como" que aparece, selecione um dos seguintes valores (se não tiver certeza, use seu melhor julgamento): Phish, Malware
Quando terminar, selecione Enviar.
Enviar um anexo de email suspeito para a Microsoft
Na caixa Selecione o tipo de envio, selecione Anexo de e-mail na lista suspensa.
Na seção Arquivo exibida, selecione Procurar arquivos. Na caixa de diálogo que se abre, localize e selecione o ficheiro e, em seguida, selecione Abrir.
Na seção Selecione um motivo para enviar à Microsoft, selecione uma das seguintes opções:
- Não deveria ter sido bloqueado (Falso positivo)
- Deveria ter sido bloqueado (Falso negativo): Na seção "Este arquivo deveria ter sido categorizado como" que aparece, selecione um dos seguintes valores (se você não tiver certeza, use seu melhor julgamento): Phish, Malware
Quando terminar, selecione Enviar.
Nota
Se a filtragem de malware tiver substituído os anexos de mensagem pelo arquivo Texto de Alerta de Malware.txt, você precisará enviar a mensagem original da quarentena que contém os anexos originais. Para obter mais informações sobre quarentena e como liberar mensagens com falsos positivos de malware, consulte Gerenciar mensagens e arquivos em quarentena como administrador.
Ver envios de administradores para a Microsoft
Na página Envios, verifique se a guia E-mails, URL ou Anexo de e-mail está selecionada.
Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para mostrar um máximo de sete colunas. Os valores padrão são marcados com um asterisco (*):
- Nome da submissão*
- Remetente*
- Destinatário
- Data de submissão*
- Motivo da submissão*
- Estado*
- Resultado*
- Veredicto do filtro
- Motivo da entrega/bloqueio
- ID de submissão
- ID da mensagem de rede/ID do objeto
- Direção
- IP do remetente
- Nível de conformidade em massa (BCL)
- Destino
- Ação política
- Enviado por
- Simulação Phish
- Etiquetas*
- Permitir
Quando terminar, selecione Aplicar.
Detalhes do resultado do envio do administrador
As mensagens enviadas em envios de administrador são revisadas e os resultados mostrados no submenu de detalhes de envios:
- Se houve uma falha na autenticação de e-mail do remetente no momento da entrega.
- Informações sobre quaisquer acertos de política que possam ter afetado ou substituído o veredicto de uma mensagem.
- A detonação atual resulta para ver se os URLs ou arquivos contidos na mensagem são maliciosos ou não.
- Feedback dos classificadores.
Se for encontrada uma substituição, o resultado deverá estar disponível em vários minutos. Se não houver um problema na autenticação de e-mail ou se a entrega não for afetada por uma substituição, o feedback dos avaliadores pode levar até um dia.
Exibir envios de usuários para a Microsoft
Se você implantou o suplemento Mensagem de Relatório, o suplemento Denunciar Phishing ou se as pessoas usam os relatórios internos no Outlook na Web, você pode ver o que os usuários estão relatando na guia Mensagem relatada pelo usuário.
Na página Envios, selecione a guia Mensagens relatadas pelo usuário.
Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para mostrar as opções. Os valores padrão são marcados com um asterisco (*):
- Assunto do e-mail*
- Relatado por*
- Data de comunicação*
- Remetente*
- Motivo relatado*
- Resultado*
- ID reportado da mensagem
- ID da mensagem de rede
- IP do remetente
- Comunicado desde a experiência
- Simulação Phish
- Convertido em envio de administrador
- Etiquetas*
- Marcado como*
- Marcado por
- Data marcada
Quando terminar, selecione Aplicar.
Nota
Se as organizações estiverem configuradas para enviar mensagens relatadas pelo usuário somente para a caixa de correio personalizada, as mensagens relatadas aparecerão nas mensagens relatadas pelo usuário, mas seus resultados estarão sempre vazios (pois não teriam sido verificados novamente).
Desfazer envios de usuários
Depois que um usuário envia um e-mail suspeito para a caixa de correio personalizada, o usuário e o administrador não têm a opção de desfazer o envio. Se o usuário quiser recuperar o e-mail, ele estará disponível para recuperação nas pastas Itens Excluídos ou Lixo Eletrônico.
Convertendo mensagens relatadas pelo usuário da caixa de correio personalizada em um envio de administrador
Se você configurou a caixa de correio personalizada para intercetar mensagens relatadas pelo usuário sem enviar as mensagens para a Microsoft, poderá localizar e enviar mensagens específicas para a Microsoft para análise.
Na guia Mensagens relatadas pelo usuário, selecione uma mensagem na lista, selecione Enviar à Microsoft para análise e selecione um dos seguintes valores na lista suspensa:
- Relatório limpo
- Denunciar phishing
- Denunciar malware
- Denunciar spam
- Investigação do gatilho