Investigue o dispositivo

  • 7 minutos

Investigue os detalhes de um alerta gerado em um dispositivo específico para identificar outros comportamentos ou eventos que possam estar relacionados ao alerta ou ao escopo potencial da violação.

Você pode selecionar os dispositivos afetados sempre que vê-los no portal para abrir um relatório detalhado sobre esse dispositivo. Os dispositivos afetados são identificados nas seguintes áreas:

  • Lista de dispositivos

  • Fila de alertas

  • Painel de operações de segurança

  • Qualquer alerta individual

  • Visualização de detalhes de qualquer arquivo individual

  • Qualquer endereço IP ou visualização de detalhes do domínio

Ao investigar um dispositivo específico, você verá:

  • Detalhes do dispositivo

  • Ações de resposta

  • Separadores - visão geral, alertas, cronologia, recomendações de segurança, inventário de software, vulnerabilidades descobertas, KBs em falta (IDs da Base de Dados de Conhecimento)

  • Cartões (alertas ativos, utilizadores com sessão iniciada, avaliação de segurança)

Detalhes do dispositivo

A seção de detalhes do dispositivo fornece informações como o domínio, o sistema operacional e o estado de integridade do dispositivo. Se houver um pacote de investigação disponível no dispositivo, você verá um link que permite baixar o pacote.

Ações de resposta

As ações de resposta são executadas na parte superior de uma página específica do dispositivo e incluem:

  • Gerir etiquetas

  • Isolar o dispositivo

  • Restringir a execução do aplicativo

  • Executar verificação antivírus

  • Coletar pacote de investigação

  • Iniciar sessão de resposta ao vivo

  • Iniciar investigação automatizada

  • Consulte um especialista em ameaças

  • Centro de ação

Você pode executar ações de resposta na Central de ações, em uma página de dispositivo específica ou em uma página de arquivo específica.

Separadores

Descrição geral

A guia Visão geral exibe os cartões para alertas ativos, usuários conectados e avaliação de segurança.

Alertas ativos

Pode ver o número total de alertas ativos dos últimos 30 dias na sua rede a partir do mosaico. Os alertas são agrupados em Novo e Em andamento. Cada grupo é ainda subcategorizado em seus níveis de gravidade de alerta correspondentes. Selecione o número de alertas dentro de cada toque de alerta para ver uma exibição ordenada da fila dessa categoria (Novo ou Em andamento).

Utilizadores com sessão iniciada

O cartão de utilizadores com sessão iniciada mostra quantos utilizadores iniciaram sessão nos últimos 30 dias e os utilizadores mais e menos frequentes. Selecionar o link "Ver todos os usuários" abre o painel de detalhes, que exibe o tipo de usuário, o tipo de login e quando o usuário foi visto pela primeira e pela última vez.

Avaliações de segurança

O cartão de avaliações de segurança mostra o nível de exposição geral, as recomendações de segurança, o software instalado e as vulnerabilidades descobertas. O nível de exposição de um dispositivo é determinado pelo impacto cumulativo das suas recomendações de segurança pendentes.

Alertas

A guia Alertas fornece uma lista de alertas associados ao dispositivo. Esta lista é uma versão filtrada da fila de Alertas e mostra uma breve descrição do alerta, gravidade (alta, média, baixa, informativa), status na fila (novo, em andamento, resolvido), classificação (não definido, alerta falso, alerta verdadeiro), estado da investigação, categoria de alerta, quem está endereçando o alerta e última atividade. Você também pode filtrar os alertas.

Linha Cronológica

A guia Linha do tempo fornece uma visão cronológica dos eventos e alertas associados que foram observados no dispositivo. Isso pode ajudá-lo a correlacionar quaisquer eventos, arquivos e endereços IP relacionados ao dispositivo.

A linha do tempo também permite detalhar seletivamente os eventos que ocorreram dentro de um determinado período de tempo. Você pode exibir a sequência temporal de eventos que ocorreram em um dispositivo durante um período de tempo selecionado. Para controlar ainda mais sua exibição, você pode filtrar por grupos de eventos ou personalizar as colunas.

Algumas das funcionalidades incluem:

  • Pesquisar eventos específicos

    • Use a barra de pesquisa para procurar eventos específicos da linha do tempo.

  • Filtrar eventos de uma data específica

    • Selecione o ícone de calendário no canto superior esquerdo da tabela para exibir eventos no último dia, semana, 30 dias ou um intervalo personalizado. Por padrão, a linha do tempo do dispositivo é definida para exibir os eventos dos últimos 30 dias.

    • Use a linha do tempo para saltar para um momento específico no tempo, destacando a seção. As setas na linha do tempo identificam investigações automatizadas

  • Exportar eventos detalhados da linha do tempo do dispositivo

    • Exporte a linha do tempo do dispositivo para a data atual ou um intervalo de datas especificado até sete dias.

Mais detalhes sobre determinados eventos são fornecidos e variam dependendo do tipo de evento, por exemplo:

  • Contido pelo Application Guard - o evento do navegador da Web foi restringido por um contêiner isolado

  • Ameaça ativa detetada - a deteção de ameaça ocorreu enquanto a ameaça estava em execução

  • Correção malsucedida - uma tentativa de remediar a ameaça detetada foi invocada, mas falhou

  • Correção bem-sucedida - a ameaça detetada foi interrompida e limpa

  • Aviso ignorado pelo usuário - o aviso do Windows Defender SmartScreen foi descartado e substituído por um usuário

  • Script suspeito detetado - um script potencialmente malicioso foi encontrado em execução

  • A categoria de alerta - se o evento levou à geração de um alerta, a categoria de alerta ("Movimento Lateral", por exemplo) é fornecida

Sinalizar um evento

Ao navegar na linha do tempo do dispositivo, você pode pesquisar e filtrar eventos específicos. Você pode definir sinalizadores de eventos da seguinte forma:

  • Destacar os eventos mais importantes

  • Marcação de eventos que exigem um mergulho profundo

  • Construindo um cronograma de violação limpo

Encontre o evento que você deseja sinalizar. Selecione o ícone de bandeira na coluna Bandeira.

Ver eventos sinalizados

Na seção Filtros da linha do tempo, habilite Somente eventos sinalizados. Selecione Aplicar. Somente eventos sinalizados são exibidos. Você pode aplicar mais filtros clicando na barra de tempo. Isso mostrará apenas eventos anteriores ao evento sinalizado.

Detalhes do evento

Selecione um evento para ver detalhes relevantes sobre esse evento. Um painel é exibido para mostrar informações gerais do evento. Quando aplicável e os dados estão disponíveis, um gráfico mostrando entidades relacionadas e suas relações também são mostrados.

Para inspecionar ainda mais o evento e eventos relacionados, você pode executar rapidamente uma consulta de caça avançada selecionando Procurar eventos relacionados. A consulta retornará o evento selecionado e a lista de outros eventos que ocorreram ao mesmo tempo no mesmo ponto de extremidade.

Recomendações de segurança

As recomendações de segurança são geradas a partir do recurso de Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender for Endpoint. Selecionar uma recomendação mostrará um painel onde você pode visualizar detalhes relevantes, como a descrição da recomendação e os riscos potenciais associados à não sua adoção.

Inventário de software

O separador Inventário de software permite-lhe visualizar o software no dispositivo, juntamente com quaisquer pontos fracos ou ameaças. Ao selecionar o nome do software, você será direcionado para a página de detalhes do software, onde poderá visualizar recomendações de segurança, vulnerabilidades descobertas, dispositivos instalados e distribuição de versão.

Vulnerabilidades descobertas

A guia Vulnerabilidades descobertas mostra o nome, a gravidade e as informações sobre ameaças das vulnerabilidades descobertas no dispositivo. A seleção de vulnerabilidades específicas mostrará uma descrição e detalhes.

Bases de conhecimento em falta

A guia KBs ausentes lista as atualizações de segurança ausentes para o dispositivo.