Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Responda rapidamente aos ataques detetados ao isolar dispositivos ou ao recolher um pacote de investigação. Depois de executar ações em dispositivos, você pode verificar os detalhes da atividade na Central de Ações.
As ações de resposta são executadas na parte superior de uma página de dispositivo específica e incluem:
- Gerenciar tags
- Iniciar investigação automatizada
- Iniciar sessão de resposta em direto
- Coletar pacote de investigação
- Executar verificação de antivírus
- Restringir a execução de aplicativo
- Isolar dispositivo
- Conter o dispositivo
- Consultar um especialista em ameaças
- Central de Ações
Observação
O Plano 1 do Defender para Endpoint inclui apenas as seguintes ações de resposta manual:
- Executar verificação de antivírus
- Isolar dispositivo
- Parar e colocar um ficheiro em quarentena
- Adicione um indicador para bloquear ou permitir um arquivo.
Microsoft Defender para Empresas não inclui a ação "Parar e colocar um ficheiro em quarentena" neste momento.
A sua subscrição tem de incluir o Defender para Endpoint Plano 2 para ter todas as ações de resposta descritas neste artigo.
Você pode encontrar páginas dos dispositivos em qualquer uma das seguintes visualizações:
- Fila de alertas: selecione o nome do dispositivo ao lado do ícone do dispositivo na fila de alertas.
- Lista de dispositivos: selecione o cabeçalho do nome do dispositivo na lista de dispositivos.
- Caixa de pesquisa: selecione Dispositivo no menu suspenso e insira o nome do dispositivo.
Importante
Para obter informações sobre disponibilidade e suporte para cada ação de resposta, consulte os requisitos mínimos do sistema operacional com suporte listados nos requisitos mínimos para Microsoft Defender para Ponto de Extremidade.
Limitar ações de resposta de alto impacto em recursos de alto valor
Algumas ações de resposta de alto impacto podem ser restringidas em recursos de alto valor para evitar potenciais interrupções comerciais. Para obter mais informações, veja Restringir ações de resposta em recursos de valor elevado.
Gerenciar tags
Adicione ou faça a gestão de etiquetas para criar uma afiliação de grupo lógico. As marcas de dispositivo oferecem suporte ao mapeamento correto da rede, permitindo anexar marcas diferentes para capturar contexto e habilitar a criação de lista dinâmica como parte de um incidente.
Para obter mais informações sobre a identificação de dispositivos, consulte Criar e gerir etiquetas de dispositivos.
Iniciar investigação automatizada
Pode iniciar uma nova investigação automatizada para fins gerais no dispositivo, se necessário. Enquanto uma investigação está em execução, qualquer outro alerta gerado a partir do dispositivo é adicionado a uma investigação automatizada em curso até que essa investigação seja concluída. Além disso, se a mesma ameaça for vista noutros dispositivos, esses dispositivos serão adicionados à investigação.
Para obter mais informações sobre investigações automatizadas, veja Descrição geral das Investigações automatizadas.
Iniciar sessão de resposta em direto
A resposta ao vivo é um recurso que permite acesso instantâneo a um dispositivo por meio de uma conexão de shell remota. Isto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real.
A resposta em direto foi concebida para melhorar as investigações ao permitir-lhe recolher dados forenses, executar scripts, enviar entidades suspeitas para análise, remediar ameaças e procurar proativamente ameaças emergentes.
Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto.
Recolher o pacote de investigação dos dispositivos
Como parte do processo de investigação ou de resposta, você pode coletar um pacote de investigação de um dispositivo. Ao recolher o pacote de investigação, pode identificar o estado atual do dispositivo e compreender melhor as ferramentas e técnicas utilizadas pelo atacante.
Para transferir o pacote (pasta zipada) e investigar os eventos ocorridos num dispositivo, siga estes passos:
Selecione Recolher pacote de investigação na linha de ações de resposta na parte superior da página do dispositivo.
Especifique na caixa de texto o motivo pelo qual pretende efetuar esta ação. Selecione Confirmar.
O arquivo ZIP é baixado.
Em alternativa, utilize este procedimento alternativo:
Selecione Recolher Pacote de Investigação na secção de ações de resposta da página do dispositivo.
Adicione comentários e, em seguida, selecione Confirmar.
Selecione Centro de ação na secção de ações de resposta da página do dispositivo.
Selecione Pacote de coleta disponível para baixar o pacote de coleta.
Observação
A coleta do pacote de investigação poderá falhar se o dispositivo de destino tiver um nível de bateria baixo ou estiver em uma conexão limitada.
Conteúdo do pacote de investigação para dispositivos Windows
Para dispositivos Windows, o pacote contém as pastas descritas na tabela seguinte:
| Pasta | Descrição |
|---|---|
| Autoruns | Contém um conjunto de ficheiros que representam o conteúdo do registo de um ponto de entrada de início automático (ASEP) conhecido para ajudar a identificar a persistência do atacante no dispositivo. Se a chave de registo não for encontrada, o ficheiro contém a seguinte mensagem: "ERRO: O sistema não conseguiu localizar a chave ou o valor do registo especificado.". |
| Programas instalados | Este ficheiro .CSV contém a lista de programas instalados que podem ajudar a identificar o que está atualmente instalado no dispositivo. Para obter mais informações, consulte Win32_Product classe. |
| Conexões de rede | Esta pasta contém um conjunto de pontos de dados relacionados com as informações de conectividade que podem ajudar a identificar a conectividade a URLs suspeitos, a infraestrutura de comando e controlo (C&C) do atacante, qualquer movimento lateral ou ligações remotas. - ActiveNetConnections.txt: apresenta as estatísticas do protocolo e as ligações de rede TCP/IP atuais. Permite-lhe procurar conectividade suspeita efetuada por um processo.- Arp.txt: apresenta as tabelas de cache do protocolo de resolução de endereços (ARP) atuais para todas as interfaces. A cache do ARP pode revelar outros anfitriões numa rede que foram comprometidos ou sistemas suspeitos na rede que podem ser utilizados para executar um ataque interno.- DnsCache.txt: exibe o conteúdo da cache do resolvedor do cliente DNS, que inclui tanto as entradas pré-carregadas do arquivo Hosts local quanto quaisquer registros de recursos obtidos recentemente para consultas de nomes resolvidas pelo computador. Isto pode ajudar a identificar ligações suspeitas.- IpConfig.txt: apresenta a configuração completa de TCP/IP para todos os adaptadores. Os adaptadores podem representar interfaces físicas, como adaptadores de rede instalados, ou interfaces lógicas, como conexões de acesso discado.- FirewallExecutionLog.txt e pfirewall.logO pfirewall.log ficheiro tem de existir em %windir%\system32\logfiles\firewall\pfirewall.log. Está incluído no pacote de investigação. Para obter mais informações sobre como criar o ficheiro de registo da firewall, veja Configurar a Firewall do Windows com o Registo de Segurança Avançado. |
| Pré-carregamento de arquivos | Os ficheiros Windows Prefetch foram concebidos para acelerar o processo de arranque da aplicação. Ele pode ser usado para rastrear todos os arquivos usados recentemente no sistema e encontrar vestígios de aplicativos que podem ter sido excluídos, mas que ainda podem ser encontrados na lista de arquivos de prefetch. - Prefetch folder: contém uma cópia dos arquivos de Prefetch de %SystemRoot%\Prefetch. Recomendamos baixar um visualizador de arquivos prefetch para visualizar os arquivos prefetch.- PrefetchFilesList.txt: contém a lista de todos os ficheiros copiados que podem ser utilizados para controlar se ocorreram falhas de cópia na pasta prefetch. |
| Processos | Contém um ficheiro .CSV que lista os processos atualmente em execução no dispositivo. Isto pode ser útil ao identificar um processo suspeito e o respetivo estado. |
| Tarefas agendadas | Contém um ficheiro .CSV que lista as tarefas agendadas, que podem ser utilizadas para identificar rotinas executadas automaticamente num dispositivo escolhido para procurar código suspeito que foi definido para ser executado automaticamente. |
| Registo de eventos de segurança | Contém o registo de eventos de segurança, que contém registos de atividade de início de sessão ou fim de sessão, ou outros eventos relacionados com segurança especificados pela política de auditoria do sistema. Abra o ficheiro de registo de eventos com o Visualizador de eventos. |
| Serviços | Contém um ficheiro .CSV que lista os serviços e os respetivos estados. |
| sessões do Server Message Block (SMB) do Windows | Lista o acesso compartilhado a arquivos, impressoras e portas seriais e as comunicações diversas entre nós de uma rede. Isto pode ajudar a identificar exfiltração de dados ou movimento lateral. Contém ficheiros para SMBInboundSessions e SMBOutboundSession. Se não existirem sessões (entrada ou saída), receberá um ficheiro de texto que indica que não foram encontradas sessões SMB. |
| Informações do Sistema | Contém um SystemInformation.txt ficheiro que lista informações do sistema, como a versão do SO e as placas de rede. |
| Diretórios Temporários | Contém um conjunto de ficheiros de texto que lista os ficheiros localizados em %Temp% para cada utilizador no sistema. Isto pode ajudar a controlar ficheiros suspeitos que um atacante possa ter deixado cair no sistema. Se o ficheiro contiver a seguinte mensagem: "O sistema não consegue localizar o caminho especificado", significa que não existe nenhum diretório temporário para este utilizador e poderá dever-se ao facto de o utilizador não ter sessão iniciada no sistema. |
| Usuários e grupos | Fornece uma lista de ficheiros que cada um representa um grupo e os respetivos membros. |
| WdSupportLogs | Fornece MpCmdRunLog.txt e MPSupportFiles.cab. Esta pasta só é criada no Windows 10, versão 1709 ou posterior com o update rollup de fevereiro de 2020 ou versões mais recentes instaladas: - Win10 1709 (RS3) Build 16299.1717: KB4537816 - Win10 1803 (RS4) Compilação 17134.1345: KB4537795 - Win10 1809 (RS5) Compilação 17763.1075: KB4537818 - Win10 1903/1909 (19h1/19h2) Compilações 18362.693 e 18363.693: KB4535996 |
| CollectionSummaryReport.xls | Este ficheiro é um resumo da recolha de pacotes de investigação, contém a lista de pontos de dados, o comando utilizado para extrair os dados, a execução status e o código de erro se ocorrer uma falha. Pode utilizar este relatório para controlar se o pacote inclui todos os dados esperados e identificar se ocorreram erros. |
Conteúdo do pacote de investigação para dispositivos Mac e Linux
A tabela seguinte lista os conteúdos dos pacotes de coleção para Mac e Linux dispositivos:
| Objeto | macOS | Linux |
|---|---|---|
| Aplicativos | Uma lista de todas as aplicações instaladas | Não aplicável |
| Volume do disco | - Quantidade de espaço livre - Lista de todos os volumes de disco montados - Lista de todas as partições |
- Quantidade de espaço livre - Lista de todos os volumes de disco montados - Lista de todas as partições |
| Arquivo | Uma lista de todos os ficheiros abertos com os processos correspondentes que utilizam estes ficheiros | Uma lista de todos os ficheiros abertos com os processos correspondentes que utilizam estes ficheiros |
| Histórico | Histórico da shell | Não aplicável |
| Módulos de kernel | Todos os módulos carregados | Não aplicável |
| Conexões de rede | - Ligações ativas - Ligações de escuta ativas - Tabela ARP - Regras de firewall - Configuração da interface - Definições de proxy - Definições de VPN |
- Ligações ativas - Ligações de escuta ativas - Tabela ARP - Regras de firewall - Lista de IP - Definições de proxy |
| Processos | Uma lista de todos os processos em execução | Uma lista de todos os processos em execução |
| Serviços e tarefas agendadas | - Certificados - Perfis de configuração - Informações de hardware |
- Detalhes da CPU - Informações de hardware - Informações do sistema operativo |
| Informações de segurança do sistema | - Informações de integridade da Interface de Firmware Extensível (EFI) - Status do firewall - Informações da Ferramenta de Remoção de Software Maligno (MRT) - Status da Proteção da Integridade do Sistema (SIP) |
Não aplicável |
| Usuários e grupos | - Histórico de logins -Sudoers |
- Histórico de logins -Sudoers |
Executar verificação do Microsoft Defender Antivirus em dispositivos
Como parte do processo de investigação ou resposta, pode iniciar remotamente uma análise antivírus para ajudar a identificar e remediar software maligno que possa estar presente num dispositivo comprometido.
Importante
- A ação de verificação remota de antivírus é compatível com macOS e Linux para a versão 101.98.84 do cliente e posteriores. Você também pode usar a resposta ao vivo para executar a ação. Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto
- Uma análise do Antivírus Microsoft Defender pode ser executada juntamente com outras soluções antivírus, quer Microsoft Defender Antivírus seja ou não a solução antivírus ativa. O Antivírus Microsoft Defender pode estar em modo passivo. Para obter mais informações, consulte compatibilidade do Microsoft Defender Antivirus.
Um que selecionou Executar análise antivírus, selecione o tipo de análise que pretende executar (rápido ou completo) e adicione um comentário antes de confirmar a análise.
A Central de ações mostra as informações da verificação, e a linha do tempo do dispositivo inclui um novo evento, refletindo que uma ação de verificação foi enviada no dispositivo. Os alertas do Microsoft Defender Antivírus refletem quaisquer detecções identificadas durante a verificação.
Observação
Ao acionar uma verificação usando uma ação de resposta do Defender para Endpoint, o valor de antivírus do Microsoft Defender ScanAvgCPULoadFactor é aplicado e limita o impacto na CPU da verificação.
Se ScanAvgCPULoadFactor não estiver configurado, o valor predefinido é um limite de 50% de carga máxima da CPU durante uma análise.
Para obter mais informações, consulte configure-advanced-scan-types-microsoft-defender-antivirus.
Restringir a execução de aplicativo
Além de conter um ataque ao parar processos maliciosos, também pode bloquear um dispositivo e impedir a execução de tentativas subsequentes de programas potencialmente maliciosos.
Importante
- A restrição da execução do aplicativo está disponível para dispositivos no Windows 10, versão 1709 ou posterior, Windows 11 e Windows Server 2019 ou posterior.
- Restringir a execução de aplicativos está disponível se sua organização usar o Microsoft Defender Antivirus.
- A restrição da execução de aplicativos deve atender aos formatos de política de integridade de código e aos requisitos de assinatura do Windows Defender Application Control. Para obter mais informações, veja Formatos de política de integridade do código e assinatura).
Para restringir a execução de uma aplicação, é aplicada uma política de integridade de código que só permite que os ficheiros sejam executados se forem assinados por um certificado emitido pela Microsoft. Restringir a execução do aplicativo a apenas arquivos assinados por Microsoft pode ajudar a impedir que um invasor controle dispositivos comprometidos e execute outras atividades mal-intencionadas.
Observação
Você pode remover a restrição que impede os aplicativos de serem executados a qualquer momento. O botão na página do dispositivo muda para dizer Remover restrições de aplicações e, em seguida, segue os mesmos passos que restringir a execução de aplicações.
Depois de selecionar Restringir a execução de aplicações na página do dispositivo, escreva um comentário e selecione Confirmar. A Central de Ações mostra as informações da verificação, e a linha do tempo do dispositivo inclui um novo evento.
Notificação para o usuário do dispositivo
Quando uma aplicação é restrita, é apresentada a seguinte notificação para informar o utilizador de que uma aplicação está a ser impedida de ser executada:
Observação
A notificação não está disponível em Windows Server 2016 e Windows Server 2012 R2.
Isolar dispositivos da rede
Dependendo da gravidade do ataque e da sensibilidade do dispositivo, poderá querer isolar o dispositivo da rede. O isolamento do dispositivo pode ajudar a impedir que o invasor controle o dispositivo comprometido e execute outras atividades, como exfiltração de dados e movimentação lateral.
Pontos importantes a ter em conta:
Em ambientes que utilizam proxies Web (incluindo Configuração Automática de Proxy (PAC), WPAD ou configurações de proxy estático/direto), os dispositivos poderão não conseguir recuperar do isolamento de rede. Utilize o isolamento seletivo nesses casos. Ao utilizar o isolamento seletivo, não são necessárias definições de exclusão para evitar este cenário.
O isolamento de dispositivos da rede é suportado para macOS para a versão de cliente 101.98.84 e posterior. Você também pode usar a resposta ao vivo para executar a ação. Para obter mais informações sobre a resposta em direto, veja Investigar entidades em dispositivos com resposta em direto
O isolamento total está disponível para dispositivos com Windows 11, Windows 10, versão 1703 ou posterior, Windows Server 2012 R2 e posterior, e Azure Stack HCI OS, versão 23H2 e posterior.
O isolamento de dispositivos da rede é suportado quando o Defender está em execução no modo passivo em todos os sistemas operativos Windows suportados, macOS e Linux versões suportadas.
Você pode usar o recurso de isolamento de dispositivo em todas as versões do Microsoft Defender para Endpoint no Linux com suporte listadas em Requisitos do sistema. Certifique-se de que os seguintes pré-requisitos estão ativados:
iptablesip6tables- Kernel Linux com
CONFIG_NETFILTER,CONFIG_IP_NF_IPTABLESeCONFIG_IP_NF_MATCH_OWNERpara versões do kernel inferiores à 5.x eCONFIG_NETFILTER_XT_MATCH_OWNERa partir do kernel 5.x.
O isolamento seletivo está disponível para dispositivos em execução no Windows 11, Windows 10 versão 1703 ou posterior, Windows Server 2012 R2 e posterior, Azure Stack HCI OS, versão 23H2 e posterior, e macOS. Para obter mais informações sobre o isolamento seletivo, veja Exclusões de isolamento.
Ao isolar um dispositivo, só são permitidos determinados processos e destinos. Portanto, os dispositivos que estão por trás de um túnel VPN completo não conseguirão acessar o serviço de nuvem do Microsoft Defender para Endpoint depois que o dispositivo for isolado. Recomendamos o uso de uma VPN com túnel dividido para o tráfego relacionado à proteção baseada em nuvem do Microsoft Defender para Ponto de Extremidade e do Microsoft Defender Antivirus.
A funcionalidade suporta a ligação VPN.
Você deve ter pelo menos a função
Active remediation actionsatribuída. Para obter mais informações, veja Criar e gerir funções.Você precisa ter acesso ao dispositivo com base nas configurações do grupo de dispositivos. Para obter mais informações, veja Criar e gerir grupos de dispositivos.
Exclusões, como e-mail, aplicativo de mensagens e outros aplicativos para isolamento no macOS e no Linux, não são compatíveis.
Um dispositivo isolado é removido do isolamento quando um administrador modifica ou adiciona uma nova
iptableregra ao dispositivo isolado.Isolar um servidor em execução no Microsoft Hyper-V bloqueia o tráfego de rede para todas as máquinas virtuais subordinadas do servidor.
O isolamento do dispositivo é automaticamente levantado após sete dias.
A funcionalidade de isolamento do dispositivo desliga o dispositivo comprometido da rede, mantendo a conectividade ao serviço Defender para Endpoint, que continua a monitorizar o dispositivo. No Windows 10, versão 1709 ou posterior, pode utilizar o isolamento seletivo para um maior controlo sobre o nível de isolamento de rede. Também pode optar por ativar a conectividade do Outlook e do Microsoft Teams.
Observação
Você pode reconectar o dispositivo à rede a qualquer momento. O botão na página do dispositivo muda para dizer Libertar do isolamento. Nesta fase, pode seguir os mesmos passos que isolar o dispositivo.
Se um dispositivo estiver inativo ou offline quando uma ação de isolamento for solicitada, o Microsoft Defender para Endpoint tentará aplicar novamente o isolamento por até três dias. Se o dispositivo não voltar a ligar-se nesse momento, o isolamento não será repetido e os administradores deverão voltar a reeditar a ação de isolamento após o dispositivo ficar ativo.
Depois de selecionar Isolar dispositivo na página do dispositivo, escreva um comentário e selecione Confirmar. A Central de Ações mostra as informações da verificação, e a linha do tempo do dispositivo inclui um novo evento.
Observação
A notificação não está disponível em plataformas não Windows.
Isolar dispositivo - interrupção automática do ataque (Pré-visualização)
Quando houver suspeita de que um dispositivo na sua organização tenha sido comprometido, o Microsoft Defender para Endpoint poderá isolar automaticamente o dispositivo como parte da interrupção automática de ataques. O isolamento automático ajuda a reduzir o risco de impacto adicional na organização, limitar o movimento lateral do atacante e evitar impactos como a propagação de ransomware e exfiltração de dados. Quando um dispositivo é isolado automaticamente:
- O dispositivo comprometido é desligado da rede, o que reduz o risco de impacto adicional na organização.
- O dispositivo mantém a conectividade com o serviço Microsoft Defender para Endpoint, que continua monitorando o dispositivo.
Observação
O isolamento automático de dispositivos funciona apenas em estações de trabalho de usuários finais que são integradas e gerenciadas pelo Microsoft Defender para Ponto de Extremidade.
Para isolar manualmente um dispositivo, consulte Isolar dispositivos da rede.
Ver ações automáticas de isolamento de dispositivos
Após a aplicação do isolamento automático, pode rever a ação e o respetivo status no portal do Defender:
Abra o incidente relevante e reveja o separador Atividades .
Abra a página do dispositivo afetado e confirme o status do isolamento do dispositivo.
Abra o Centro de ação para rever o histórico de ações e o estado atual.
Salvaguardas e impacto comercial
Antes de implementar ou responder ao isolamento automático do dispositivo, considere o seguinte:
- Ação com escopo definido: o isolamento tem como alvo dispositivos específicos envolvidos no incidente, em vez de ser aplicado amplamente em todo o ambiente.
- Isolamento com limite de tempo: o isolamento é automaticamente anulado após uma janela de tempo definida. Você também pode encerrar o isolamento mais cedo após concluir a investigação e a remediação.
- Controlo do cliente: os operadores de segurança podem rever o contexto do incidente e tomar medidas de seguimento, incluindo libertar isolamento quando for seguro fazê-lo.
Exclusões de isolamento e de interrupção automática de ataques
Existem dois tipos de exclusões relevantes para o isolamento automático de dispositivos:
- Exclusões seletivas de isolamento: defina os processos e destinos de rede que permanecem acessíveis num dispositivo isolado. Utilize-as para preservar comunicações críticas (por exemplo, ferramentas de gestão ou aplicações empresariais) enquanto o dispositivo está isolado. As exclusões de isolamento seletivo estão disponíveis para dispositivos que executam Windows 11, Windows 10 versão 1703 ou posterior, Windows Server 2012 R2 e versões posteriores, Azure Stack HCI OS versão 23H2 e versões posteriores, e macOS.
- Exclusões de interrupção automática de ataques: defina que dispositivos ou entidades são excluídos totalmente das ações de interrupção automática. Utilize-os para impedir que os dispositivos críticos para a empresa sejam isolados em primeiro lugar.
Observação
Quando uma regra de exclusão de isolamento é definida, a interrupção automática do ataque utiliza o isolamento seletivo por predefinição e isola o dispositivo de acordo com as regras de exclusão de isolamento configuradas.
Se um dispositivo isolado automaticamente for crítico para a empresa, priorize a validação rápida e a coordenação dos intervenientes. Libere a isolação somente depois de confirmar que as medidas adequadas de contenção e remediação estejam em vigor. Considere utilizar exclusões de interrupção automática de ataques para reduzir a probabilidade de isolar dispositivos que não toleram interrupções.
Confirmar o isolamento automático do dispositivo
- Abra o incidente relevante gerado pela interrupção automática do ataque no portal do Microsoft Defender.
- Reveja o separador Atividade ou Centro de ação para ver que ações de resposta automatizadas foram aplicadas.
- Abra a página do dispositivo afetado e confirme que o status do dispositivo mostra que ele está isolado.
- Se a ação de isolamento for apresentada como falhada ou pendente, confirme que o dispositivo está online e pode reportar ao Defender para Endpoint. Pode tentar novamente a partir do painel de ação do dispositivo, se disponível.
- Se um dispositivo parecer isolado, mas não conseguir recolher dados de investigação, verifique se o método de investigação (por exemplo, resposta em direto) é suportado para esse dispositivo e cenário. Confirme também se os pontos finais de serviço necessários estão acessíveis na configuração de rede. Para obter mais informações, consulte Investigar entidades em dispositivos usando resposta ao vivo e Configurar a conectividade do dispositivo e as configurações de proxy no Microsoft Defender para Ponto de Extremidade.
Liberar um dispositivo do isolamento automático
Você pode liberar o dispositivo da contenção a qualquer momento após mitigar o risco e concluir a investigação:
- Selecione o dispositivo na página Inventário de dispositivos ou abra o dispositivo.
- Selecione Libertar do isolamento no menu de ação. Para obter mais informações sobre o lançamento de dispositivos, veja Isolar dispositivos da rede.
Observação
Se o isolamento for removido inesperadamente, verifique se uma janela de desfazer com tempo limitado se aplica ao seu ambiente e revise o histórico de ações do evento de liberação.
Forçar a remoção do dispositivo do isolamento
A funcionalidade de isolamento de dispositivos é uma ferramenta inestimável para proteger os dispositivos contra ameaças externas. No entanto, existem instâncias em que os dispositivos isolados não respondem.
Há um script para download para essas instâncias que você pode executar para remover dispositivos do isolamento à força. O script está disponível por meio de um link na página do dispositivo no portal Microsoft Defender.
Observação
- Administradores e usuários com permissão para gerenciar configurações de segurança na Central de Segurança podem forçar a liberação de dispositivos do estado de isolamento.
- O script é válido apenas para o dispositivo específico.
- O script expira dentro de três dias.
Para remover à força o dispositivo do isolamento:
Na página do dispositivo, selecione Baixar script para forçar a liberação de um dispositivo do isolamento no menu de ações.
No painel à direita, selecione Transferir script.
Requisitos mínimos para a libertação forçada de dispositivos
Para forçar a liberação de um dispositivo do isolamento, o dispositivo deve estar executando o Windows. São suportadas as seguintes versões:
- Windows 10 21H2 e 22H2 com KB KB5023773.
- Windows 11 versão 21H2, todas as edições com KB5023774.
- Windows 11 versão 22H2, todas as edições com KB5023778.
Notificação para o usuário do dispositivo
Quando um dispositivo está a ser isolado, é apresentada a seguinte notificação para informar o utilizador de que o dispositivo está a ser isolado da rede:
Observação
A notificação não está disponível em plataformas não Windows.
Contém recursos críticos
Quando um recurso crítico é comprometido e utilizado para espalhar ameaças dentro de uma organização, parar a propagação pode ser um desafio, porque estes recursos têm de continuar a funcionar para evitar a perda de produtividade. O Defender para Endpoint resolve este problema ao conter granularmente o recurso crítico, impedindo a propagação do ataque, garantindo ao mesmo tempo que o recurso permanece operacional para a continuidade do negócio.
Através da interrupção automática do ataque, o Defender para Endpoint incrimina um dispositivo malicioso, identifica a função do dispositivo para aplicar uma política correspondente para conter automaticamente um recurso crítico. A contenção granular é feita ao bloquear apenas portas específicas e direções de comunicação.
Pode identificar recursos críticos através da etiqueta de recurso crítico no dispositivo ou página IP. A contenção de dispositivos suporta tipos de recursos críticos, como controladores de domínio, servidores DNS e servidores DHCP.
Conter dispositivos da rede
Quando tiver identificado um dispositivo não gerido que está comprometido ou potencialmente comprometido, poderá querer conter esse dispositivo da rede para impedir que o potencial ataque se mova lateralmente pela rede. Quando você isola um dispositivo, qualquer dispositivo integrado ao Microsoft Defender para Ponto de Extremidade bloqueia as comunicações de entrada e saída com esse dispositivo. A contenção de um dispositivo pode ajudar a impedir que dispositivos vizinhos fiquem comprometidos enquanto o analista de operações de segurança localiza, identifica e corrige a ameaça no dispositivo comprometido.
Observação
O bloqueio da comunicação de entrada e saída com um dispositivo "contido" é suportado nos dispositivos integrados Microsoft Defender para Ponto de Extremidade Windows 10 e Windows Server 2019+
Assim que os dispositivos estiverem contidos, recomendamos que investigue e remediar a ameaça nos dispositivos contidos o mais rapidamente possível. Após a remediação, você deve remover os dispositivos do isolamento.
Como conter um dispositivo
Aceda à página Inventário de dispositivos e selecione o dispositivo a conter.
Selecione Conter dispositivo no menu de ações na lista de opções do dispositivo.
Na janela pop-up de contenção do dispositivo, digite um comentário e selecione Confirm.
Importante
Conter um grande número de dispositivos pode causar problemas de desempenho nos dispositivos integrados ao Defender para Endpoint. Para evitar problemas, a Microsoft recomenda conter até 100 dispositivos por vez.
Conter um dispositivo a partir da página do dispositivo
Um dispositivo também pode ser contido na página do dispositivo ao selecionar Conter dispositivo na barra de ação:
Observação
Pode levar até 5 minutos para que os detalhes sobre um dispositivo que acabou de ser contido cheguem aos dispositivos registrados no Microsoft Defender para Ponto de Extremidade.
Importante
- Se um dispositivo contido alterar o respetivo endereço IP, todos os dispositivos integrados do Microsoft Defender para Endpoint reconhecem-no e começam a bloquear as comunicações com o novo endereço IP. O endereço IP original já não está bloqueado (pode demorar até 5 minutos a ver estas alterações).
- Nos casos em que o IP do dispositivo isolado é usado por outro dispositivo na rede, é exibido um aviso ao isolar o dispositivo, com um link para o Advanced hunting (com uma consulta pré-preenchida). Isto fornece visibilidade para outros dispositivos que utilizam o mesmo IP para o ajudar a tomar uma decisão consciente se quiser continuar a conter o dispositivo.
- Nos casos em que o dispositivo contido é um dispositivo de rede, é apresentado um aviso com uma mensagem a indicar que a contenção pode causar problemas de conectividade de rede (por exemplo, contendo um router que está a funcionar como um gateway predefinido). Neste momento, pode escolher se pretende ou não conter o dispositivo.
Depois de conter um dispositivo, se o comportamento não for o esperado, verifique se o serviço Base Filtering Engine (BFE) está habilitado nos dispositivos integrados ao Defender para Endpoint.
Parar de conter um dispositivo
Você pode interromper o isolamento de um dispositivo a qualquer momento.
Selecione o dispositivo na página Inventário de dispositivos ou abra o dispositivo.
Selecione Liberar da contenção no menu de ação. A liberação da contenção restaura a conexão do dispositivo com a rede.
Conter endereços IP de dispositivos não descobertos
Importante
Algumas informações neste artigo estão relacionadas com o produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O Defender para Endpoint também pode conter endereços IP associados a dispositivos não descobertos ou que não estão integrados no Defender para Endpoint. A capacidade de conter um endereço IP impede que invasores propaguem ataques para outros dispositivos não comprometidos. A contenção de um endereço IP faz com que os dispositivos integrados ao Defender for Endpoint bloqueiem a comunicação de entrada e saída com dispositivos que usam o endereço IP contido
Observação
O bloqueio da comunicação de entrada e saída com um dispositivo "contido" tem suporte em dispositivos integrados ao Defender para Endpoint com Windows 10, Windows 11, Windows Server 2012 R2 e Windows Server 2016.
A contenção de um endereço IP associado a dispositivos não descobertos ou a dispositivos não integrados ao Defender para Endpoint é feita automaticamente por meio da interrupção automática de ataques. A política Conter IP bloqueia automaticamente um endereço IP malicioso quando o Defender para Ponto Final deteta que o endereço IP está associado a um dispositivo não descoberto ou a um dispositivo não integrado.
Uma mensagem indicando que a ação foi aplicada é exibida na página do incidente, dispositivo ou IP aplicável. Veja um exemplo.
Depois que um endereço IP é contido, você pode ver a ação na exibição Histórico do Centro de Ação. Pode ver quando ocorreu a ação e identificar os endereços IP que estavam contidos.
Se um endereço IP contido fizer parte de um incidente, está presente um indicador no gráfico de incidentes e no separador de provas e resposta do incidente. Eis um exemplo.
Você pode interromper a contenção de um endereço IP a qualquer momento. Para interromper a contenção, selecione a ação Conter IP na Central de Ações. No menu suspenso, selecione Desfazer. Esta ação restaura a ligação do endereço IP à rede.
Isolar o usuário da rede
Quando uma identidade na sua rede pode ficar comprometida, tem de impedir que essa identidade aceda à rede e a diferentes pontos finais. O Defender para Endpoint pode conter uma identidade, bloqueando seu acesso e ajudando a evitar ataques, em especial ransomware. Quando uma identidade é contida, qualquer dispositivo com suporte integrado ao Microsoft Defender para Ponto de Extremidade bloqueia o tráfego de entrada em protocolos específicos relacionados a ataques (nega logons de rede, RPC, SMB e RDP), encerra sessões remotas em andamento e faz logoff de conexões RDP existentes (encerrando a própria sessão, incluindo todos os processos relacionados a ela), ao mesmo tempo em que permite o tráfego legítimo. Conter uma identidade pode ajudar significativamente a reduzir o impacto de um ataque. Quando uma identidade é contida, os analistas de operações de segurança têm tempo extra para localizar, identificar e remediar a ameaça à identidade comprometida. Uma vez contido por interrupção automática do ataque, um utilizador é removido automaticamente da contenção nos próximos cinco dias.
Conter notas importantes do utilizador
- O Defender para Endpoint impõe a contenção do utilizador na camada do ponto final e não desativa a conta no fornecedor de identidade. O Defender para Ponto Final bloqueia a utilização de identidades comprometidas por parte do atacante em dispositivos protegidos e limita o acesso baseado na autenticação, o acesso ao sistema de ficheiros e os caminhos de comunicação de rede. Esta ação aplica controlos a um nível granular, para que a Microsoft possa direcionar a atividade relacionada com ataques e preservar a comunicação comercial normal sempre que possível.
- Quando a ação conter utilizador é acionada pela proteção preditiva (Pré-visualização), a ação conter utilizador aplica restrições de forma mais seletiva, com um foco nos utilizadores identificado como de alto risco através da lógica de predição. A ação de contenção do usuário na proteção preditiva impede novas sessões, em vez de encerrar as já existentes.
- Embora a funcionalidade de proteção preditiva como um todo esteja em versão prévia, esta ação está disponível de forma geral, tanto quando é disparada pela interrupção de ataque quanto pela proteção preditiva.
- Há suporte para o bloqueio da comunicação de entrada com um usuário "contido" em dispositivos Windows 10 e 11 integrados ao Microsoft Defender para Ponto de Extremidade (Sense versão 8740 e superior), em dispositivos Windows Server 2019 e posteriores e em servidores Windows Server 2012 R2 e 2016 com o agente moderno.
- Importante: quando uma ação Conter utilizador é imposta num controlador de domínio, inicia uma atualização de GPO na política Controlador de Domínio Predefinido. Uma alteração de um GPO inicia uma sincronização entre os controladores de domínio no seu ambiente. Este é o comportamento esperado e, se você monitorar seu ambiente em busca de alterações na GPO do AD, poderá ser notificado sobre essas alterações. Desfazer a ação Conter usuário reverte as alterações na GPO ao estado anterior, o que iniciará outra sincronização da GPO do AD no seu ambiente. Saiba mais sobre a intercalação de políticas de segurança em controladores de domínio.
Como conter um utilizador
Atualmente, a contenção de utilizadores só está disponível automaticamente através da interrupção automática de ataques. Quando a Microsoft deteta que um utilizador está comprometido, é definida automaticamente uma política "Conter Utilizador".
Ver as ações do usuário contidas
Depois que um usuário for contido, você poderá visualizar a ação nesta exibição de Histórico da Central de Ações. Aqui, pode ver quando ocorreu a ação e quais os utilizadores na sua organização que estavam contidos:
Além disso, depois de uma identidade ser considerada "contida", esse utilizador será bloqueado pelo Defender para Ponto Final e não poderá efetuar qualquer movimento lateral malicioso ou encriptação remota em ou em qualquer dispositivo integrado do Defender para Endpoint suportado. Estes blocos são apresentados como alertas para o ajudar a ver rapidamente os dispositivos que o utilizador comprometido tentou aceder e potenciais técnicas de ataque:
Para ver o status atual da ação Conter usuário e de outras ações, consulte Acompanhar o status da ação na guia Atividades (Versão prévia).
Anular conter ações do utilizador
Dica
Desfazer ações de contenção do usuário requer associação à função Administrador Global* nas permissões do Microsoft Entra.
* A Microsoft defende fortemente o princípio do menor privilégio. Atribuir apenas as permissões mínimas necessárias para realizar as respetivas tarefas ajuda a reduzir os riscos de segurança e reforça a proteção geral da sua organização. O Administrador Global é uma função altamente privilegiada que deve limitar a cenários de emergência ou quando não pode utilizar uma função diferente.
Você pode remover os bloqueios e a contenção de um usuário a qualquer momento:
Selecione a ação Conter Utilizador no Centro de Ação. No painel lateral, selecione Desfazer.
Selecione o usuário no inventário de usuários, no painel lateral da página de Incidente ou no painel lateral do alerta e selecione Desfazer.
Esta ação restaura a ligação do utilizador à rede.
Capacidades de investigação com o Contain User
Depois de um utilizador estar contido, pode investigar a potencial ameaça ao ver as ações bloqueadas pelo utilizador comprometido. Na visualização da linha do tempo do dispositivo, você pode ver informações sobre eventos específicos, incluindo a granularidade de protocolo e de interface, e a Técnica MITRE relevante associada a eles.
Além disso, você pode expandir a investigação usando a caça avançada. Busque qualquer tipo de ação que comece com contain na tabela DeviceEvents. Em seguida, você pode visualizar todos os diferentes eventos de bloqueio individuais relacionados ao Contain User no seu locatário, aprofundar o contexto de cada bloqueio e extrair as diferentes entidades e técnicas associadas a esses eventos.
Endurecimento de GPO (Versão prévia)
Reforço de segurança de GPO - blindagem preditiva (Versão prévia)
Como parte do recurso de blindagem preditiva (versão prévia), o Defender para Endpoint aplica automaticamente a ação de fortalecimento de GPO. A proteção reforçada do Objeto de Diretiva de Grupo (GPO) interrompe temporariamente a aplicação de novas políticas de GPO a dispositivos identificados como de alto risco. Esta ação ajuda a evitar possível comprometimento ao restringir alterações em configurações críticas.
Para enriquecer as ações de proteção preditiva, recomendamos que utilize o sensor de Microsoft Defender para Identidade no seu ambiente. Para obter mais informações, veja Melhorar a proteção preditiva com Microsoft Defender para Identidade.
Depois que a ação for aplicada, você poderá ver o impacto da ação no grafo de incidentes, acompanhar as ações na Central de Ações e continuar investigando usando a busca avançada. Para obter mais informações, veja Gerir ações de proteção preditiva.
Reforço de segurança da Inicialização Segura (Pré-visualização)
Reforço do Safeboot - blindagem preditiva (Prévia)
Como parte do recurso de proteção preditiva (versão prévia), o Defender for Endpoint aplica automaticamente a ação de proteção reforçada do Safeboot. O reforço do Safeboot ajuda a proteger os dispositivos contra comprometimento ao aplicar configurações de inicialização mais rigorosas em dispositivos cuja previsão é de alto risco de comprometimento.
Para enriquecer as ações de proteção preditiva, recomendamos que utilize o sensor de Microsoft Defender para Identidade no seu ambiente. Para obter mais informações, veja Melhorar a proteção preditiva com Microsoft Defender para Identidade.
Depois que a ação for aplicada, você pode ver o impacto da ação no gráfico de incidentes, acompanhar as ações na Central de ações e investigar mais detalhadamente usando a busca avançada. Para obter mais informações, veja Gerir ações de proteção preditiva.
Para ver o status atual da ação de reforço do Safeboot e de outras ações, consulte Acompanhar o status da ação na aba Atividades (Versão prévia).
Consultar um especialista em ameaças
Pode consultar um especialista em ameaças da Microsoft para obter mais informações sobre um dispositivo potencialmente comprometido ou já comprometido. Os Especialistas em Ameaças da Microsoft podem ser acionados diretamente no portal do Defender para obter uma resposta rápida e precisa. Os especialistas fornecem insights não apenas sobre um dispositivo potencialmente comprometido, mas também ajudam você a entender melhor ameaças complexas, notificações de ataques direcionados que você recebe, além de fornecer mais informações sobre os alertas ou o contexto de inteligência contra ameaças exibido no painel do portal.
Veja Configurar e gerir Notificações de Ataques de Ponto Final para obter detalhes.
Verificar detalhes da atividade e status
O Centro de ação (https://security.microsoft.com/action-center) fornece informações sobre as ações efetuadas num dispositivo ou ficheiro. Pode ver os seguintes detalhes:
- Coleta de pacotes de investigação
- Análise de antivírus
- Restrição de aplicações
- Isolamento do dispositivo
Todos os outros detalhes relacionados também são apresentados, por exemplo, data/hora de submissão, submissão de utilizador e se a ação teve êxito ou falhou.
O separador Atividades na página Incidente mostra os detalhes e status de ações que foram tomadas como parte da resposta ao incidente. Para obter mais informações, consulte Acompanhar o status da ação na guia Atividades (Versão prévia).