Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece uma descrição geral da capacidade Ações de Resposta Seletiva no Microsoft Defender para Endpoint. A audiência de destino são os administradores de segurança e as equipas de operações de TI responsáveis pela gestão de Microsoft Defender para Endpoint em ambientes que incluem sistemas de Camada 0 e recursos de alto valor (HVAs), como controladores de domínio, servidores ADFS e outra infraestrutura crítica.
Descrição geral
As Ações de Resposta Seletiva são uma capacidade Microsoft Defender para Endpoint que permite às organizações adaptar operações de segurança de alto impacto durante a integração. Fornece um controlo preciso sobre a forma como as ações de resposta são aplicadas em sistemas de Camada 0 e outros recursos de alto valor, ajudando a manter a estabilidade operacional e proporcionando uma proteção forte.
Fundo
Implementar Microsoft Defender para Endpoint em recursos de alto valor (HVAs), como controladores de domínio, servidores ADFS e outros sistemas de Camada 0, requer uma abordagem ponderada para equilibrar a proteção forte com a estabilidade operacional. Tendo em conta as poderosas capacidades de resposta disponíveis, as organizações procuram muitas vezes um maior controlo sobre a forma como estas ações são aplicadas em ambientes confidenciais.
Muitas organizações, especialmente as que têm políticas rigorosas de gestão de acesso privilegiado, também preferem limitar as ações administrativas iniciadas pela cloud em sistemas de Camada 0 para se alinharem com os requisitos de segurança e conformidade.
A capacidade Ações de Resposta Seletiva responde a estas necessidades ao fornecer uma abordagem mais controlada e flexível. Permite que as organizações definam exatamente que ações de resposta são permitidas em recursos críticos, ajudando a manter a continuidade operacional, ao mesmo tempo que beneficiam da proteção do Defender.
Como funciona a funcionalidade?
Primeiro, a funcionalidade tem de estar ativada no inquilino. Veja Ativar ações de resposta seletiva.
Assim que a funcionalidade estiver ativada, utilize a ferramenta de implementação do Defender (DDT) para criar um pacote de inclusão com definições de operações de segurança restritas. Quando estiver a configurar o pacote, pode escolher entre a funcionalidade completa (o modo de inclusão predefinido, onde todas as ações de resposta são permitidas no dispositivo integrado) e a funcionalidade restrita (onde as ações de resposta de alto impacto podem ser permitidas). Se escolher a funcionalidade restrita, pode especificar as ações que são permitidas no dispositivo assim que for integrado.
A tabela seguinte descreve as ações de resposta de alto impacto que pode permitir ou não permitir.
| Capacidade | Descrição | Observações |
|---|---|---|
| Resposta básica | Execute a análise antivírus, recolha o ficheiro e recolha o pacote de investigação. | A capacidade Recolher ficheiro refere-se à obtenção de um ficheiro a partir da página Ficheiro no portal e não ao GetFile comando disponível em Resposta em Direto. |
| Resposta avançada | Isolar o dispositivo, restringir a execução de aplicações e pedir remediação. | A remediação de pedidos permite que os administradores de segurança iniciem ações de remediação para vulnerabilidades identificadas num dispositivo específico. |
| Resposta em direto | Permite sessões de resposta em direto para o dispositivo remoto. | |
| Proteção do dispositivo | Permite que a investigação e resposta automatizadas (AIR) sejam executadas no dispositivo. | Isto aplica-se tanto ao AIR acionado automaticamente como ao AIR iniciado manualmente. |
Veja Gerar um pacote de inclusão com definições de operações de segurança restritas para obter detalhes sobre como configurar esse pacote.
Nota
Os dispositivos integrados no modo restrito não suportam a execução de scripts de Resposta Em Direto – isto está desativado por predefinição, mesmo que a Resposta em Direto esteja ativada. O modo restrito não afeta a deteção, os alertas ou a cobertura do sensor. Todos os alertas, linhas cronológicas e deteções de ameaças continuam a funcionar conforme esperado.
Pré-requisitos e sistemas operativos suportados
O modo restrito é suportado nas seguintes estações de trabalho cliente Windows e Windows Server sistemas operativos com a versão 10.8798 ou posterior do Sense.
Sistema Operativo BDC Necessária Windows Server 2025, todas as edições KB5063878 Windows Server 2022 KB5063880 Windows Server 2019 KB5063877 Windows 10 22H2 KB5062649 Windows 11 23H2 KB5062663 Windows 11 24H2 KB5062660 Windows 11 25H2 Todos Para utilizar o modo restrito, o comutador de funcionalidades Permitir operações de segurança restritas durante a integração tem de estar ativado. Veja Ativar a funcionalidade de ações de resposta seletiva.
Ativar a funcionalidade de ações de resposta seletiva
Para utilizar a capacidade de ações de resposta seletiva, ative a funcionalidade no portal do Microsoft Defender:
- Inicie sessão no portal Microsoft Defender.
- Navegue para Definições>Pontos Finais Funcionalidades avançadas>.
- Ative Permitir operações de segurança restritas durante a integração.
Depois de ativada, a opção de modo restrito fica disponível ao criar pacotes de implementação do Defender para Windows através da ferramenta de implementação do Defender (DDT). Em seguida, pode criar pacotes de implementação que especifiquem as operações de segurança a permitir nos dispositivos que está a integrar. Veja Gerar um pacote de inclusão com definições de operações de segurança restritas para obter detalhes. Assim que o pacote de implementação tiver sido gerado, utilize-o para integrar o dispositivo.
Gerar um pacote de inclusão com definições de operações de segurança restritas
No portal do Microsoft Defender (security.microsoft.com), aceda a Inclusão dePontos Finais>de Definições> do Sistema>.
No menu pendente Passo 1, selecione Windows.
Em Implementar ao transferir e aplicar pacotes ou ficheiros, selecione o botão Integrar .
É apresentada a página Gerar ferramenta de implementação do Defender com uma chave de acesso .
Indique um nome para o pacote. Certifique-se de que cria um nome exclusivo e descritivo.
Defina uma data de expiração para o pacote. Pode definir a data de expiração para qualquer período de tempo até um ano. Recomenda-se que torne o período de validade dos pacotes o mais curto possível para reduzir o risco de utilização de pacotes de implementação não autorizados.
Selecione Restrito.
É apresentada uma lista de operações de segurança de alto impacto. Selecione as caixas junto às operações que pretende permitir no dispositivo integrado e desmarque as caixas junto às operações que pretende não permitir.
Nota
Os dispositivos integrados no modo restrito não suportam a execução de scripts de Resposta em Direto, mesmo quando a Resposta em Direto está ativada nestas definições. Esta restrição é imposta por predefinição para garantir que as ações baseadas em scripts permanecem bloqueadas, mantendo um nível mais elevado de proteção para recursos confidenciais.
O modo restrito com todas as ações de resposta permitidas não é equivalente à funcionalidade completa. Quando integra um dispositivo através de um pacote restrito, a execução de scripts é desativada por predefinição, enquanto a integração com um pacote de funcionalidades completa fornece acesso sem restrições a todas as ações e capacidades de resposta suportadas.
Quando terminar de configurar o pacote, selecione Gerar.
Quando o pacote estiver pronto, verá uma página com a chave de acesso do pacote e um botão de transferência, semelhante à imagem seguinte.
Copie a chave e guarde-a, pois será necessária com a ferramenta de implementação.
Depois de copiar a chave e guardá-la, selecione Transferir ferramenta de implementação. Esta ação transfere um ficheiro .zip do executável da ferramenta de implementação do Defender.
Integrar um dispositivo com ações de resposta restritas
Depois de gerar e transferir um pacote de implementação com as definições de operações de segurança restrita pretendidas, utilize o pacote para integrar o dispositivo, conforme descrito em Implementar Microsoft Defender para Endpoint em dispositivos Windows com a ferramenta de implementação do Defender (pré-visualização).
Como verificar o estado das operações de segurança dos dispositivos integrados
O estado das operações de segurança dos dispositivos pode ser identificado de várias formas:
Na página Inventário de Dispositivos no portal do Defender, uma propriedade chamada Operações de segurança indica o modo de inclusão de cada dispositivo:
- Se o dispositivo estiver integrado com todas as funcionalidades, o valor será apresentado como Completo.
- Se o dispositivo estiver integrado com capacidades restritas, o valor será apresentado como Restrito, indicando ao administrador que este dispositivo tem um conjunto limitado de operações de segurança remota disponíveis.
Esta visibilidade ajuda as equipas de segurança a compreender rapidamente o âmbito operacional de cada dispositivo e a tomar as medidas adequadas, se necessário.
Quando o dispositivo está no modo restrito, é automaticamente adicionada uma etiqueta com o nome Operações de segurança restritas ao dispositivo para ajudar as equipas de segurança a identificar rapidamente os recursos com funcionalidade limitada. Pode ver esta etiqueta na página Dispositivo. A página Dispositivo também inclui um estado de Operações de segurança para refletir o nível de capacidades de segurança remota configuradas para o dispositivo:
- Completo indica que o dispositivo está integrado com o conjunto completo de capacidades de Microsoft Defender para Endpoint. Todas as ações de resposta remota estão disponíveis.
- Restrito indica que o dispositivo está integrado com um conjunto limitado de ações de resposta disponíveis.
Na imagem anterior, pode ver que a iniciação de sessões de Resposta em Direto não foi permitida no dispositivo.
Para aceder a uma lista detalhada de todos os controlos de segurança e do respetivo estado atual (ativado ou desativado) no dispositivo, selecione Ver informações de operações de segurança para apresentar o painel Operações de Segurança do Dispositivo .
Também pode utilizar a propriedade
RestrictedDeviceSecurityOperationsInvestigação Avançada para verificar que operações de segurança são restritas no dispositivo. Os valores representam as categorias de operação de segurança específicas que são limitadas. Por exemplo, se o valor daRestrictedDeviceSecurityOperationspropriedade for LiveResponse, significa que apenas a capacidade resposta em direto não é permitida no dispositivo, enquanto todas as outras operações são permitidas.
A resposta seletiva também é bloqueada ao utilizar a API pública. Se tentar efetuar uma ação restrita através da API, receberá uma mensagem de erro a indicar que a operação não é permitida no dispositivo.
Alterar as definições de restrição
Quando um dispositivo é integrado com definições restritas, a configuração das operações de segurança não pode ser alterada nem modificada. Para atualizar as capacidades de resposta de um dispositivo, tem de remover o dispositivo e voltar a integrá-lo através de um novo pacote de implementação com as definições pretendidas. O ID do dispositivo permanece o mesmo e todos os dados históricos são preservados.
Se quiser restringir as ações de resposta num dispositivo que já está integrado no Defender para Ponto Final no modo Completo, primeiro tem de remover o dispositivo e, em seguida, voltar a integrá-lo através de um pacote de inclusão configurado com definições restritas. O ID do dispositivo permanece o mesmo e todos os dados históricos são preservados.