Explicar as ações do dispositivo

  • 4 minutos

Ao investigar um dispositivo, você pode executar ações, coletar dados ou acessar remotamente a máquina. O Defender for Endpoint fornece o controle de dispositivo necessário.

Você pode executar as seguintes ações de contenção:

  • Isolar dispositivo

  • Restringir a execução do aplicativo

  • Executar verificação antivírus

Você pode executar as seguintes ações de investigação:

  • Iniciar investigação automatizada

  • Recolher dossiê de investigação

  • Iniciar sessão de resposta ao vivo

A Central de ações fornece informações sobre ações que foram executadas em um dispositivo ou arquivo.

Isolar dispositivos de redes

Dependendo da gravidade do ataque e da sensibilidade do dispositivo, convém isolá-lo da rede. Essa ação pode ajudar a impedir que o invasor controle o dispositivo comprometido e execute outras atividades, como exfiltração de dados e movimento lateral.

Esse recurso de isolamento de dispositivo desconecta o dispositivo comprometido da rede, mantendo a conectividade com o serviço Defender for Endpoint, que continua monitorando o dispositivo.

No Windows 10, versão 1709 ou posterior, você terá outro controle sobre o nível de isolamento de rede. Você também pode optar por habilitar a conectividade do Outlook, Microsoft Teams e Skype for Business (também conhecido como "Isolamento seletivo").

Depois de selecionar Isolar dispositivo na página do dispositivo, digite um comentário e selecione Confirmar. A Central de ações mostrará as informações da varredura e a linha do tempo do dispositivo incluirá um novo evento.

Quando um dispositivo está sendo isolado, uma notificação é exibida para informar ao usuário que o dispositivo está sendo isolado da rede.

Restringir a execução do aplicativo

Além de conter um ataque interrompendo processos mal-intencionados, você também pode bloquear um dispositivo e impedir a execução de tentativas subsequentes de programas potencialmente mal-intencionados.

Importante

Esta ação está disponível para dispositivos no Windows 10, versão 1709 ou posterior. Esta funcionalidade está disponível se a sua organização utilizar o Microsoft Defender Antivirus. Essa ação precisa atender aos formatos de política de integridade de código e aos requisitos de assinatura do Controle de Aplicativo do Windows Defender. Para restringir a execução de um aplicativo, é aplicada uma política de integridade de código que só permite a execução de arquivos se forem assinados por um certificado emitido pela Microsoft. Esse método de restrição pode ajudar a impedir que um invasor controle dispositivos comprometidos e execute outras atividades maliciosas.

Você poderá reverter a restrição de execução de aplicativos a qualquer momento. O botão na página do dispositivo será alterado para dizer Remover restrições de aplicativos e, em seguida, você seguirá as mesmas etapas que restringir a execução do aplicativo.

Depois de selecionar Restringir a execução do aplicativo na página do dispositivo, digite um comentário e selecione Confirmar. A Central de ações mostrará as informações da varredura e a linha do tempo do dispositivo incluirá um novo evento.

Quando um aplicativo é restrito, uma notificação é exibida para informar ao usuário que um aplicativo está sendo impedido de ser executado.