Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece informações sobre como excluir recursos de serem contidos automaticamente por interrupção automática de ataques no Microsoft Defender XDR.
A interrupção automática de ataques permite a exclusão de contas de utilizador, dispositivos e endereços IP específicos de ações de contenção automatizadas. Depois de excluídos, estes recursos não serão afetados pelas ações automatizadas acionadas pela interrupção do ataque.
Cuidado
Não é recomendado excluir recursos de respostas automatizadas. Excluir recursos de respostas automatizadas pode reduzir a eficácia da interrupção automática de ataques na proteção do seu ambiente contra ataques sofisticados e de alto impacto.
Pré-requisitos
Para excluir recursos de respostas automatizadas em interrupções automáticas de ataques, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no Centro de administração do Microsoft 365 (https://admin.microsoft.com):
- Administrador global
- Administrador de segurança
Rever ou alterar exclusões de resposta automatizadas para recursos
Para excluir recursos de respostas automatizadas em interrupções automáticas de ataques, siga estes passos:
Acesse o portal do Microsoft Defender (https://security.microsoft.com) e entre.
Aceda a Definições>Microsoft Defender XDR.
Excluir contas de utilizador
Em Resposta automatizada, selecione Identidades.
Para excluir uma conta de utilizador, selecione Adicionar exclusão de utilizador. É apresentado um painel de lista de opções.
No painel de lista de opções, introduza os nomes das contas de utilizador na caixa Selecionar utilizadores e selecione as contas de utilizador que pretende excluir.
Selecione Excluir utilizadores para guardar a exclusão.
Excluir grupos de dispositivos
Cuidado
Excluir grupos de dispositivos de respostas automatizadas também afeta ações de investigação e resposta automatizadas .
Em Respostas automatizadas, selecione Dispositivos.
No separador Grupos de dispositivos , selecione um grupo de dispositivos ao selecionar a caixa de verificação junto ao nome do grupo na lista para configurar as definições de automatização de interrupção de ataques.
No painel de lista de opções, selecione o nível de automatização adequado para o grupo de dispositivos. Pode escolher entre qualquer um dos seguintes níveis de automatização adequados para o seu grupo de dispositivos:
- Completo – remediar automaticamente ameaças: contenha automaticamente dispositivos quando é detetada uma ameaça.
- Semi - exigir aprovação para pastas principais: investigue automaticamente os dispositivos quando um alerta é recebido e aplique ações de remediação, exceto em itens dentro de pastas do sistema principal. As ações de remediação para as pastas principais requerem aprovação.
- Semi - exigir aprovação para pastas não temporárias: investigue e aplique automaticamente a remediação a ações dentro de pastas temporárias e de transferência quando é recebido um alerta. Todas as outras ações de remediação requerem aprovação.
- Semi – exigir aprovação para todas as pastas: investigue automaticamente os dispositivos quando é recebido um alerta. Todas as ações de remediação requerem aprovação.
- Sem resposta automatizada: não é efetuada nenhuma investigação ou resposta automatizada para dispositivos neste grupo.
Selecione Guardar para guardar o nível de automatização do grupo de dispositivos.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias expressas ou implícitas relativamente às informações aqui fornecidas.
Excluir IPs
Em Respostas automatizadas, selecione Dispositivos.
No separador IPs , selecione Excluir IP para excluir um endereço IP.
No painel de lista de opções, introduza o endereço IP/intervalo de IP/sub-rede IP que pretende excluir. Pode adicionar vários endereços IP e sub-redes IP ao separá-los com uma vírgula.
Adicione um nome e uma nota para a exclusão. Selecione Criar para guardar a exclusão.
Remover exclusões
Para remover uma exclusão:
- Aceda à página Identidades . Selecione a conta de utilizador que pretende remover da lista e, em seguida, selecione Remover.
- Aceda à página Dispositivos e navegue para o separador IPs . Selecione o endereço IP que pretende remover da lista e, em seguida, selecione Remover exclusão.
- As exclusões de grupos de dispositivos podem ser configuradas no separador Grupos de dispositivos . Selecione o grupo de dispositivos que pretende configurar na lista e escolha a exclusão adequada no painel de lista de opções. Selecione Guardar para guardar a exclusão.
Optar ativamente por não participar na interrupção automática do ataque
Optar ativamente por não participar na interrupção do ataque pode aumentar consideravelmente o risco de segurança. Considere excluir entidades específicas .
Se tiver de optar ativamente por não participar na interrupção do ataque, pode fazê-lo ao abrir um pedido de suporte no portal do Microsoft Defender com o assunto Interrupção do ataque. No seu pedido, especifique que pretende optar ativamente por não participar na interrupção do ataque e inclua uma breve explicação sobre a sua decisão. Este feedback ajuda-nos a melhorar a funcionalidade e a compreender melhor as necessidades dos clientes. Ao optar ativamente por não participar, continuará a receber alertas relacionados com a interrupção do ataque, mas não são efetuadas ações automatizadas.
Confira também
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.