Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece informações sobre como excluir recursos de serem contidos automaticamente por interrupção automática de ataques no Microsoft Defender XDR.
A interrupção automática de ataques permite a exclusão de contas de utilizador, dispositivos e endereços IP específicos de ações de contenção automatizadas. Depois de excluídos, estes recursos não serão afetados pelas ações automatizadas acionadas pela interrupção do ataque.
Atenção
Não é recomendado excluir recursos de respostas automatizadas. Excluir recursos de respostas automatizadas pode reduzir a eficácia da interrupção automática de ataques na proteção do seu ambiente contra ataques sofisticados e de alto impacto.
Pré-requisitos
Para excluir recursos de respostas automatizadas em interrupções automáticas de ataques, tem de ter uma das seguintes funções atribuídas em Microsoft Entra ID (https://portal.azure.com) ou no centro de administração do Microsoft 365 (https://admin.microsoft.com):
- Administrador Global
- Administrador de Segurança
Rever ou alterar exclusões de resposta automatizadas para recursos
Para excluir recursos de respostas automatizadas em interrupções automáticas de ataques, siga estes passos:
Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
Aceda a Definições>Microsoft Defender XDR.
Excluir contas de utilizador
Em Resposta automatizada, selecione Identidades.
Para excluir uma conta de utilizador, selecione Adicionar exclusão de utilizador. É apresentado um painel de lista de opções.
No painel de lista de opções, introduza os nomes das contas de utilizador na caixa Selecionar utilizadores e selecione as contas de utilizador que pretende excluir.
Selecione Excluir utilizadores para guardar a exclusão.
Excluir grupos de dispositivos
Atenção
Excluir grupos de dispositivos de respostas automatizadas também afeta ações de investigação e resposta automatizadas .
Em Respostas automatizadas, selecione Dispositivos.
No separador Grupos de dispositivos , selecione um grupo de dispositivos ao selecionar a caixa de verificação junto ao nome do grupo na lista para configurar as definições de automatização de interrupção de ataques.
No painel de lista de opções, selecione o nível de automatização adequado para o grupo de dispositivos. Pode escolher entre qualquer um dos seguintes níveis de automatização adequados para o seu grupo de dispositivos:
- Completo – remediar automaticamente ameaças: contenha automaticamente dispositivos quando é detetada uma ameaça.
- Semi - exigir aprovação para pastas principais: investigue automaticamente os dispositivos quando um alerta é recebido e aplique ações de remediação, exceto em itens dentro de pastas do sistema principal. As ações de remediação para as pastas principais requerem aprovação.
- Semi - exigir aprovação para pastas não temporárias: investigue e aplique automaticamente a remediação a ações dentro de pastas temporárias e de transferência quando é recebido um alerta. Todas as outras ações de remediação requerem aprovação.
- Semi – exigir aprovação para todas as pastas: investigue automaticamente os dispositivos quando é recebido um alerta. Todas as ações de remediação requerem aprovação.
- Sem resposta automatizada: não é efetuada nenhuma investigação ou resposta automatizada para dispositivos neste grupo.
Selecione Guardar para guardar o nível de automatização do grupo de dispositivos.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias expressas ou implícitas relativamente às informações aqui fornecidas.
Excluir IPs
Em Respostas automatizadas, selecione Dispositivos.
No separador IPs , selecione Excluir IP para excluir um endereço IP.
No painel de lista de opções, introduza o endereço IP/intervalo de IP/sub-rede IP que pretende excluir. Pode adicionar vários endereços IP e sub-redes IP ao separá-los com uma vírgula.
Adicione um nome e uma nota para a exclusão. Selecione Criar para guardar a exclusão.
Remover exclusões
Para remover uma exclusão:
- Aceda à página Identidades . Selecione a conta de utilizador que pretende remover da lista e, em seguida, selecione Remover.
- Aceda à página Dispositivos e navegue para o separador IPs . Selecione o endereço IP que pretende remover da lista e, em seguida, selecione Remover exclusão.
- As exclusões de grupos de dispositivos podem ser configuradas no separador Grupos de dispositivos . Selecione o grupo de dispositivos que pretende configurar na lista e escolha a exclusão adequada no painel de lista de opções. Selecione Guardar para guardar a exclusão.
Optar ativamente por não participar na interrupção automática do ataque
Optar ativamente por não participar na interrupção do ataque pode aumentar consideravelmente o risco de segurança. Considere excluir entidades específicas .
Se tiver de optar ativamente por não participar na interrupção do ataque, pode fazê-lo ao abrir um pedido de suporte no portal do Microsoft Defender com o assunto Interrupção do ataque. No seu pedido, especifique que pretende optar ativamente por não participar na interrupção do ataque e inclua uma breve explicação sobre a sua decisão. Este feedback ajuda-nos a melhorar a funcionalidade e a compreender melhor as necessidades dos clientes. Ao optar ativamente por não participar, continuará a receber alertas relacionados com a interrupção do ataque, mas não são efetuadas ações automatizadas.
Consulte também
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.