Configurar a capacidade de parar e colocar arquivo em quarentena no Microsoft Defender for Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Interrompa e coloque em quarentena arquivos da plataforma Microsoft Defender.

    Antes de Iniciar

    Tipos de observável compatíveis: hash SHA1

    Tabela 1. Requisitos para a capacidade de interromper e colocar arquivo em quarentena
    Entrada Descrição
    Comentário (Obrigatório) Comentário a ser associado à ação)

    Função necessária: sn_si.admin ou sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar a ação Interromper e colocar arquivo em quarentena somente em observáveis específicos do tipo SHA1. Armazene os detalhes na tabela Ações adicionais no endpoint. Você pode acionar o recurso Interromper e colocar arquivo em quarentena na lista relacionada de detalhes do Microsoft Defender para máquinas relacionadas ao endpoint.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações do Microsoft Defender for Endpoint.
    3. Na seção de links relacionados, clique em Mostrar todas as listas relacionadas.
    4. Clique na lista relacionada Detalhes de máquinas relacionadas ao Microsoft Defender for Endpoint.
    5. Selecione um ou mais registros.
    6. Em Ações nas linhas selecionadas, selecione o recurso Parar e colocar arquivo em quarentena.
    7. Valide a atividade de automação e a seção de atividades.
    8. Exiba os dados e valide os dados nas listas relacionadas.
    9. Exiba as atividades de automação da execução e valide-as.