Configure a capacidade de Parar e Quarentena de arquivos em Microsoft Defender for Endpoint

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Pare e coloque em quarentena arquivos da plataforma Microsoft Defender.

    Antes de Iniciar

    Tipos de observáveis compatíveis: Hash SHA1.

    Tabela 1. Requisitos para a capacidade de parar e colocar arquivo em quarentena
    Entrada Descrição
    Comentar (Obrigatório) Comentário a ser associado à ação)

    Função necessária: sn_si.admin ou sn_si.analista

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode executar a ação Parar e colocar arquivo em quarentena somente nos observáveis específicos do tipo SHA1. Armazene os detalhes na tabela Ações adicionais no endpoint. Você pode acionar o recurso Parar e colocar arquivo em quarentena na lista relacionada de detalhes de máquinas relacionadas ao Microsoft Defender para endpoint.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com o Microsoft Defender para obter informações de endpoint.
    3. Na seção Links relacionados, clique em Mostrar todas as listas relacionadas .
    4. Clique na lista relacionada Detalhes de máquinas relacionadas do Microsoft Defender para endpoint.
    5. Selecione um ou mais registros.
    6. Em Ações nas linhas selecionadas, selecione Arquivo de interrupção e quarentena capacidade.
    7. Valide a atividade de automação e a seção de atividades.
    8. Exiba os dados e valide os dados nas listas relacionadas.
    9. Exiba as atividades de automação da execução e valide-as.