Monitoramento e Resposta a Ameaças de Proteção de Endpoint

Este artigo explica como monitorar e responder a ameaças identificadas pelos motores de Proteção de Endpoint (EPP) da Cato.

Visão geral

Para aumentar sua conscientização sobre possíveis ameaças para seus endpoints e usuários finais, você pode visualizar e analisar detalhes de possíveis ameaças para determinar como responder. Se uma atividade potencialmente maliciosa for identificada por um motor EPP, um Evento é criado contendo a informação relevante. Os eventos EPP proporcionam informações chave sobre a ameaça identificada, por exemplo, o endpoint onde a ameaça ocorreu, a hora e data da ameaça, e o nome do arquivo que desencadeou o evento. Para mais informações sobre a análise de eventos, consulte Analisando Eventos na Sua Rede

Você também pode visualizar uma visão geral das ameaças detectadas pelo EPP na sua rede a partir do Painel de Proteção de Endpoint.

Arquivos identificados como maliciosos podem ser criptografados e colocados em quarentena, dependendo de suas configurações de proteção. Você pode visualizar arquivos em quarentena e, se considerados seguros, restaurá-los para seu local de origem.

Identificando Ameaças de Proteção de Endpoint

Você pode visualizar todos os eventos acionados pela proteção de endpoint dentro de um intervalo de tempo definido. O campo Tipo de Motor fornece informações sobre qual motor acionou o evento.

Nota

Nota: Um evento pode levar 6 minutos para ser criado após um arquivo ser bloqueado.

Para identificar ameaças nos seus endpoints:

  1. No menu de navegação, clique em Inicial > Eventos.
  2. Na barra de filtro de eventos, clique no ícone de Padrões.

  3. Na lista de Predefinições, selecione Proteção de Endpoint.

    As ameaças identificadas pelo EPP são exibidas.

Compreensão dos Campos de Eventos

A tabela a seguir lista os campos de evento em um evento de Malware EEP.

Nome do campo Descrição
Ação Ação que é relevante para o tipo de evento que o EPP tentou executar.
Ações de Mitigação Realizadas

Ação realizada pelo EPP. As ações de mitigação são:

  • Negar: O usuário SDP é negado de acessar o arquivo
  • Desinfectar Apenas: O conteúdo malicioso identificado no arquivo é removido. Se isso falhar, o arquivo permanecerá em sua localização atual
  • Excluir persistente: O conteúdo malicioso identificado no arquivo é removido. Se isso falhar, o arquivo é excluído
  • Excluir: O arquivo é excluído
  • Mover para quarentena: O arquivo é movido para a quarentena
  • Ignorar: Nenhuma ação é tomada

As ações de mitigação são definidas pelo Perfil EPP. Para mais informações, consulte Configuração da Proteção de Endpoint.
Ações Realizadas Lista de todas as ações realizadas. Por exemplo, o EPP tentou colocar um arquivo em quarentena, a ação falhou e então o EPP tentou excluir o arquivo. As ações realizadas são:
[Quarentena, Excluir]
Versão do Cliente Número de versão do EPP.
Nome do Dispositivo Nome do computador do endpoint.
ID do Endpoint ID único do agente EPP.
Tipo de Motor Motor que detectou a ameaça.
Perfil de Proteção de Endpoint Perfil EPP no endpoint.
Contagem de Eventos Contagem para eventos que são repetidos várias vezes durante um minuto.
Sub-Tipo Categoria de Sub-Tipo do evento.
Tipo de Evento Categoria do evento.
Hash do Arquivo Hash do arquivo suspeito.
Nome do Arquivo Caminho do arquivo e nome do arquivo suspeito.
Operação do Arquivo Ação que o usuário final executou para acionar o evento.
Status Final do Objeto

O status final de um arquivo após todas as ações serem realizadas (ou tentativas de serem realizadas) 

SCAN_FAILED significa que o EPP não conseguiu escanear o arquivo
Nome do ISP ISP ao qual o endpoint está conectado.
Usuário Conectado Usuário final conectado no momento do evento.
Nome do Objeto Caminho do arquivo e nome do arquivo suspeito.
Tipo de SO Sistema operacional do endpoint.
Versão do SO Versão do sistema operacional do endpoint.
SID do Usuário SID do endpoint.

Colocando Arquivos em Quarentena

Se sua Proteção estiver configurada para Bloquear e Remediar, o EPP criptografa e coloca em quarentena arquivos maliciosos. Isso impede o usuário final de acessar o arquivo e impede que processos prejudiciais sejam executados no endpoint. Colocar em quarentena ameaças potenciais garante que seus endpoints permaneçam seguros e reduz o risco de infecção em todo o seu ambiente.

Você pode monitorar arquivos em quarentena e restaurá-los para a localização original se forem seguros.

Monitoramento de Arquivos em Quarentena

Você pode monitorar os arquivos que foram colocados em quarentena em cada endpoint.

Para revisar arquivos em quarentena:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tabela Endpoints Protegidos é exibida.

  2. Na coluna Arquivos em Quarentena, clique no número do endpoint cujos arquivos em quarentena deseja visualizar.

    Os arquivos em quarentena no endpoint são exibidos.

    Nota

    Se a coluna Arquivos em Quarentena estiver vazia, nenhum arquivo em quarentena foi encontrado no endpoint

Restaurando Arquivos em Quarentena

Se um arquivo foi erroneamente colocado em quarentena ou se você considera o arquivo seguro, pode restaurá-lo para a localização original no endpoint. O usuário final pode então acessar o arquivo. Após um arquivo ser restaurado da quarentena, ele é adicionado à Lista de Permissão.

Para restaurar arquivos em quarentena:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tabela Endpoints Protegidos é exibida.

  2. Na coluna Arquivos em Quarentena, clique no número da linha do endpoint do qual você deseja restaurar um arquivo em quarentena.

    A tabela Quarentena é exibida.

  3. No arquivo que você deseja restaurar, clique nos três pontos no final da tabela.

  4. Clique em Restaurar.

    O arquivo é restaurado para sua localização original.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário