Gerenciando a Solução de Proteção de Endpoint

Este artigo explica como gerenciar os agentes EPP que você instalou em seus endpoints.

Visão Geral

Após instalar agentes em seu ambiente, você pode precisar tomar ações nos endpoints para o gerenciamento diário da sua solução de EPP.

Você pode revisar os endpoints protegidos em seu ambiente e, se necessário, tomar várias ações para gerenciar o EPP. Os agentes executam uma ação de cada vez, você pode optar por terminar uma ação a qualquer momento, e após 7 dias, se uma ação não for tomada, ela expira.

Algumas das ações que você pode ativar no CMA para executar em um endpoint são:

Se necessário, você também pode atualizar manualmente o agente em um endpoint.

Revisão de Pontos Finais Protegidos

Após registrar Endpoints com seu Token do Agente, a solução começa a relatar dados em tempo real, por exemplo:

  • A versão utilizada em cada endpoint

  • O perfil aplicado a cada endpoint

2023-03-16_16-27-48.png

Nota

Nota: Dispositivos localizados na China não conseguem registrar seu EPP no Cato devido a restrições regionais.

Para revisar os endpoints protegidos:

  • No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos é aberta.

Entendendo as Colunas da Tabela de Pontos Finais Protegidos

A tabela a seguir é uma explicação das colunas na tabela Endpoints Protegidos.

Coluna

Explicação

ID do Endpoint

ID único do agente EPP.

Nome do Endpoint

Nome do computador do endpoint.

Usuário

Último usuário a fazer login no endpoint. Em dispositivos compartilhados, o usuário pode mudar ao longo do tempo.

IP

Endereço IP do endpoint.

Versão do SO

Sistema operacional do endpoint.

Versão do EPP

Versão da solução EPP instalada no Endpoint.

Perfil

Perfil EPP atribuído ao Endpoint.

O símbolo de relógio exibido nesta coluna significa que o Endpoint ainda não recebeu o perfil EPP. O perfil EPP é atribuído na próxima vez que o endpoint estiver online.

Arquivos em Quarentena

Número de arquivos em quarentena no endpoint.

Estado

Status da solução EPP. Os possíveis status são:

  • Iniciando: A solução EPP está sendo instalada no endpoint

  • Protegido: A solução EPP está online e protegendo o endpoint

  • Não Protegido: A solução EPP possui um Perfil com Anti-Malware configurado para Monitor

  • Erro: A solução EPP tem um erro. Passe o mouse sobre o símbolo de ponto de interrogação para obter mais informações sobre o erro.

    Veja a Solução de Problemas de EPP para mais informações sobre como resolver o erro.

Exportar a Tabela de Pontos Finais Protegidos

Você pode exportar o conteúdo da Tabela de Endpoints Protegidos para um arquivo CSV para alinhar com um MDM e garantir que todos os endpoints relevantes apareçam na tabela.

Para exportar a lista de endpoints protegidos:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos abre.

  2. Clique em Exportar no canto superior direito da página.

Protegendo a Solução EPP da Cato

O EPP da Cato tem proteção Anti-Violação ativada por padrão. Isso protege os processos, arquivos, serviços e registros usados pela solução EPP de modificações maliciosas ou tentativas de encerramento. Isso também protege contra ações não intencionais do usuário final que possam comprometer a segurança.

Desativando a Proteção do EPP

Você pode desbloquear temporariamente a proteção Anti-Violação por 15 minutos, por exemplo, se precisar desinstalar a solução. Após esse tempo, ou se o endpoint for reiniciado, a proteção Anti-Violação será reativada.

Para desbloquear proteção:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos é exibida.

  2. Clique nos três pontos (Three_Dots.png) no ponto final que você está desbloqueando a proteção.

  3. Clique em Desbloquear Anti-Violação.

    A proteção contra violação é temporariamente desativada.

Removendo EPP de um Ponto Final

Se o EPP não for mais necessário em um endpoint, ele pode ser desinstalado e, se necessário, excluído de sua conta. Após a solução ser desinstalada, os motores EPP não podem escanear atividades maliciosas e nenhum Evento é informado. O endpoint permanece na tabela de Endpoint Protegido até ser excluído.

  • Desinstalar remove completamente o cliente EPP, no entanto, se você reinstalar o cliente, ele será automaticamente registrado como o usuário anterior antes da desinstalação.
  • A exclusão exclui a associação deste ponto final com a conta; ela parará de proteger, não carregará eventos, etc. A exclusão também permitirá que o cliente se registre novamente usando um token

Desinstalando e Excluindo um Endpoint

Você pode desinstalar o EPP de um endpoint e excluir o endpoint de sua conta em uma única ação.

Nota

Nota: Suportado a partir do Agente EPP v1.1. Se você tentar excluir e desinstalar o Agente EPP v1.0, nenhuma ação será tomada até que o Agente seja atualizado para v1.1.

Para desinstalar e excluir um endpoint:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos é exibida.

  2. Clique nos três pontos (Three_Dots.png) no ponto final que você está excluindo.

  3. Clique em Remover Endpoint.

    A caixa de diálogo Remover Endpoint é exibida.

  4. Clique em Remover Endpoint & Desinstalar Agente.

    O EPP é desinstalado do endpoint e o endpoint é excluído de sua conta.

Desinstalando um Endpoint

Você pode desinstalar o EPP em um endpoint para que os motores EPP não possam escanear atividades maliciosas e nenhum Evento seja relatado. Até que o endpoint seja excluído, ele é visível na tabela de Endpoint Protegido.

Para desinstalar um endpoint:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos é exibida.

  2. Clique nos três pontos (Three_Dots.png) no ponto final que você está desinstalando.

  3. Clique em Desinstalar Agente.

    A caixa de diálogo Desinstalar Agente é exibida.

  4. Clique em Desinstalar Agente.

    O EPP é desinstalado do endpoint.

Excluindo um Endpoint

Se o EPP não estiver mais instalado em um endpoint, o endpoint pode ser excluído da tabela de Endpoint Protegido.

Nota

Nota: Não exclua um endpoint da tabela de Endpoint Protegido antes que o EPP tenha sido desinstalado.

Para excluir um endpoint:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

    A tela Endpoints Protegidos é exibida.

  2. Clique nos três pontos (Three_Dots.png) no ponto final que você está excluindo.

  3. Clique em Remover Endpoint.

    A caixa de diálogo Remover Endpoint é exibida.

  4. Clique em Remover Endpoint.

    O Endpoint é excluído da tela de Endpoints Protegidos.

Encerrando uma Ação

Após uma ação ser criada, você pode encerrá-la a qualquer momento.

Para encerrar uma ação:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

  2. Clique na aba Histórico de Ações.

  3. Clique nos três pontos (Three_Dots.png) na ação que você está encerrando.

  4. Clique Cancelar Ação.

Revisando Ações do Endpoint

Você pode visualizar o status quase em tempo real e o histórico das ações enviadas ao agente EPP. O agente EPP envia uma atualização sobre o status de uma ação recebida a cada 30 segundos.

Nota

Nota: As Ações podem ser revisadas a partir da Versão 1.2 do agente e superior.

Actions_EPP.png

Para revisar ações do endpoint:

  1. No menu de navegação, clique em Acesso > Endpoints Protegidos.

  2. Clique na aba Histórico de Ações.

Compreendendo as Colunas da Tabela Histórico de Ações

O seguinte descreve a tabela Histórico de Ações.

Coluna

Explicação

ID da Ação

Referência única da ação.

ID do Endpoint

ID único do agente EPP.

Criado Em

Registro de tempo de quando a ação foi criada.

Nome do Endpoint

Nome do computador do endpoint.

Ação

Ação executada no endpoint.

Status

O status quase em tempo real da ação. Os status possíveis são:

  • Pendente: A ação foi enviada para o agente EPP, mas não foi entregue.

  • Entregue: A ação foi recebida pelo agente EPP, mas não foi executada.

  • Executando: A ação está em execução.

  • Concluído: A ação foi concluída com sucesso.

  • Expirado: A ação não foi executada após 7 dias.

  • Terminação-Pendente: Um pedido de término da ação foi enviado para o agente EPP, mas não foi recebido.

  • Terminação-Entregue: Um pedido de encerramento da ação foi recebido pelo agente EPP.

  • Encerrado: A ação foi interrompida.

  • Erro: Ocorreu um problema.

Detalhes

Informações adicionais sobre a ação.

Hora da Última Atualização

Registro de tempo da última vez que uma atualização da ação foi recebida.

Criado Por

O administrador que criou a ação.

Status do Endpoint

O status do endpoint.

Atualizando um Agente Manualmente

Quando uma nova versão de agente é lançada, os agentes na sua conta são automaticamente atualizados gradualmente para a versão mais recente. Por várias razões, pode ser necessário atualizar um agente manualmente.

Para atualizar um agente manualmente:

  1. Desativar Anti-Violação no endpoint:

    • Para agentes online: Isso pode ser concluído no CMA. Veja para mais informações

    • Para agentes offline: No caminho do arquivo C:\Program Files\Cato Networks\CatoEndPointProtection crie um arquivo vazio chamado disable_anti_tamper (sem extensão)

      Nota: Isso está disponível apenas para agentes abaixo da v1.3

  2. No CMA, no menu de navegação, clique em Acesso > Implementação do Cliente e baixe o agente EPP.

  3. Distribua o agente com um MDM ou instale manualmente em um endpoint.

    Nota:

    • Se você desativou o Anti-Violação no CMA, deverá distribuir o agente dentro de 15 minutos após desativar o Anti-Violação

    • Se você desativou o Anti-Violação com um arquivo, exclua o arquivo após a conclusão da atualização

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário