Casos
Você precisa ter o Sophos EDR, XDR ou MDR para usar esse recurso.
A página Casos agrupa eventos suspeitos relatados por nosso recurso Detecções e ajuda você ou a sua equipe MDR a investigar e responder aos eventos.
Como funcionam os casos
Criamos e gerenciamos casos para você automaticamente, ou você pode criar e gerenciar seus próprios casos.
Casos que a Sophos gerencia
Criamos os casos para você automaticamente. Eles se concentram nas detecções que achamos que precisam ser investigadas.
- Criamos um caso quando há uma detecção de alto risco, se ela ainda não tiver sido incluída em um caso no mesmo dia.
- Adicionamos detecções posteriores ao caso se compartilharem o mesmo tipo de detecção.
- Se o caso for baseado em detecções MDR, investigamos e respondemos. Esse é um caso "gerenciado pela Sophos".
Nota
Se o caso for baseado em detecções do Sophos XDR, não investigamos. Consulte Casos que você gerencia.
Casos que você gerencia
Se criarmos um caso baseado em detecções XDR, esse será um caso "autogerenciado". Quando você for rever os seus casos, procure por "você" nos detalhes em "Gerenciado por". Você precisa atribuir um administrador para investigar e responder. Consulte Atribuir casos.
Você também pode criar e gerenciar seus próprios casos manualmente. Consulte Criar casos.
Exibir casos
Para exibir seus casos, vá para Centro de Análise de Ameaças > Casos.
Nota
A primeira vez que você visualizar esta página, a lista pode estar vazia. Volte mais tarde para ver os casos criados automaticamente ou crie os seus próprios casos. Se você ainda não conseguir ver os casos, consulte Solucionar casos.
A lista Casos inclui os seguintes detalhes de cada caso.
Severidade
| Nível | Cor | Descrição |
|---|---|---|
| Crítico | Vermelho | Um comprometimento confirmado ou acesso não autorizado aos sistemas. |
| Alto | Laranja | Detecções que indicam um ataque direcionado que pode causar um comprometimento ou acesso não autorizado. |
| Médio | Amarelo | Detecções que podem não ser consideradas maliciosas por si só e não são vistas como direcionadas. |
| Baixo | Cinza escuro | Detecções que não indicam baixa integridade, atividade maliciosa ou comprometimento ou acesso não autorizado. |
| Info | Cinza claro | Um nível de severidade especial normalmente utilizado nas verificações iniciais de integridade. |
Status
Casos gerenciados pela Sophos podem mostrar os seguintes status:
- Em andamento: Ainda estamos analisando os dados.
- Ação exigida: Você precisa agir. Notificamos os seus contatos.
- Resolvido: Resolvemos a ameaça.
Gerenciado por
Você pode ver quem gerencia o caso:
- Sophos: Nossa equipe MDR investiga o caso e responde. Você não pode fazer nenhuma alteração, mas pode responder à equipe MDR sobre o caso.
- Você: Você deve investigar o caso e responder.
Exibir detalhes do caso
Para ver os detalhes de um caso e acompanhar o seu progresso, faça o seguinte:
-
Na página Casos, clique no ID do caso ao lado do caso.
-
Na página Detalhes do caso, o cabeçalho da página mostra a severidade, o status e o proprietário. Ele também mostra quando o caso foi criado, atribuído e atualizado pela última vez.
-
Se o caso for Autogerenciado, clique em Pergunte ao Sophos AI à direita da página para usar o Assistente Sophos AI para investigar o caso.
Para obter ajuda para usar o assistente, consulte Assistente AI.
A página Detalhes do caso também tem guias com mais detalhes.
Guia Visão geral
A guia Visão geral é aberta por padrão. Ela mostra quantas detecções foram adicionadas ao caso, as táticas MITRE detectadas, os dispositivos e usuários afetados, um resumo do caso e detalhes das atividades recentes sobre o caso.
Nos casos Autogerenciados, esta guia permite que você utilize ferramentas de IA para investigar o caso. Consulte Investigar casos.
Táticas MITRE
Táticas MITRE lista todas as táticas e técnicas MITRE ATT&CK que detectamos.
Clique na seta dobrada ao lado da tática para ver a técnica.
Clique no link ao lado de qualquer tática ou técnica, por exemplo, Acesso a credenciais, para ver seus detalhes no site da MITRE.
Resumo do caso
Se você for um cliente MDR, a equipe MDR insere um resumo do caso para você. Se você é um cliente XDR, pode usar o Sophos AI para gerar um resumo do caso, ou inserir seu próprio resumo.
Linha de comando
O comando executado pela ameaça que gerou o caso. Se você é um cliente XDR, pode usar o Sophos AI para analisar a linha de comando e descobrir suas intenções e possíveis impactos.
Atividade recente
Atividade recente mostra alterações recentes ao caso. Clique em Ver tudo para ir para a guia Histórico.
Guia Detecções
A guia Detecções lista todas as detecções incluídas no caso. Ela mostra os mesmos detalhes da lista na página de Detecções. Consulte Detecções.
Guia Anotações
Se você estiver trabalhando em um caso autogerenciado, use a guia Anotações para manter um registro de suas investigações.
Guia Mensagens
Na guia Mensagens, você pode ver mensagens da equipe Sophos MDR sobre o caso e responder.
- As mensagens enviadas vão para a caixa de entrada do MDR. Responderemos mais tarde.
- As mensagens que você envia ou recebe são copiadas para as caixas de correio de seus contatos autorizados, para que você não perca nenhuma mensagem.
- Você pode enviar e receber anexos, bem como mensagens.
Guia Histórico
A guia Histórico mostra o histórico de toda a atividade nesse caso. Por exemplo, detecções adicionadas ou alterações no status, proprietário e assim por diante.
Solucionar casos
Casos são baseados em detecções encontradas em dados que seus dispositivos carregam para o Sophos Data Lake. Normalmente, esses carregamentos são ativados por padrão. Se você não estiver recebendo detecções, verifique se estão ativados.
Para verificar se os dados foram carregados dos produtos Sophos, consulte Uploads ao Data Lake. Para obter dados de produtos de terceiros, consulte Sobre integrações do MDR e XDR.