Pular para o conteúdo

Resolver alertas de PUA

Isso é o que você pode fazer para resolver alertas de PUA.

Usamos alertas para informar quando você precisa agir ou se precisar investigar uma detecção de aplicativo potencialmente indesejado (PUA). Também dizemos se tentamos eliminar o PUA. Mostramos isso na página de detalhes do dispositivo. Consulte Dispositivos.

Também podemos gerar um gráfico de ameaça. Isso fornece mais informações sobre o PUA detectado. Consulte Gráficos de ameaças.

Verificar se o PUA é um falso positivo

Às vezes, a detecção de malware pode estar incorreta. Por exemplo, a detecção Deep Learning (nome da detecção: ML/PE-A) usa o machine learning para identificar malware nunca antes visto. Embora seja altamente eficaz, às vezes pode identificar aplicativos legítimos como malware.

Se a detecção estiver incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Se a detecção estiver correta, você deve eliminar o aplicativo.

Se você não tiver certeza de que o aplicativo é mal-intencionado ou um PUA, deverá investigar o alerta. Em seguida, você pode permitir ou eliminar o aplicativo conforme apropriado.

Investigar um alerta

O alerta pode não fornecer todas as informações necessárias sobre um PUA detectado. Revise todas as informações que puder sobre um PUA detectado se não tiver certeza se ele é mal-intencionado ou indesejado.

Para isso, siga este procedimento:

  1. Verifique se há um gráfico de ameaça. No Sophos Central, vá para Centro de Análise de Ameaças > Gráfico de ameaça.
  2. Procure um gráfico de ameaça associado ao PUA detectado.

    Se houver um gráfico de ameaça, ele mostrará os detalhes do PUA detectado. Ele mostra qualquer atividade que tenha sido executada e se há outros arquivos ou processos suspeitos a serem investigados.

    1. Se não houver um gráfico de ameaça, crie um.
  3. Opcional: Se apropriado, entre em contato com o usuário para descobrir o que aconteceu no momento em que a infecção ocorreu. Por exemplo, o usuário clicou em um link em um e-mail ou conectou uma unidade USB?

  4. Investigue o gráfico de ameaça e siga as etapas sugeridas para lidar com o problema.

    Para obter ajuda sobre como investigar ameaças usando gráficos de ameaça, consulte Análise do gráfico de ameaça.

  5. Após concluir a investigação, escolha uma das seguintes opções:

    • Se achar que a detecção está incorreta, dê permissão ao aplicativo ou adicione uma exclusão. Consulte Lidar com um falso positivo.
    • Se você acha que a detecção está correta, elimine o aplicativo. Consulte Eliminar um PUA.
  6. Resolva o alerta. Consulte Resolver um alerta.

Lidar com um falso positivo

Se achar que a detecção está incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Alerta

Tenha cuidado ao permitir aplicativos ou adicionar uma exclusão. Isso pode reduzir sua proteção.

Por exemplo, se você excluir um diretório e o malware também for executado desse local, o malware não será bloqueado.

Para lidar com um falso positivo, faça o seguinte:

  • Se quiser permitir um aplicativo, faça o seguinte.

    1. Vá para Dispositivos > Computadores ou Servidores, de acordo com o local onde o aplicativo foi detectado.
    2. Localize o dispositivo onde ocorreu a detecção e veja seus detalhes.
    3. Na guia Eventos, localize o evento de detecção e clique em Detalhes.
    4. Na caixa de diálogo Detalhes do evento, procure em Permitir este aplicativo.
    5. Escolha como deseja permitir o aplicativo.

      • Certificado (somente Windows): Nossa recomendação. Permite também outros aplicativos com o mesmo certificado.
      • SHA-256 (Windows, Linux): Permite esta versão do aplicativo. No entanto, se você atualizar o aplicativo, poderemos detectá-lo novamente.
      • Caminho (Windows): Permite que o aplicativo seja instalado nesse local. Você pode usar variáveis se o aplicativo estiver instalado em locais diferentes em diferentes computadores.
      • Caminho (Linux): Permite o aplicativo enquanto ele permaneça instalado no mesmo caminho (local) mostrado. Você pode editar o caminho (agora ou posteriormente) e usar variáveis se o aplicativo estiver instalado em diferentes locais em diferentes computadores. Você deve usar barras.

        Nota

        Você também pode usar as seguintes opções para excluir um caminho de arquivo da varredura no Linux:

    6. Clique em Permitir.

    Para obter mais informações sobre a permissão de aplicativos, consulte Aplicativos permitidos.

  • Se você quiser adicionar uma exclusão, recomendamos que use exclusões baseadas em políticas. Você pode direcionar suas exclusões e torná-las o mais específicas possível. Para adicionar uma exclusão, siga este procedimento:

    1. Para endpoints, vá para Meus produtos > Endpoint > Políticas e configure uma exclusão.

      Consulte Política de proteção contra ameaças.

    2. Para servidores, vá para Meus produtos > Server > Políticas e configure uma exclusão.

      Consulte Política de proteção contra ameaças ao servidor.

  • Para endpoints, você pode permitir um aplicativo na página Alertas. Para isso, siga este procedimento:

    1. Vá para Alertas.
    2. Encontre o alerta do PUA.
    3. Clique em Autorizar PUA.

      Alerta

      Isso autoriza a execução do PUA em todos os computadores. Recomendamos que você permita um aplicativo usando o seu certificado ou SHA-256.

Agora você pode resolver o alerta.

Eliminar um PUA

Se você acha que a detecção está correta, é possível eliminar o aplicativo. Uma boa ideia seria investigar o PUA primeiro. Isso ajuda a obter mais informações sobre processos associados e outros arquivos suspeitos.

Para eliminar um PUA, faça o seguinte:

  1. Acesse o computador.
  2. Delete o aplicativo, processos associados e chaves de registro.

Resolver um alerta

Quando você tiver permitido ou removido o aplicativo, poderá resolver o alerta. Para isso, siga este procedimento:

  1. Vá para Alertas.
  2. Vá para o alerta.
  3. Clique em Marcar como resolvido.