Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=cloud-native-security-profile-advanced

Configuração avançada do perfil de Detecção em tempo de execução Linux

Os perfis de Detecção em tempo de execução Linux têm várias versões, categorias de regras e opções de filtragem para ajudá-lo a personalizar seus perfis para o seu ambiente.

Versões

Existem duas versões diferentes que podem mudar em um perfil de Detecção em tempo de execução Linux:

  • Versão do perfil: As versões de perfil começam com a criação inicial de um perfil, e uma nova versão é criada cada vez que você faz alterações. Isso permite que você acompanhe as alterações e atualizações do perfil ao longo do tempo.
  • Versão do conteúdo: Esta é a versão do conteúdo padrão do SophosLabs usado em um perfil.

Atualizações de conteúdo

As atualizações de conteúdo do perfil de Detecção em tempo de execução Linux afetam os agentes Sophos Protection for Linux (SPL) e os sensores Sophos Linux Sensor (SLS) de formas diferentes:

  • SPL: Os agentes SPL trabalham com a última versão do conteúdo padrão do SophosLabs. Quando o SophosLabs lança uma versão atualizada do conteúdo padrão, os agentes SPL obtêm esse conteúdo e atualizam seus perfis pré-existentes com base na nova versão do conteúdo. Isso significa que você pode precisar atualizar seus perfis com base nas atualizações do conteúdo padrão do SophosLabs. Por exemplo, selecionar Verdadeiro no filtro Modificado em um perfil mostrará apenas as regras que você editou anteriormente, para que você possa verificar se há alterações.
  • SLS: O SLS permite configurar perfis com base na versão do conteúdo padrão do SophosLabs que você está usando em seus sensores. O SLS deve ser atualizado manualmente quando uma nova versão de conteúdo estiver disponível.

Categorias de regras

Os perfis de Detecção em tempo de execução Linux têm duas guias de regras: Análise de detecção e Política inteligente.

Análise de detecção

Análise de detecção inclui detecções baseadas em monitoramento de sistema de baixo nível que detectam indicadores de comportamento malicioso. O SophosLabs as separa nas seguintes categorias:

  • Exploração de aplicativos: Detecta a exploração de aplicativos em execução no host, por exemplo, corrupção de memória ou comportamento incomum do aplicativo.
  • Exploração de sistemas: Detecta a exploração de vulnerabilidades no sistema Linux, por exemplo, escalonamento de privilégios e adulteração de mecanismos de segurança.
  • Persistência: Detecta eventos que fornecem acesso contínuo após a reinicialização do host, por exemplo, backdoors userland ou kernel.

Política inteligente

Política inteligente inclui detecções baseadas na atividade após um evento em que um processo já disparou uma detecção inicial. Essas detecções ajudam a fornecer contexto para eventos adicionais que podem ser maliciosos. O SophosLabs as separa nas seguintes categorias:

  • Atividade do arquivo: Alterações a binários, configurações e atualizações de arquivos do sistema.
  • Atividade da rede: Atividade que indica movimento lateral e comportamento do serviço de rede.
  • Atividade do processo: Execução anormal do processo, uso de compilador ou depurador e alterações e atualizações de tarefas agendadas.
  • Atividade de usuário: Atualizações de privilégios e contas de usuários.

Detalhes

Você pode ver os seguintes detalhes das regras em cada guia:

  • Nome da regra: O nome da regra. Clique em Nome da regra na parte superior da coluna para classificar as regras em ordem alfabética.
  • Descrição da regra: O comportamento que dispara o alerta e por que ele pode ser considerado malicioso.
  • Modificada: Mostra se a regra foi modificada ou não do conteúdo padrão do SophosLabs.
  • Configurável: Mostra se a regra pode ou não ser personalizada.
  • Categoria: A categoria da regra. Consulte Categorias de regras.
  • Habilitado: Mostra se a regra está ativada ou desativada.

Filtros

Você pode aplicar filtros à lista para facilitar a busca de regras individuais. É possível filtrar a lista por Categoria, Habilitado, Modificada e Configurável. Para aplicar filtros, siga este procedimento:

  1. Clique em Exibir filtros.
  2. Expanda as categorias que você deseja filtrar.

  3. Selecione os itens que deseja exibir na lista de regras.

    Dica

    Você pode aplicar vários filtros em várias categorias simultaneamente.

  4. Clique em Aplicar.

Clique em Ocultar filtros para ocultar as opções de filtro.

Para remover todos os filtros aplicados, clique em Apagar todos e, em seguida, clique em Aplicar.

Nota

Clicar em Ocultar filtros não remove os filtros da lista de regras. Você deve eliminar manualmente os filtros aplicados.

Detalhes da regra

Você pode clicar em uma regra para ver os seguintes detalhes e opções de personalização:

  • Habilitado: Mostra se a regra está ativada ou desativada.
  • Descrição: O comportamento que dispara o alerta e por que ele pode ser considerado malicioso.
  • Mensagem de alerta: A mensagem de alerta exibida quando a regra é disparada.
  • Prioridade: A severidade do alerta.
  • Técnicas de ataque MITRE: A técnica MITRE relacionada à regra. Clicar no número da técnica levará você à página MITRE relevante com os detalhes completos sobre a detecção.
  • Saída: O conteúdo do campo "saída" em uma detecção.

Listas de permissão e bloqueio

Lista de permissão/bloqueio permite selecionar nas listas de permissão e bloqueio associadas à regra em um menu suspenso. Essas listas permitem que você ative ou desative itens individuais dentro de uma regra para se adequar ao seu ambiente.

Adicionar uma entrada

Você pode clicar em Adicionar uma entrada para adicionar um item personalizado a uma regra.

Você pode diferenciar itens personalizados de itens padrão do SophosLabs procurando o escudo da Sophos Escudo da Sophos., que só aparece nos itens padrão do SophosLabs.

Clique em Deletar Deletar. para remover um item personalizado de uma Lista de permissão/bloqueio.