Pular para o conteúdo

Instantâneos forenses

Instantâneos forenses capturam atividades recentes em um dispositivo.

Quando detectamos uma ameaça, um instantâneo é criado automaticamente no dispositivo e usado para criar um gráfico de ameaças, que mostra como um ataque se desenvolveu.

Você também pode criar instantâneos forenses sob demanda e fazer sua própria análise.

A página descreve como:

  • Criar instantâneos forenses.
  • Acessar instantâneos forenses.
  • Definir o intervalo de tempo para os instantâneos forenses.

Você também pode:

Você pode carregar instantâneos apenas de dispositivos Windows. Você também deve ter uma licença XDR ou MDR.

Criar um instantâneo forense

Você pode criar um instantâneo forense a partir dos detalhes do dispositivo no Sophos Central ou a partir de um gráfico de ameaças.

Criar um instantâneo a partir dos detalhes do dispositivo

Para criar um instantâneo a partir dos detalhes do dispositivo, faça o seguinte:

  1. No Sophos Central, vá para Meus produtos > Computadores e servidores.
  2. Clique no nome do dispositivo para o qual deseja gerar um instantâneo.
  3. Na guia Resumo na página de detalhes do dispositivo, clique em Mais ações e selecione Criar instantâneo forense.
  4. Em Criar instantâneo forense, clique em Criar agora.

Por padrão, um instantâneo é criado em %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Como alternativa, você pode carregar os instantâneos para um bucket S3. Consulte Carregar instantâneos forenses para um bucket S3 da AWS.

Você deve converter seu instantâneo para um formato que permita analisá-lo. Consulte Converter instantâneos forenses.

Criar um instantâneo a partir de um gráfico de ameaças

Para criar um instantâneo a partir de um gráfico de ameaças, faça o seguinte:

  1. No Sophos Central, vá para Centro de Análise de Ameaças > Gráficos de ameaças.
  2. Selecione uma ameaça detectada associada ao dispositivo para o qual deseja gerar um instantâneo.
  3. No Gráfico de Ameaças, clique em Criar instantâneo forense abaixo da tabela de artefatos.

Por padrão, um instantâneo é criado em %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Como alternativa, você pode carregar os instantâneos para um bucket S3. Consulte Carregar instantâneos forenses para um bucket S3 da AWS.

Você deve converter seu instantâneo para um formato que permita analisá-lo. Consulte Converter instantâneos forenses.

Acessar instantâneos forenses

Você pode acessar instantâneos forenses no dispositivo.

Nota

Com a proteção contra adulterações ativada, você deve executar a partir de um prompt de comando elevado para obter acesso a instantâneos salvos.

Por padrão, os instantâneos criados estão em %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Os instantâneos que criamos automaticamente com base em detecções estão em %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Definir intervalo de tempo para instantâneos

Por padrão, um instantâneo inclui dados pertinentes às duas semanas anteriores.

Você pode alterar o intervalo de tempo ou optar por incluir todos os dados disponíveis, da seguinte forma:

  1. No Sophos Central, vá para Configurações globais > Instantâneos forenses.
  2. Em Definir intervalo de tempo para instantâneo forense, selecione um intervalo de tempo ou Todos os dados de log.

Carregar instantâneos para um bucket S3

Você pode carregar instantâneos forenses para um bucket S3 da AWS. Assim você pode acessar os seus instantâneos com mais facilidade em uma localização única, em vez de ir a cada dispositivo.

Para obter detalhes sobre como configurar um bucket S3 da AWS para que você possa carregar instantâneos, consulte Carregar instantâneos forenses para um bucket S3 da AWS.

  • Coleção de logs forenses


    Se você definir uploads a um bucket S3 da AWS aqui, nosso novo recurso de Coleção de logs forenses usa as mesmas configurações para carregar logs.

    No momento, a Coleção de logs forenses só está disponível em nossa API do Sophos Central. Consulte https://developer.sophos.com/api.