Pular para o conteúdo

Resolver alertas de PUA

Isso é o que você pode fazer para resolver alertas de PUA.

Usamos alertas para informar quando você precisa agir ou se precisar investigar uma detecção de aplicativo potencialmente indesejado (PUA). Também dizemos se tentamos eliminar o PUA. Mostramos isso na página de detalhes do dispositivo. Consulte Dispositivos.

Também podemos gerar um gráfico de ameaça. Isso fornece mais informações sobre o PUA detectado. Consulte Gráficos de ameaças.

Verificar se o PUA é um falso positivo

Às vezes, a detecção de malware pode estar incorreta. Por exemplo, a detecção Deep Learning (nome da detecção: ML/PE-A) usa o machine learning para identificar malware nunca antes visto. Embora seja altamente eficaz, às vezes pode identificar aplicativos legítimos como malware.

Se a detecção estiver incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Se a detecção estiver correta, você deve eliminar o aplicativo.

Se você não tiver certeza de que o aplicativo é mal-intencionado ou um PUA, deverá investigar o alerta. Em seguida, você pode permitir ou eliminar o aplicativo conforme apropriado.

Lidar com um falso positivo

Se achar que a detecção está incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Alerta

Tenha cuidado ao permitir aplicativos ou adicionar uma exclusão. Isso pode reduzir sua proteção.

Por exemplo, se você excluir um diretório e o malware também for executado desse local, o malware não será bloqueado.

Para lidar com um falso positivo, faça o seguinte:

  • Se quiser permitir um aplicativo, faça o seguinte.

    1. Vá até Apresentação e clique em Dispositivos.
    2. Vá para a página Computadores ou Servidores, de acordo com o local onde o aplicativo foi detectado.
    3. Localize o dispositivo onde ocorreu a detecção e veja seus detalhes.
    4. Na guia Eventos, localize o evento de detecção e clique em Detalhes.
    5. Na caixa de diálogo Detalhes do evento, procure em Permitir este aplicativo.
    6. Escolha como deseja permitir o aplicativo.
      • Certificado: Nossa recomendação. Permite também outros aplicativos com o mesmo certificado.
      • SHA-256: Permite esta versão do aplicativo. No entanto, se você atualizar o aplicativo, poderemos detectá-lo novamente.
      • Caminho: Isso permite que o aplicativo seja instalado nesse local. Você pode usar variáveis se o aplicativo estiver instalado em locais diferentes em diferentes computadores.
    7. Clique em Permitir. Para obter mais informações sobre a permissão de aplicativos, consulte Aplicativos permitidos.
  • Se você quiser adicionar uma exclusão, recomendamos que use exclusões baseadas em políticas. Você pode direcionar suas exclusões e torná-las o mais específicas possível. Para adicionar uma exclusão, siga este procedimento:

    1. Para endpoints, vá para Endpoint Protection > Políticas e configure uma exclusão.

      Consulte Política de proteção contra ameaças.

    2. Para servidores, vá para Server Protection > Políticas e configure uma exclusão.

      Consulte Política de proteção contra ameaças ao servidor.

  • Em endpoints, você pode permitir um aplicativo na página Alertas. Para isso, siga este procedimento:

    1. Vá para Apresentação > Alertas.
    2. Encontre o alerta do PUA.
    3. Clique em Autorizar PUA.

      Alerta

      Isso autoriza a execução do PUA em todos os computadores. Recomendamos que você permita um aplicativo usando o seu certificado ou SHA-256.

Agora você pode resolver o alerta.

Eliminar um PUA

Se você acha que a detecção está correta, é possível eliminar o aplicativo.

Para isso, siga este procedimento:

  • Em endpoints, você pode remover um PUA na página Alertas. Para isso, siga este procedimento:

    1. Vá para Apresentação > Alertas.
    2. Clique em Eliminar PUA Essa ação talvez não esteja disponível, se tivermos detectado o PUA em um compartilhamento de rede. Isso se dá porque o agente Endpoint Protection não tem direitos suficientes para eliminar arquivos dali.
  • Se você não conseguir eliminar o PUA na página Alertas, faça o seguinte:

    1. Delete o aplicativo, processos associados e chaves de registro.

      Pode ser útil investigar o alerta, pois você pode obter mais informações sobre processos associados ou outros arquivos suspeitos.

Investigar um alerta

O alerta pode não fornecer todas as informações necessárias sobre um PUA detectado. Você deve revisar todas as informações que puder sobre um PUA detectado se não tiver certeza se ele é mal-intencionado ou indesejado.

Para isso, siga este procedimento:

  1. Verifique se há um gráfico de ameaça. Em Sophos Central, vá para Apresentação e clique em Centro de Análise de Ameaças.
  2. Procure um gráfico de ameaça associado ao PUA detectado.

    Se houver um gráfico de ameaça, ele mostrará os detalhes do PUA detectado. Ele mostra qualquer atividade que tenha sido executada e se há outros arquivos ou processos suspeitos a serem investigados.

  3. Se não houver um gráfico de ameaça, crie um.

  4. Opcional: Se apropriado, entre em contato com o usuário para descobrir o que aconteceu no momento em que a infecção ocorreu. Por exemplo, o usuário clicou em um link em um e-mail ou conectou um cartão de memória?
  5. Investigue o gráfico de ameaça e siga as etapas sugeridas para lidar com o problema.

    Para obter ajuda sobre como investigar ameaças usando gráficos de ameaça, consulte Análise do gráfico de ameaça.

  6. Se você quiser permitir o aplicativo, siga as etapas em "Lidar com um falso positivo".

  7. Se você quiser remover o aplicativo, siga as etapas em "Eliminar um PUA".

Agora você pode resolver o alerta.

Resolver um alerta

Quando você tiver permitido ou removido o aplicativo, poderá resolver o alerta. Para isso, siga este procedimento:

  1. Vá para Apresentação > Alertas.
  2. Vá para o alerta.
  3. Clique em Marcar como resolvido.
Voltar ao topo