Pular para o conteúdo

Gráficos de ameaças

Os gráficos de ameaças lhe permitem investigar e eliminar os ataques de malware.

Você pode descobrir onde um ataque começou, como se espalhou e quais processos ou arquivos ele afetou. Isso lhe ajuda a melhorar a segurança.

Esta funcionalidade está disponível apenas para clientes com uma licença do Intercept X ou Intercept X Advanced with XDR. Se você tiver uma licença do Intercept X Advanced with XDR ou do Intercept X Advanced for Server with XDR, poderá também:

  • Isolar os dispositivos afetados.
  • Pesquisar por mais exemplos da ameaça na sua rede.
  • Eliminar e bloquear a ameaça.
  • Obter mais inteligência contra ameaças avançadas.

Nós criamos um gráfico de ameaça para você sempre que detectarmos um malware que você precise investigar mais detalhadamente.

Restrição

O recurso está disponível apenas para dispositivos Windows e Mac.

Como investigar e eliminar ameaças

Este é um resumo de como você pode normalmente investigar um gráfico. Para obter detalhes de todas as opções, consulte Análise do gráfico de ameaça.

Algumas opções estão disponíveis apenas se você tiver uma licença do Intercept X Advanced with XDR ou do Intercept X Advanced with XDR for Server.

  1. Vá para Apresentação > Centro de Análise de Ameaças e clique em Gráficos de ameaças e, em seguida, clique em um gráfico.

    Isto exibirá a página de detalhes do gráfico.

  2. Observe o Resumo para ver onde o ataque começou e quais arquivos podem ter sido afetados.

  3. Observe os Próximos passos sugeridos. Você pode alterar a prioridade do gráfico e ver quais processos investigar.

    Se este for um gráfico de alta prioridade, e você tiver o Intercept X Advanced with XDR, você poderá clicar em Isolar este dispositivo. Isso isolará o dispositivo afetado da rede. Você pode continuar a gerenciar o dispositivo a partir do Sophos Central.

    Nota

    Você não verá esta opção caso o dispositivo tenha se isolado automaticamente.

  4. Na guia Analisar, você pode ver um diagrama que mostra o progresso do ataque. Clique nos itens para ver mais detalhes.

  5. Clique na causa raiz ou em outro processo para ver seus detalhes.
  6. Para assegurar que você tenha a mais recente análise da Sophos, clique em Solicitar o mais recente Intelligence.

    Esta opção envia os arquivos para a Sophos para análise. Se tivermos novas informações sobre a reputação do arquivo e a prevalência, em poucos minutos você as verá aqui.

    Restrição

    Se você tiver o Intercept X Advanced with XDR ou o Intercept X Advanced for Server with XDR, poderá ver análises mais avançadas; consulte os Detalhes do processo.. Você pode fazer outras detecções e eliminações, como mostram os passos a seguir.

  7. Clique em Buscar por item para pesquisar mais exemplos do arquivo na sua rede.

    Se a página Resultados de pesquisa de itens mostrar mais exemplos do arquivo, você pode clicar em Isolar dispositivo nela para isolar os computadores afetados.

  8. Volte para a página de detalhes do gráfico de ameaça e veja o mais recente Threat Intelligence.

  9. Se você tiver certeza de que o arquivo é malicioso, clique em Eliminar e bloquear.

    Isso elimina o item dos dispositivos Windows em que foi encontrado e o bloqueia em todos os dispositivos Windows. Consulte Itens bloqueados.

  10. Se você tiver certeza de que conseguiu cuidar da ameaça, poderá tirar o dispositivo do isolamento (se necessário). Vá até Próximos passos sugeridos e clique em Remover do isolamento.

    Se tiver isolado vários dispositivos, vá até Configurações > Dispositivos isolados por Admin e remova-os do isolamento. Consulte Dispositivos isolados por Admin.

  11. Volte para a lista de Gráficos de ameaças, selecione o gráfico e clique em Fechar.

Sobre a lista de gráficos de ameaças

Gráficos de ameaças lista todos os gráficos de ameaças dos últimos 90 dias.

Se você tiver uma licença MTR, a página se divide em guias com os gráficos de ameaças que foram gerados das seguintes formas:

  • Gerado automaticamente pela Sophos
  • Gerado por um administrador Sophos Central
  • Gerado pela equipe (MTR) do Sophos Managed Threat Response (atualmente não utilizado)

Se você não tiver uma licença MTR, a página não será dividida em guias.

Você pode filtrar os gráficos por Dispositivo, Status ou Prioridade.

É possível usar a Pesquisar para exibir os gráficos de um determinado usuário, dispositivo ou nome de ameaça (por exemplo, "Troj/Agent-AJWL").

Para cada gráfico, a lista mostra a maioria das informações a seguir. As colunas apresentadas dependem de a página estar ou não dividida em guias:

  • Status: Por padrão, o status é Novo. Você poderá alterá-la quando visualizar o gráfico.
  • Hora de criação: A hora e a data em que o gráfico foi criado.
  • Prioridade: Uma prioridade é definida quando o gráfico é criado. Você poderá alterá-la quando visualizar o gráfico.
  • Nome: Clique no nome de ameaça para ver os detalhes do gráfico.
  • Gerado por: O administrador Sophos Central que gerou o gráfico de ameaça.
  • Usuário: O usuário que causou a infecção.
  • Dispositivo: O dispositivo que causou a infecção.
  • Tipo do dispositivo: O tipo de dispositivo, por exemplo, Computador ou Servidor.

É possível clicar em qualquer coluna para classificar os gráficos.

Voltar ao topo