Casos

Os casos substituem as investigações. As investigações permanecerão disponíveis por um tempo para permitir que você conclua as investigações ainda em andamento.

A página Casos agrupa eventos suspeitos relatados por nosso recurso Detecções e ajuda você ou a sua equipe MDR a realizar trabalhos forenses e responder aos eventos.

Sobre casos

Criamos os casos para você automaticamente. Eles se concentram nas detecções que recomendamos que você investigue.

Criamos um caso quando há uma detecção de alto risco, se ela ainda não tiver sido incluída em um caso no mesmo dia.
Adicionamos detecções posteriores ao caso se compartilharem o mesmo tipo de detecção.

Os casos podem ser baseados em detecções do Sophos XDR ou em detecções do Sophos MDR. Você pode fazer alterações nos casos XDR, mas os casos MDR são somente leitura.

Você também pode criar os seus próprios casos. Consulte Criar casos.

Ativar casos

Detecções e Casos se baseiam em dados no Sophos Data Lake.

Se você não está recebendo detecções ainda, certifique-se de que os uploads de dados de segurança para o Data Lake estejam ativados.

Os dados podem vir de vários produtos Sophos ou de produtos de terceiros.

Para obter dados dos produtos Sophos, consulte Uploads ao Data Lake. Para obter dados de produtos de terceiros, consulte Integrações.

Exibir casos

Para exibir os seus casos, siga este procedimento:

Vá para Centro de Análise de Ameaças > Casos.

Nota

A primeira vez que você visualizar esta página, a lista pode estar vazia. Volte mais tarde para ver os casos criados automaticamente ou crie os seus próprios casos.
Clique no ID do caso ao lado de um caso para ver seus detalhes.

Agora você vê a página Detalhes do caso. Para obter mais informações, consulte Exibir detalhes do caso.

Editar e atribuir casos

Você só pode editar e atribuir casos XDR. Nossa equipe MDR processa os casos MDR.

Você pode editar casos e atribuí-los a administradores para análise.

Partner Super Admins e Enterprise Super Admins não podem editar e atribuir casos.

Para editar e atribuir casos, faça o seguinte:

Vá para Centro de Análise de Ameaças > Casos para ver a lista de casos.
Clique no ID do caso ao lado de um caso para ver seus detalhes.
Na página Detalhes do caso, a guia Visão geral fica aberta por padrão. Siga este procedimento:
1. Em Proprietário, selecione o administrador ao qual deseja atribuir o caso.
  
  Você deve selecionar um proprietário antes de poder definir a prioridade e o status do caso.
2. Defina a Prioridade como Crítica, Alta, Média, Baixa ou Info.
3. Se estiver pronto para começar, altere o Status de Novo para Investigando.
4. Em Resumo, insira uma descrição do caso.

Adicionaremos as detecções relacionadas ao caso à medida que elas ocorrerem.

Nota

Notificamos os administradores do Sophos Central sobre novos casos se você configurar notificações por e-mail para eles. Consulte Notificações por e-mail.

Exibir detalhes do caso

Para ver todos os detalhes de um caso, clique no ID do caso ao lado dele.

O cabeçalho da página Detalhes do caso mostra a severidade, o status e o proprietário do caso. Ele também mostra quando o caso foi criado, atribuído e atualizado pela última vez.

A página também tem guias para outros detalhes.

Guia Visão geral

A guia Visão geral é aberta por padrão e mostra um resumo do caso, detalhes da tática MITRE e a atividade recente.

Resumo

Se você for um cliente XDR, digite a descrição do seu caso. Se você for um cliente MDR, a equipe MDR insere uma descrição para você.

Táticas MITRE

Táticas MITRE lista todas as táticas e técnicas MITRE ATT&CK que detectamos.

Clique na seta dobrada ao lado da tática para ver a técnica.

Clique no link ao lado de qualquer tática ou técnica, por exemplo, Acesso a credenciais, para ver seus detalhes no site da MITRE.

Atividade recente

Atividade recente mostra alterações recentes ao caso. Clique em Ver tudo para ir para a guia Histórico.

Guia Detecções

A guia Detecções lista todas as detecções incluídas no caso. Ela mostra os mesmos detalhes da lista na página de Detecções. Consulte Detecções.

Guia Anotações

Use a guia Anotações para manter um registro de suas investigações.

Guia Histórico

A guia Histórico mostra o histórico de toda a atividade nesse caso. Por exemplo, detecções adicionadas ou alterações no status, proprietário e assim por diante.

Investigar casos

Nos Detalhes do caso, use a guia Anotações para registrar sua investigação sobre o caso. Sugerimos que você siga estes passos:

Decida se você precisa investigar ou encerrar a investigação.
Verifique as conexões externas e internas usadas no evento.
Verifique quais dispositivos e usuários foram afetados.
Descubra as táticas e as técnicas de ataque usadas. Você pode vê-las nos detalhes da detecção.
Use as opções dinâmicas nas detecções para executar consultas nos dados ou visite os sites de terceiros de análise de ameaças. Consulte Usar consultas dinâmicas, enriquecimentos e ações.

Responder a casos

Você pode resolver problemas detectados por produtos de terceiros.

Para usar esse recurso, você deve configurar uma integração de Ação de resposta com o produto de terceiros que deseja usar. Vá para Integrações e clique no seu produto.

Nosso exemplo mostra como usar uma ação de resposta para suspender um usuário comprometido. Para adotar uma ação, faça o seguinte:

Clique no ID do caso ao lado de um caso para ver seus detalhes.
Selecione a guia Responder.
Encontre a ação que deseja. Clique no tipo de produto Identidade para ver as ações disponíveis para o tipo.
Clique na ação Suspender usuário.
Na página de detalhes da ação, insira as informações necessárias e um motivo para a ação.
Clique em Executar.

Fechar ou remover casos

Para fechar um caso, altere o status para Fechado. O caso permanece na lista por 30 dias e depois o excluímos.

Partner Super Admins e Enterprise Super Admins não podem fechar ou remover casos.

Para remover um caso da lista, selecione-o e clique em Remover casos.