Investigar casos

Esta página é apenas para casos "Autogerenciados".

Você pode investigar casos usando as informações e ferramentas disponíveis na página de Detalhes do Caso, conforme descrito nesta página.

Também recomendamos que você use nosso assistente de IA para saber mais sobre a detecção e obter sugestões para adotar medidas de ação. Consulte Assistente AI.

Mantenha um registro da sua investigação na guia Anotações nas páginas de detalhes de um caso.

Em alguns casos, você também pode responder a casos. Consulte Responder a casos.

Investigar um caso

Para iniciar a sua investigação, proceda da seguinte forma:

Vá até a página Casos.
Clique no ID do Caso do caso.
Na guia Visão geral, você pode encontrar informações sobre a detecção que gerou o caso e iniciar sua análise usando as ferramentas do Sophos AI.

Siga este procedimento:

Use o Assistente Sophos AI para investigar. Consulte Pergunte ao Sophos AI.
Resuma informações sobre o caso. Consulte Resumo do caso.
Analise a linha de comando executada pela ameaça. Consulte Análise da linha de comando.
Verifique quais dispositivos e usuários foram afetados. Consulte Entidades impactadas.
Descubra as táticas e as técnicas de ataque usadas. Consulte Táticas MITRE ou confira os detalhes da detecção.

Pergunte ao Sophos AI

Clique em Pergunte ao Sophos AI à direita da página se desejar usar o Assistente Sophos AI para investigar o caso. Para obter ajuda para usar o assistente, consulte Assistente AI.

Nota

A opção Pergunte ao Sophos AI está disponível em todas as páginas com guias.

Resumo do caso

Você pode usar o Sophos AI para gerar um resumo do caso para você.

Em Resumo do caso, clique no ícone de IA.

O Sophos AI analisa o caso e resume os detalhes.
Se deseja salvar o resumo, clique Inserir. Para descartá-lo, clique no "X".

Se você salvar o resumo, poderá clicar no ícone Editar e fazer alterações nele.

Alternativamente, você pode resumir o caso manualmente. Clique no ícone Editar Ícone Editar. e insira o seu resumo.

Análise da linha de comando

Você pode usar o Sophos AI para analisar a linha de comando executada pela ameaça que gerou o caso.

Em Linha de comando, clique no ícone de IA.

O Sophos AI analisa a linha de comando para descobrir as intenções da ameaça e seu possível impacto. Se necessário, ele desobscurece o código, minimizando os esforços necessários para avaliar uma ameaça.

Entidades impactadas

Entidades impactadas lista os dispositivos, usuários, arquivos, endereços IP e processos afetados pela ameaça detectada.

Clique em um nome de dispositivo para ver todos os detalhes na página Computadores e servidores.

Restrição

Entidades impactadas não serão exibidas para casos criados manualmente, pois não obtemos os detalhes de detecção inicial.

Táticas MITRE

O painel Táticas MITRE lista todas as táticas e técnicas MITRE ATT&CK que detectamos.

Clique na seta dobrada ao lado da tática para ver a técnica.

Clique no link ao lado de qualquer tática ou técnica, por exemplo, Acesso a credenciais, para ver seus detalhes no site da MITRE.

Responder a casos

No momento, o recurso Ação de resposta não está disponível para a maioria das integrações de produtos de terceiros.

Em alguns casos, você pode resolver problemas detectados por produtos de terceiros.

Para usar esse recurso, você deve configurar uma integração de Ação de resposta com o produto de terceiros que deseja usar. Vá para Produtos e clique no seu produto.

Nosso exemplo mostra como usar uma ação de resposta para suspender um usuário comprometido. Para adotar uma ação, faça o seguinte:

Clique no ID do caso ao lado de um caso para ver seus detalhes.
Selecione a guia Responder.
Encontre a ação que deseja. Clique no tipo de produto Identidade para ver as ações disponíveis para o tipo.
Clique em Suspender Usuário.
Na página de detalhes da ação, insira as informações necessárias e um motivo para a ação.
Clique em Executar.