Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=detection-rules

Regras de detecção

As regras de detecção permitem especificar como lidamos com as detecções de ameaças.

Você deve ser um Super Admin para usar este recurso.

Nota

Atualmente, você só pode usar regras de detecção para suprimir detecções indesejadas.

Supressão de detecções

Talvez seja necessário suprimir detecções que sejam falsos positivos ou que se repitam com muita frequência. Você pode criar regras para fazer isso.

As regras podem impedir que as detecções que correspondem a uma regra façam o seguinte:

  • Sejam mostradas na lista na página de Detecções.
  • Abram casos para investigação avançada.

As regras podem suprimir casos XDR que os clientes gerenciam. Elas não podem suprimir casos MDR.

Criar uma regra de detecção

Você pode criar uma regra a partir de uma detecção existente, da seguinte forma:

  1. Vá para o Centro de Análise de Ameaças > Detecções.

  2. Clique nos três pontos Ícone de três pontos. ao lado do nome de uma detecção na lista e selecione Adicionar regra de detecção.

    Menu Mais mostrando "Adicionar regra de detecção".

  3. Nas configurações da regra de detecção, faça o seguinte:

    1. Em Detalhes da regra, insira um nome e a descrição da regra. Por padrão, a regra é "habilitada".

    2. Em Ações, selecione as ações que deseja adotar nas detecções.

      Atualmente, você só pode selecionar Suprimir. Isso evita que as detecções sejam exibidas na lista de detecção e gerem casos.

    Detalhes e ações da regra de detecção.

  4. Em Condições, são apresentadas as caraterísticas da ameaça detectada, por exemplo, severidade. Selecione as caraterísticas que gostaria de usar como condições para disparar a regra.

    Condições que podem disparar uma regra.

  5. Clique em Salvar.

Uma nova regra de detecção pode levar 20 minutos para entrar em vigor.

Uma regra só se aplica a detecções que ocorrem depois de você criar a regra.

Ativar ou desativar as regras

Para ativar ou desativar as regras de detecção, faça o seguinte:

  1. Vá para o Centro de Análise de Ameaças > Regras de detecção.
  2. Clique no nome da regra de detecção para ver os seus detalhes.

  3. Em Detalhes da regra, clique no botão de alternância para ativar ou desativar a regra.

    Regra de detecção habilitada.

Duplicar e editar regras de detecção

Você não pode fazer alterações em uma regra existente.

Você pode duplicar uma regra e fazer alterações na duplicata, da seguinte forma:

  1. Vá para o Centro de Análise de Ameaças > Regras de detecção.
  2. Encontre a regra e clique nos três pontos Ícone de três pontos. na coluna mais à direita.

  3. Selecione Duplicar.

    Você verá uma nova regra com as mesmas condições e ações que selecionou para a regra original.

  4. Insira um nome e uma descrição para a nova regra.

  5. Marque ou desmarque as caixas de seleção ao lado das condições para editar a regra.
  6. Clique em Salvar.

Deletar regras de detecção

Para deletar regras, faça o seguinte:

  1. Vá para o Centro de Análise de Ameaças > Regras de detecção.
  2. Encontre a regra e clique nos três pontos Ícone de três pontos. na coluna mais à direita.
  3. Selecione Deletar.

Exibir detecções suprimidas

Por padrão, as detecções que você suprimiu não são mostradas na página de Detecções.

Se quiser ver as detecções suprimidas, faça o seguinte:

  1. Vá para o Centro de Análise de Ameaças > Detecções.
  2. Clique em Exibir filtros acima da lista de detecções.

  3. Em Visibilidade das detecções, desmarque a caixa de seleção Ocultar detecções suprimidas.

    Filtro "Ocultar detecções suprimidas".

  4. Clique em Aplicar.