Linhagem de ameaça
Este recurso está disponível da seguinte forma:
- Os clientes MDR podem usar esse recurso agora.
- Os clientes XDR devem se cadastrar no New XDR Features Early Access Program (EAP) para usar esse recurso. Clique no seu perfil e, em seguida, clique em Early Access Programs para começar.
Nota
Se você tiver apenas o MDR Essentials for Server ou MDR Complete for Server, cadastre-se no New Server Protection Features EAP para usar o novo recurso agora. Caso contrário, você não poderá usá-lo até abril de 2025.
Sobre a linhagem de ameaça
A linhagem de ameaça mostra em forma gráfica os processos que levaram a uma detecção e que a dispararam. Isso ajuda você a entender como a ameaça se desenvolveu, onde ela impactou seu ambiente e quais foram os resultados.
Exibir a linhagem de uma ameaça
Você pode acessar um gráfico de linhagem de ameaça na página de detalhes de uma detecção.
-
Vá para o Centro de Análise de Ameaças > Detecções.
Alternativamente, vá para o Centro de Análise de Ameaças > Casos e selecione a guia Detecções.
-
Encontre a detecção desejada e clique em qualquer lugar na linha da tabela.
O painel de detalhes da detecção desliza para a direita da tela.
-
Selecione a guia Linhagem no painel de detalhes.
Se você não vir a guia Linhagem, essa detecção não suporta o novo recurso.
-
Clique em Abrir Gráfico de linhagem.
-
Se ainda não houver nenhum gráfico disponível, clique em Gerar.
Nota
Se uma detecção gerar um "caso", um gráfico será gerado automaticamente e ficará disponível aqui. Para obter informações sobre casos, consulte Casos.
É apresentado um gráfico dos processos que dispararam a detecção e os processos que levaram a ela.
O gráfico de linhagem permanece disponível por 7 dias. Você pode regenerá-lo a qualquer momento durante o período em que o Sophos XDR Data Lake mantém os dados, que geralmente é de 90 dias.
Legenda da linhagem de ameaça
O gráfico de linhagem de ameaça usa os ícones abaixo para representar processos e atividades.
| Ícone | Processo | Descrição |
|---|---|---|
 | Processo | Um processo que levou à detecção |
 | Processo impactado | Processo suspeito ou potencialmente malicioso |
 | Detecção disparada | Um processo que disparou uma detecção |
 | Atividade principal | Ações fundamentais que influenciam o progresso ou o resultado de eventos posteriores |
Para ver esta lista de ícones e o número de cada tipo de processo no gráfico, clique no ícone de Legenda no canto superior direito da página.
O gráfico também mostra processos e atividades que não estão na linhagem direta, mas que foram lançados por um processo na linhagem. Esses se ramificam do gráfico principal, como mostrado aqui. Para saber mais, consulte Mostrar mais processos na linhagem.
Exibir mais detalhes de um processo
Você pode ver mais detalhes da seguinte forma:
-
Passe o mouse sobre um processo. Isso mostra detalhes básicos e a linha de comando.
-
Use as opções dinâmicas. Clique nos três pontos
ao lado do processo. Você pode selecionar consultas para executar no Live Discover.
-
Clique em um processo. Isso abre as guias Informações e Atividades abaixo do gráfico.
A guia Informações mostra os detalhes do processo e a linha de comando. Clique nos três pontos
ao lado de um detalhe para usar as mesmas opções dinâmicas disponíveis no gráfico.Se você tiver os recursos do Sophos AI, clique no ícone de IA
para gerar uma análise da linha de comando.Para obter detalhes sobre a guia Atividades, consulte Exibir atividades associadas a um processo.
Exibir atividades associadas a um processo
Você pode ver todas as atividades associadas a um processo. Essas atividades incluem outros processos relacionados que não estão no gráfico de linhagem.
Para ver as atividades, faça o seguinte:
- Clique em um processo no gráfico para abrir os seus detalhes.
-
Selecione a guia Atividades.
- Se a linhagem foi gerada automaticamente e você está olhando para um processo impactado, a guia já mostra as atividades.
- Se você gerou a linhagem manualmente, a guia estará inicialmente vazia. Você deve carregar dados como descrito na próxima etapa.
-
Clique em Enriquecer, à direita da guia, para carregar dados.
Na primeira vez que clica em Enriquecer, você vê os primeiros três dias de dados, começando a partir de quando o processo foi iniciado. Cada vez que você clica em Enriquecer, outros três dias de dados são adicionados e mais atividades são listadas.
Uma janela pop-up no início da linha do tempo de Enriquecer mostra a data e a hora da Detecção inicial.
Você pode alterar as informações apresentadas da seguinte forma:
- Expanda uma linha para mostrar os dados brutos.
- Filtre as atividades por tipo, ação e outros atributos.
Você também pode adicionar processos dessa lista ao gráfico de linhagem. Consulte Mostrar mais processos na linhagem.
Mostrar mais processos na linhagem
A guia Atividades nos detalhes do processo mostra processos adicionais relacionados que não estão na linhagem de ameaça direta.
Você pode adicionar esses processos ao gráfico de linhagem para ajudar a investigar as ameaças.
- Clique em um processo e abra a sua guia de Atividades.
- Na lista de atividades, encontre o processo relacionado que deseja exibir.
-
Clique no ícone de Olho ao lado do processo para exibi-lo. Clique no ícone novamente para ocultar o processo.
Exportar a linhagem
Para exportar os dados de linhagem para um arquivo CSV, clique no ícone Exportar.
Se ocorrer um erro durante a exportação, selecione um dos processos no gráfico e tente exportar a partir dele.
Pesquisar a linhagem
Para pesquisar a linhagem, digite um termo na barra de pesquisa no canto superior esquerdo da página.
Os resultados correspondentes são mostrados nas guias Informações, Atividades e Resultados correspondentes na parte inferior da página.