Pular para o conteúdo

Detecções

As detecções mostram a atividade que você precisa investigar.

Para ver as detecções, vá para Centro de Análise de Ameaças > Detecções.

As detecções identificam atividades em seus dispositivos que são incomuns ou suspeitas, mas que não foram bloqueadas. Elas são diferentes dos eventos em que detectamos e bloqueamos atividades que já sabemos serem mal-intencionadas.

Geramos detecções baseadas em dados que os dispositivos carregam para o Sophos Data Lake.

Verificamos esses dados em relação às regras de classificação de ameaças. Quando há uma correspondência, mostramos uma detecção.

Esta página informa como usar detecções para procurar possíveis ameaças.

Nota

Investigações pode agrupar automaticamente as detecções relacionadas para uma análise mais avançada. Consulte Investigações.

Configurar detecções

Se você ainda não tiver detecções, será necessário permitir que seus dispositivos carreguem dados para o Sophos Data Lake, para que possamos usá-los. Siga este procedimento.

  1. Vá para Configurações globais.
  2. Em Proteção de endpoint ou Proteção de servidor, clique em Uploads do Data Lake. Ative os uploads.

    Você precisa ativar os uploads para computadores e servidores separadamente.

Agora começamos a mostrar as detecções.

Para obter mais informações sobre upload de dados, consulte Uploads ao Data Lake.

Exibir detalhes da detecção

Para ver as detecções, vá para Centro de Análise de Ameaças > Detecções.

Agrupamos detecções de acordo com a regra a que elas corresponderam e a data. A lista de detecções mostra o seguinte:

  • Risco. O risco está em uma escala de 1 (mais baixa) a 10 (mais alta). Com as configurações padrão, mostramos apenas detecções com uma pontuação de 7 ou mais. Use a pontuação para priorizar investigações.
  • Regra de classificação. O nome da regra que foi correspondida.
  • Contagem. Número de vezes que a regra de classificação apresentou correspondência em um determinado dia.
  • Lista de dispositivos. O dispositivo em que a regra foi correspondida pela última vez e o número de outros dispositivos com a mesma detecção naquele dia.
  • Primeira visualização e Última visualização. A primeira e a última detecções com base na regra de classificação naquele dia.
  • Descrição. O que a regra identifica.
  • Mitre ATT&CK. A tática e técnica Mitre ATT&CK correspondentes.

Para obter detalhes completos de uma detecção, como o dispositivo, usuários e processos envolvidos, clique na seta à direita.

Lista de detecções

Procurar possíveis ameaças

Você pode usar detecções para examinar dispositivos, processos, usuários e eventos em busca de sinais de ameaças potenciais que outros recursos da Sophos não bloquearam. Por exemplo:

  • Comandos incomuns que indicam tentativas de inspecionar seus sistemas e permanecer neles, evitar a segurança ou roubar credenciais.
  • Alertas de malware da Sophos, como eventos dinâmicos de prevenção de shellcode, que indicam que um invasor pode ter penetrado em um dispositivo.
  • Detecções em tempo de execução do Linux, como escapes de contêineres, que indicam que um invasor está escalando privilégios de acesso ao contêiner para se mover pelo host de contêiner.

A maioria das detecções está vinculada à estrutura MITRE ATT&CK, onde você pode encontrar mais informações sobre a tática e técnica específicas. Consulte https://attack.mitre.org/

Você também pode procurar por sinais de uma ameaça suspeita ou conhecida que a Sophos encontrou em outro lugar ou por softwares desatualizados ou navegadores não seguros.

Usar consultas dinâmicas, enriquecimentos e ações

Você pode descobrir mais sobre as detecções usando consultas dinâmicas.

Uma consulta dinâmica permite que você selecione uma parte significativa dos dados em uma detecção e use como base para uma investigação adicional.

Ao abrir os detalhes de uma detecção, você verá um ícone de reticências ao lado de alguns itens. Captura de tela do ícone de reticências

Clique no ícone para ver as ações que você pode tomar. Elas dependem do tipo dos dados.

  • Consultas. Você pode realizar uma consulta com base nos dados selecionados. As consultas do Live Discover examinam os dados em seus dispositivos. As consultas do Data Lake examinam os dados que os dispositivos carregam para o Sophos Data Lake.
  • Enriquecimentos. Estes sites abertos de terceiros, como VirusTotal ou IP Abuse DB, pesquisam informações sobre uma possível ameaça que você encontrou.
  • Ações: Oferecem mais detecção ou correção. Por exemplo, você pode fazer a varredura de um dispositivo ou iniciar o Sophos Live Response para acessar e investigar um dispositivo.

No exemplo mostrado, clicar no ícone ao lado do endereço IP permite que você realize consultas com base nesse endereço IP ou procure informações de terceiros sobre os riscos associados a ele.

Menu dinâmico de detecções

Como obter ajuda

Oferecemos o serviço Managed Threat Response que pode monitorar seu ambiente quanto a atividades mal-intencionadas e responder em seu nome 24 horas por dia, 7 dias por semana.

Consulte https://www.sophos.com/pt-br/products/managed-threat-response.aspx.

Nota

Se você acredita que sua segurança foi violada e precisa de ajuda imediata, entre em contato com a nossa equipe Rapid Response. Esse é um serviço pago.

Consulte https://www.sophos.com/pt-br/products/managed-threat-response/rapid-response.aspx.

Voltar ao topo