Pular para o conteúdo

Investigações

As investigações permitem analisar possíveis ameaças.

O recurso Investigações agrupa eventos suspeitos relatados por nosso recurso Detecções e ajuda você a realizar trabalhos forenses.

Esta página explica como as investigações funcionam e descreve como fazer o seguinte:

  • Configurar investigações.
  • Exibir e iniciar investigações.
  • Investigar eventos detectados.
  • Fechar as investigações.

Sobre as investigações

Criamos as investigações para você automaticamente. Elas se concentram nas detecções que recomendamos que você investigue.

  • Criamos uma investigação quando há uma detecção de alto risco (se ela não tiver sido incluída em uma investigação no mesmo dia).
  • Adicionamos detecções posteriores à investigação se estiverem relacionadas (se compartilham o mesmo tipo de detecção ou dispositivos afetados).

Uma detecção pode estar presente em várias investigações.

Para obter detalhes completos, consulte Como a Sophos cria investigações.

Você pode editar e trabalhar nessas investigações. Como alternativa, você pode criar suas próprias investigações. Consulte Criar uma investigação.

Configurar investigações

Detecções e Investigações são baseadas em dados no Sophos Data Lake. Antes de começar a usar esses recursos, certifique-se de que os uploads de dados de segurança para o Data Lake estejam ativados.

Os dados podem vir de vários produtos Sophos.

Consulte Uploads ao Data Lake.

Exibir e iniciar investigações

Para exibir as investigações que criamos, iniciá-las e atribui-las às pessoas, faça o seguinte:

  1. Vá para Centro de Análise de Ameaças > Investigações.
  2. Você verá uma lista de investigações. Clique em uma investigação para ver os seus detalhes.

    Nota

    A primeira vez que você visualizar esta página, a lista pode estar vazia. Volte mais tarde para ver as investigações criadas automaticamente ou crie as suas próprias investigações.

    Página Investigações

  3. O Registro da investigação mostra detalhes da investigação, e a Lista de detecções mostra quais eventos suspeitos estão incluídos. Inicie a investigação da seguinte forma:

    1. Defina a prioridade como Alta, Média ou Baixa.
    2. Altere o status de Não iniciado para Em andamento.
    3. Clique em Tipo para atribuir e selecione os administradores do Sophos Central que farão a investigação.

    Página de detalhes da investigação

Adicionaremos as detecções relacionadas à investigação à medida que elas ocorrerem. Também é possível adicionar e remover detecções. Na Lista de detecções, clique em Ações e escolha o que deseja fazer.

Nota

Por padrão, enviamos um e-mail aos Super Admins sempre que há uma nova investigação. Consulte Notificações por e-mail.

Investigar eventos detectados

Fornecemos a você um modelo para realizar as investigações. Para investigar, siga este procedimento:

  1. Vá para Centro de Análise de Ameaças > Investigações.
  2. Clique em uma investigação.

    Página Investigações

  3. Expanda Notas da investigação. Você verá uma série de perguntas baseadas no modelo Observar, Orientar, Decidir, Agir.

    • Decida se você precisa investigar ou encerrar a investigação.
    • Verifique as conexões externas e internas usadas no evento.
    • Verifique quais dispositivos e usuários foram afetados.
    • Descubra as táticas e as técnicas de ataque usadas. Elas são identificadas nos detalhes da detecção.
    • Use as opções dinâmicas nas detecções para executar consultas nos dados ou visite os sites de terceiros de análise de ameaças. Consulte Detecções.

    Notas da investigação

Fechar as investigações

Para fechar uma investigação, altere o status para Fechado.

Deletaremos a investigação em 30 dias.

Voltar ao topo