Gráficos de ameaças
Esta funcionalidade está disponível apenas para clientes com uma licença do Intercept X, Intercept X Advanced with XDR ou Intercept X for Server with XDR.
Os gráficos de ameaças lhe permitem investigar e eliminar os ataques de malware.
Você pode descobrir onde um ataque começou, como se espalhou e quais processos ou arquivos ele afetou. Isso lhe ajuda a melhorar a segurança.
Se você tiver uma licença do Intercept X Advanced with XDR ou do Intercept X Advanced for Server with XDR, poderá também:
- Isolar os dispositivos afetados.
- Pesquisar por mais exemplos da ameaça na sua rede.
- Eliminar e bloquear a ameaça.
- Obter mais inteligência contra ameaças avançadas.
Nós criamos um gráfico de ameaça para você sempre que detectarmos um malware que você precise investigar mais detalhadamente.
Restrição
O recurso está disponível apenas para dispositivos Windows e Mac.
Restrição
As detecções de Aplicativos Potencialmente Indesejados por Deep Learning (ML PUAs) não criam gráficos de ameaças. No entanto, você pode usar a consulta de Caça a ameaças no Live Discover para pesquisar seus dispositivos pelo nome do arquivo relatado ou valor de hash SHA-256.
Como investigar e eliminar ameaças
Este é um resumo de como você pode normalmente investigar um gráfico. Para obter detalhes de todas as opções, consulte Análise do gráfico de ameaça.
Algumas destas opções estão disponíveis apenas se você tiver uma licença do Intercept X Advanced with XDR ou Intercept X for Server with XDR. Elas estão marcadas com "Requer XDR".
-
Vá para Centro de Análise de Ameaças, clique em Gráficos de ameaças e, em seguida, clique em um gráfico.
Isto exibirá a página de detalhes do gráfico.
-
Observe o Resumo para ver onde o ataque começou e quais arquivos podem ter sido afetados.
-
Observe os Próximos passos sugeridos. Você pode alterar a prioridade do gráfico e ver quais processos investigar.
Se este for um gráfico de alta prioridade, você pode clicar em Isolar este dispositivo (Requer XDR). Isso isolará o dispositivo afetado da rede. Você pode continuar a gerenciar o dispositivo a partir do Sophos Central.
Nota
Você não verá esta opção caso o dispositivo tenha se isolado automaticamente.
-
Na guia Analisar, você pode ver um diagrama que mostra o progresso do ataque. Clique nos itens para ver mais detalhes.
- Clique na causa raiz ou em outro processo para ver seus detalhes.
-
Para assegurar que você tenha a mais recente análise da Sophos, clique em Solicitar o mais recente Intelligence (Requer XDR).
Esta opção envia os arquivos para a Sophos para análise. Se tivermos novas informações sobre a reputação do arquivo e a prevalência, em poucos minutos você as verá aqui.
Restrição
Se você tiver XDR, verá uma análise mais avançada; consulte Detalhes do processo. Você pode fazer outras detecções e eliminações, como mostram os passos a seguir.
-
Clique em Buscar por item (Requer XDR) para pesquisar mais exemplos do arquivo na sua rede.
Se a página Resultados da pesquisa de itens mostrar mais exemplos do arquivo, você pode clicar em Isolar dispositivo na página para isolar os dispositivos afetados.
-
Volte para a página de detalhes do gráfico de ameaça e veja o mais recente Threat Intelligence.
-
Se você tiver certeza de que o arquivo é malicioso, clique em Eliminar e bloquear (Requer XDR).
Isso elimina o item dos dispositivos Windows em que foi encontrado e o bloqueia em todos os dispositivos Windows. Consulte Itens bloqueados.
-
Se você tiver certeza de que conseguiu cuidar da ameaça, poderá tirar o dispositivo do isolamento (se necessário). Vá até Próximos passos sugeridos e clique em Remover do isolamento.
Se tiver isolado vários dispositivos, vá para Configurações Dispositivos isolados pelo Admin e remova-os do isolamento. Consulte Dispositivos isolados por Admin.
-
Volte para a lista de Gráficos de ameaças, selecione o gráfico e clique em Fechar.
Sobre a lista de gráficos de ameaças
Gráficos de ameaças lista todos os gráficos de ameaças dos últimos 90 dias.
Se você tiver uma licença MDR, a página se divide em guias com os gráficos de ameaças que foram gerados das seguintes formas:
- Gerado automaticamente pela Sophos.
- Gerado por um administrador do Sophos Central. Consulte Gráficos de ameaças gerados pelo administrador.
- Gerado pela equipe do Sophos Managed Detection and Response (MDR). Atualmente, isso não está sendo utilizado.
Se você não tiver uma licença MDR, a página não será dividida em guias.
Você pode filtrar os gráficos por Dispositivo, Status ou Prioridade.
É possível usar Pesquisar para exibir os gráficos de um determinado usuário, dispositivo ou nome de ameaça (por exemplo, "Troj/Agent-AJWL").
Para cada gráfico, a lista mostra a maioria das informações a seguir. As colunas apresentadas dependem de a página estar ou não dividida em guias:
- Status: Por padrão, o status é Novo. Você poderá alterá-la quando visualizar o gráfico.
- Hora de criação: A hora e a data em que o gráfico foi criado.
- Prioridade: Uma prioridade é definida quando o gráfico é criado. Você poderá alterá-la quando visualizar o gráfico.
- Nome: Clique no nome de ameaça para ver os detalhes do gráfico.
- Gerado por: O administrador do Sophos Central que gerou o gráfico de ameaça.
- Usuário: O usuário que causou a infecção.
- Dispositivo: O dispositivo que causou a infecção.
- Tipo do dispositivo: O tipo de dispositivo, por exemplo, Computador ou Servidor.
É possível clicar em qualquer coluna para classificar os gráficos.
Gráficos de ameaças gerados pelo administrador
Nós geramos um gráfico de ameaça automaticamente para você sempre que detectarmos um malware que você precise investigar mais detalhadamente. No entanto, você também pode gerar um gráfico de ameaça manualmente.
Você pode gerar um gráfico a partir dos resultados da consulta Live Discover. A opção não está disponível para todas as consultas.
As instruções a seguir são apenas um exemplo.
Para gerar um gráfico de ameaça, faça o seguinte:
- Vá para Centro de Análise de Ameaças > Live Discover.
- No Live Discover, abra a seção Consulta (se ainda não estiver aberta).
- Selecione uma categoria, por exemplo, Arquivos.
- Clique na consulta que deseja executar, por exemplo, hashes de arquivo.
-
Configure sua consulta da seguinte forma:
- Se você selecionou uma consulta de endpoint, selecione os endpoints que deseja consultar.
- Se você selecionou uma consulta ao Data Lake, selecione o período de tempo que deseja consultar. Todos os endpoints estão sempre incluídos.
-
Clique em Executar consulta.
Os resultados são exibidos.
-
Nos resultados, clique nos três pontos
ao lado do Caminho do arquivo.
- Em Ações, clique em Gerar um gráfico de ameaça.
O gráfico de ameaça é adicionado à guia Gerada por Admin na página Gráficos de ameaças.
Para obter mais informações sobre o uso do Live Discover, consulte Live Discover.