Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=ThreatGraphs

Gráficos de ameaças

Os gráficos de ameaças lhe permitem investigar e eliminar os ataques de malware.

Você pode descobrir onde um ataque começou, como se espalhou e quais processos ou arquivos ele afetou. Isso lhe ajuda a melhorar a segurança.

Esta funcionalidade está disponível apenas para clientes com uma licença do Intercept X ou Intercept X Advanced with XDR. Se você tiver uma licença do Intercept X Advanced with XDR ou do Intercept X Advanced for Server with XDR, poderá também:

  • Isolar os dispositivos afetados.
  • Pesquisar por mais exemplos da ameaça na sua rede.
  • Eliminar e bloquear a ameaça.
  • Obter mais inteligência contra ameaças avançadas.

Nós criamos um gráfico de ameaça para você sempre que detectarmos um malware que você precise investigar mais detalhadamente.

Restrição

O recurso está disponível apenas para dispositivos Windows e Mac.

Como investigar e eliminar ameaças

Este é um resumo de como você pode normalmente investigar um gráfico. Para obter detalhes de todas as opções, consulte Análise do gráfico de ameaça.

Algumas opções estão disponíveis apenas se você tiver uma licença do Intercept X Advanced with XDR ou do Intercept X Advanced with XDR for Server.

  1. Vá para Centro de Análise de Ameaças, clique em Gráficos de ameaças e, em seguida, clique em um gráfico.

    Isto exibirá a página de detalhes do gráfico.

  2. Observe o Resumo para ver onde o ataque começou e quais arquivos podem ter sido afetados.

  3. Observe os Próximos passos sugeridos. Você pode alterar a prioridade do gráfico e ver quais processos investigar.

    Se este for um gráfico de alta prioridade, e você tiver o Intercept X Advanced with XDR, poderá clicar em Isolar este dispositivo. Isso isolará o dispositivo afetado da rede. Você pode continuar a gerenciar o dispositivo a partir do Sophos Central.

    Nota

    Você não verá esta opção caso o dispositivo tenha se isolado automaticamente.

  4. Na guia Analisar, você pode ver um diagrama que mostra o progresso do ataque. Clique nos itens para ver mais detalhes.

  5. Clique na causa raiz ou em outro processo para ver seus detalhes.

  6. Para assegurar que você tenha a mais recente análise da Sophos, clique em Solicitar o mais recente Intelligence.

    Esta opção envia os arquivos para a Sophos para análise. Se tivermos novas informações sobre a reputação do arquivo e a prevalência, em poucos minutos você as verá aqui.

    Restrição

    Se você tiver o Intercept X Advanced with XDR ou o Intercept X Advanced for Server with XDR, poderá ver análises mais avançadas; consulte os Detalhes do processo.. Você pode fazer outras detecções e eliminações, como mostram os passos a seguir.

  7. Clique em Buscar por item para pesquisar mais exemplos do arquivo na sua rede.

    Se a página Resultados da pesquisa de itens mostrar mais exemplos do arquivo, você pode clicar em Isolar dispositivo na página para isolar os dispositivos afetados.

  8. Volte para a página de detalhes do gráfico de ameaça e veja o mais recente Threat Intelligence.

  9. Se você tiver certeza de que o arquivo é malicioso, clique em Eliminar e bloquear.

    Isso elimina o item dos dispositivos Windows em que foi encontrado e o bloqueia em todos os dispositivos Windows. Consulte Itens bloqueados.

  10. Se você tiver certeza de que conseguiu cuidar da ameaça, poderá tirar o dispositivo do isolamento (se necessário). Vá até Próximos passos sugeridos e clique em Remover do isolamento.

    Se tiver isolado vários dispositivos, vá para Configurações Dispositivos isolados pelo Admin e remova-os do isolamento. Consulte Dispositivos isolados por Admin.

  11. Volte para a lista de Gráficos de ameaças, selecione o gráfico e clique em Fechar.

Sobre a lista de gráficos de ameaças

Gráficos de ameaças lista todos os gráficos de ameaças dos últimos 90 dias.

Se você tiver uma licença MDR, a página se divide em guias com os gráficos de ameaças que foram gerados das seguintes formas:

  • Gerado automaticamente pela Sophos
  • Gerado por um administrador do Sophos Central
  • Gerado pela equipe Sophos Managed Detection and Response (MDR) (não utilizado no momento)

Se você não tiver uma licença MDR, a página não será dividida em guias.

Você pode filtrar os gráficos por Dispositivo, Status ou Prioridade.

É possível usar Pesquisar para exibir os gráficos de um determinado usuário, dispositivo ou nome de ameaça (por exemplo, "Troj/Agent-AJWL").

Para cada gráfico, a lista mostra a maioria das informações a seguir. As colunas apresentadas dependem de a página estar ou não dividida em guias:

  • Status: Por padrão, o status é Novo. Você poderá alterá-la quando visualizar o gráfico.
  • Hora de criação: A hora e a data em que o gráfico foi criado.
  • Prioridade: Uma prioridade é definida quando o gráfico é criado. Você poderá alterá-la quando visualizar o gráfico.
  • Nome: Clique no nome de ameaça para ver os detalhes do gráfico.
  • Gerado por: O administrador do Sophos Central que gerou o gráfico de ameaça.
  • Usuário: O usuário que causou a infecção.
  • Dispositivo: O dispositivo que causou a infecção.
  • Tipo do dispositivo: O tipo de dispositivo, por exemplo, Computador ou Servidor.

É possível clicar em qualquer coluna para classificar os gráficos.