Pular para o conteúdo

Gerar detecções (NDR)

Você pode gerar detecções de teste para verificar se o Sophos NDR está corretamente configurado e funcionando.

O teste não é malicioso. Ele dispara uma detecção simulando um evento com caraterísticas típicas de um ataque. O evento é um cliente que faz download de um arquivo de um servidor com detalhes de domínio e certificado suspeitos.

Você pode executar o teste a partir do Appliance Manager.

Requisitos

Certifique-se de que o Appliance Manager pode acessar nosso servidor de teste. Configure seu firewall para permitir o tráfego TCP para este domínio e endereço IP:

  • Domínio: plrqkxqwvmtkm.xyz
  • Endereço de IP: 13.56.99.184
  • Porta: 2222

Certifique-se de que incluiu o seu tráfego de rede na configuração de espelhamento da porta atual. Para obter ajuda, consulte as páginas de configuração do NDR em Integrações da Sophos.

Gerar uma detecção

Nota

Você deve acessar o Appliance Manager em um dispositivo na mesma rede que o Sophos NDR.

  1. No Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Configuradas.
  2. Vá para a guia Dispositivos de integração.

    Lista de dispositivos de integração.

  3. Localize o dispositivo. Na coluna mais à direita, clique nos três pontos e selecione Abrir Appliance Manager.

    Menu Ações que mostra "Abrir Appliance Manager.

  4. Na caixa de diálogo de confirmação, clique em Abrir.

    Caixa de diálogo de confirmação para abrir o Appliance Manager.

  5. Na tela de início de sessão, insira o nome de usuário zadmin e a sua senha.

    Tela de login do Appliance Manager.

  6. No Appliance Manager, selecione Gerar detecções.

  7. Na página Gerar detecções NDR, clique em Gerar detecções.

    Página Gerar detecções NDR.

  8. Quando você vir uma mensagem confirmando que uma deteção está sendo gerada, clique em OK e aguarde dez minutos.

  9. Volte para o Sophos Central.
  10. Vá para o Centro de Análise de Ameaças > Detecções.

  11. Na página Detecções, você deve ver uma detecção recente de alto risco chamada NDR-DET-TEST-IDS-SCORE na lista.

    Página Detecções.

  12. Clique em NDR-DET-TEST-IDS-SCORE para abrir os seus detalhes.

    A Descrição mostra um IP de origem e destino que se comunicam por TCP e TLS na porta 2222. Também mostra o IDS (Intrusion Detection System) como o principal contribuinte para a detecção. IDS é uma lista de certificados bloqueados.

    Detalhes da detecção.

  13. Clique na guia Dados brutos. A seção flow_risk mostra os seguintes detalhes:

    • Protocolo conhecido em uma porta não padrão
    • Certificado autoassinado
    • ALPN (Application-Layer Protocol Negotiation) incomum
    • Certificado na lista de bloqueio
    • Alta probabilidade de que o domínio do servidor seja gerado por algoritmo (DGA)
    • Indicações de uma ameaça pertencente à família Friendly Chameleon.

    Detecção de dados brutos.

Para obter informações sobre como gerar uma detecção NDR a partir da interface de linha de comando, consulte Gerar detecções NDR a partir da interface de linha de comando.