Administrator Guide
Table Of Contents
- Dell Endpoint Security Suite Enterprise Guia de início rápido do Advanced Threat Prevention v2.9
- Introdução
- Introdução
- Políticas
- Ameaças
- Modo desconectado
- Solução de problemas
Ameaças
Este capítulo apresenta detalhes sobre como identificar e gerenciar ameaças encontradas em um ambiente empresarial, depois da
instalação do Advanced Threat Prevention.
● Identificar uma ameaça
○ Ver eventos de ameaças
○ Atualizações da pontuação da Cylance e do modelo de ameaça
○ Visualizar dados detalhados da ameaça
● Gerenciar uma ameaça
○ Exportar dados da ameaça para CSV
○ Gerenciar a lista de quarentena global
Identificar uma ameaça
Notificações por e-mail e notificações do painel
Se você configurou as notificações por e-mail para o Threat Protection e o Advanced Threat Events, um administrador será notificado por
e-mail sobre eventos e ameaças do Advanced Threat Prevention.
O painel Resumo de notificações no Management Console exibe ameaças e eventos do Advanced Threat Prevention, como tipos de
notificação do Threat Protection e do Advanced Threat Events.
● Tipo de proteção contra ameaças - Um alerta de ameaça do Advanced Threat Prevention.
● Tipo de evento de ameaça avançada - Um evento detectado pelo Advanced Threat Prevention. Um evento não é necessariamente
uma ameaça.
A tabela abaixo detalha as informações sobre ameaças, rótulos de ameaças e severidade.
Rótulo
Severidade Detalhe
ThreatFound Crítico
Indica que um Executável Portátil (PE) foi identificado em um dispositivo,
mas não foi bloqueado nem colocado em quarentena no endpoint, o que
indica uma ameaça ativa no sistema.
ThreatBlocked Aviso
Indica que um Executável Portátil foi identificado no dispositivo, embora
sua execução tenha sido bloqueada. Essa ameaça não foi
especificamente colocada em quarentena, o que provavelmente se deve
ao fato de que a política de Quarentena Automática não foi ativada ou de
que o arquivo está em uma localização na qual não podemos gravar com
a conta SYSTEM local (compartilhamento de rede, dispositivo USB que
tenha sido removido etc.).
ThreatTerminated Aviso
Indica que um Executável Portátil (PE) foi identificado no dispositivo e
que seu processo foi encerrado, pois estava sendo executado
ativamente. Isso não indica que o arquivo também foi colocado em
quarentena, pois o PE pode ter sido executado a partir de outra
localização. A sugestão é para que o usuário procure outro evento
correlacionado a esse endpoint e executável para confirmar se a ameaça
foi devidamente contida.
MemoryViolationBlocked Aviso
Indica que houve uma tentativa de execução de um executável ou script,
mas que isso violou a política de Proteção de Memória ou Controle de
Scripts. Posteriormente, a execução do executável ou do script foi
bloqueada. Normalmente, isso indica que a política correlacionada
4
14 Ameaças