O monitoramento de atividade suspeita é um recurso incluído no Malwarebytes Endpoint Detection and Response. Ele analisa um comportamento potencialmente suspeito monitorando os processos, registros, sistema de arquivos e atividades da rede no terminal.
O monitoramento de atividade suspeita usa modelos de aprendizado de máquina e análises baseadas na nuvem para detectar quando uma atividade duvidosa ocorre. Este artigo explica como corrigir uma Atividade Suspeita ou encerrar um incidente como benigno.
Você pode filtrar a tabela de atividades suspeitas com as três caixas drop-down e a barra Search endpoints no alto à direita da tabela
- Severidade
- Todas (All)
- Alta (High)
- Média (Medium)
- Baixa (Low)
- Status
- Atividade suspeita encontrada (Suspicious Activity Found)
- Remediação pendente (Pending Remediation)
- Remediado (Remediated)
- Incidente fechado (Closed Incident)
- Tipo do Sistema Operacional
- Todos(All)
- Servidores (Servers)
- Estações de trabalho (Workstations)
Remediar ou fechar o incidente
- Faça o login no console Nebula da Malwarebytes como Administrador ou Super Admin.
- No painel esquerdo, vá para Atividade suspeita.
- Nessa tela, revise os detalhes da atividade suspeita, incluindo máquinas com detecções, gravidade das ameaças e data/hora das detecções. É possível executar uma ação em um item específico ou detalhar a causa da detecção. Se o Malwarebytes determinar que um item visualizado é suspeito, ele exibe no alto da tela uma Atividade Suspeita encontrada.
- Na coluna Regras acionadas, clique em um ícone para detalhar o item de atividade suspeita e aprender sobre a causa da detecção. Um gráfico de processo mostra a atividade associada, as regras acionadas pela detecção e o contexto adicional. O contexto adicional inclui caminhos, hashes, modificações específicas no registro, leitura/gravação de arquivo e IDs de processo.
- Na coluna Actions, clique no ícone (
) para escolher uma das seguintes ações:
- Remediar. Remedia a atividade suspeita encontrada no terminal.
- Fechar Incidente. Ao fechar um incidente, você ainda tem a opção de criar uma exclusão para ele. As exclusões previnem que este item ative novamente algum evento futuro em Suspicious Activity. Se você quer reabrir este incidente, clique neste ícone (
) e escolha a opção Open Incident.
Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes