1. Malwarebytes Support
  2. Business Solutions
  3. Malwarebytes Nebula platform
  4. Guia do administrador da Plataforma Nebula da Malwarebytes

Corrigir ou fechar eventos de atividade suspeita no Malwarebytes Endpoint Detection and Response

  • Updated

O monitoramento de atividade suspeita é um recurso incluído no Malwarebytes Endpoint Detection and Response. Ele analisa um comportamento potencialmente suspeito monitorando os processos, registros, sistema de arquivos e atividades da rede no terminal.

O monitoramento de atividade suspeita usa modelos de aprendizado de máquina e análises baseadas na nuvem para detectar quando uma atividade duvidosa ocorre. Este artigo explica como corrigir uma Atividade Suspeita ou encerrar um incidente como benigno.

Você pode filtrar a tabela de atividades suspeitas com as três caixas drop-down e a barra Search endpoints no alto à direita da tabela

  • Severidade
    • Todas (All)
    • Alta (High)
    • Média (Medium)
    • Baixa (Low)
  • Status
    • Todos(All)
    • Atividade suspeita encontrada (Suspicious Activity Found)
    • Remediação pendente (Pending Remediation)
    • Remediado (Remediated)
    • Incidente fechado (Closed Incident)
  • Tipo do SO
    • Todos(All)
    • Windows
    • MacOS
  • Tipo do Sistema Operacional
    • Todos(All)
    • Servidores (Servers)
    • Estações de trabalho (Workstations)

Remediar ou fechar o incidente

  1. Faça o login no console Nebula da Malwarebytes como Administrador ou Super Admin.
  2. No painel esquerdo, vá para Atividade suspeita.
  3. Nessa tela, revise os detalhes da atividade suspeita, incluindo máquinas com detecções, gravidade das ameaças e data/hora das detecções. É possível executar uma ação em um item específico ou detalhar a causa da detecção. Se o Malwarebytes determinar que um item visualizado é suspeito, ele exibe no alto da tela uma Atividade Suspeita encontrada.
  4. Na coluna Regras acionadas, clique em um ícone para detalhar o item de atividade suspeita e aprender sobre a causa da detecção. Um gráfico de processo mostra a atividade associada, as regras acionadas pela detecção e o contexto adicional. O contexto adicional inclui caminhos, hashes, modificações específicas no registro, leitura/gravação de arquivo e IDs de processo.
  5. Na coluna Actions, clique no ícone (2020-04-06_12-32-27.png) para escolher uma das seguintes ações:
    • Isolar Endpoint: Bloqueie conexões de rede, processos ou atividade do usuário no endpoint, até que o isolamento seja removido.
    • Remediar. Remedia a atividade suspeita encontrada no terminal.
    • Fechar Incidente. Ao fechar um incidente, você ainda tem a opção de criar uma exclusão para ele. As exclusões previnem que este item ative novamente algum evento futuro em Suspicious Activity. Se você quer reabrir este incidente, clique neste ícone (2020-04-06_12-32-27.png) e escolha a opção Open Incident

 

Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes