1. Malwarebytes Support
  2. Business Solutions
  3. Malwarebytes Nebula
  4. Guia do administrador da Plataforma Nebula da Malwarebytes

Configurar o isolamento do endpoint na nebulosa de Malwarebytes

  • Updated

O Malwarebytes Endpoint Detection and Response inclui o recurso de isolamento de terminais, que impede temporariamente a propagação das ameaças entre os terminais, restringindo sua comunicação ou acesso. Mesmo que esteja isolado, o terminal ainda pode se comunicar com a console e realizar os processos do console Malwarebytes. Os Super Admin e administradores podem isolar os endpoints protegidos por políticas com o recurso Endpoint Isolation ativado.

Para obter os requisitos de uso do Endpoint Isolation, consulte Requisitos mínimos para a plataforma Nebula da Malwarebytes.

isolamento_1.png

Tipos de isolamento

Há três tipos diferentes de isolamento. Eles podem ser habilitados separadamente ou combinados para aumentar o isolamento. Os três tipos de isolamento são:

  • Isolamento da rede: Evita que o terminal se comunique com outros dispositivos em sua rede.
  • Isolamento do processo: Restringe quais processos podem ser executados no terminal e impede a interação dos processos.
  • Isolamento do computador (somente Windows): Impede que os usuários acessem o terminal.

Com o Isolamento do Processo habilitado, somente os Processos Privilegiados têm permissão para serem iniciados no terminal. Os processos privilegiados pertencem a um dos seguintes tipos:

  • Processos predefinidos (codificados): Atualmente há dois processos predefinidos: CONSENT.exe, necessário para executar os processos elevados UAC; e CSRSS.EXE o qual é um processo crítico do sistema.
  • Processos assinados digitalmente pela Malwarebytes: Eles têm permissão para executar de forma irrestrita nos terminais isolados.
  • Processos gerados por outros processos privilegiados: Um processo com um processo principal privilegiado também será privilegiado. Um processo subordinado privilegiado pode criar mais processos subordinados privilegiados.

Isolamento do terminal

Antes de poder isolar um terminal, você deve primeiro habilitar o recurso Isolamento de terminal nas configurações de política. Isso é necessário para instalar plugins para o Endpoint Agent. Quando uma verificação terminar, é possível isolar o terminal.

O isolamento é acumulativo. Se selecionar um terminal isolado e aplicar outro tipo de isolamento, os dois tipos de isolamento serão aplicados. Para isolar um terminal:

  1. Vá para Configurações > Políticas.
  2. Clique em Novo ou selecione uma política existente.
  3. Selecione a guia Endpoint Detection and Response.
  4. Localize Habilitar isolamento de endpoint para permitir o bloqueio / desbloqueio de endpoints e marque a caixa para seus endpoints Windows e / ou Mac.

O isolamento é cumulativo. Se você selecionar um ponto de extremidade isolado e aplicar outro tipo de isolamento, os dois tipos de isolamento serão aplicados.

  1. Vá para Endpoints e selecione um endpoint para isolar.
  2. Clique no menu Ações no canto superior direito. Selecione Isolar endpoint (s).
  3. Confirme os tipos de isolamento desejados e clique em SIM. Todos os tipos de isolamento são ativados por padrão.
    endpoint_isolation_confirmation_dialog.png

Alterar o tipo de isolamento

Para alterar o tipo de isolamento aplicado a um terminal, é necessário:

  • Incluir os tipos de isolamento adicionais
  • Remover todo o isolamento existente e aplicar os tipos de isolamento necessários

Remover o Isolamento do terminal

É possível remover os terminais do isolamento na tela Endpoints. A remoção do isolamento de um terminal desabilita todos os tipos de isolamento aplicados a este terminal.

  1. Vá para Endpoints.
  2. Selecione os terminais que deseja remover do isolamento.
  3. No canto superior direito da tela, selecione Ações Remover isolamento.
  4. O terminal será removido do isolamento e reiniciará automaticamente. Você poderá perder qualquer trabalho que não esteja salvo.

isolamento_3.png

Personalizar alertas de isolamento de terminal (somente Windows)

Você pode personalizar a mensagem exibida nos terminais quando eles são isolados. Isso é opcional e é alterado na configuração da política.

  1. Vá para Configurações > Políticas.
  2. Clique em Novo ou selecione uma política existente.
  3. Selecione a guia Endpoint Detection and Response.
  4. Localize Habilitar isolamento de terminal para permitir o bloqueio / desbloqueio de terminais e selecione Configurações avançadas.
  5. Insira o texto personalizado nos campos Título de isolamento e Mensagem de isolamento ou clique em Usar mensagem padrão para restaurar o padrão.
  6. Você pode carregar uma imagem BMP para exibir junto com a mensagem. Arraste um arquivo de imagem para a área de upload ou clique em ESCOLHER UM ARQUIVO para selecionar uma imagem.
    Nota: O tamanho máximo do arquivo é 2 MB e deve ser um arquivo BMP nativo para ser exibido corretamente.
  7. Clique em SALVAR para salvar as alterações. A nova mensagem de isolamento será mostrada para futuros isolamentos de endpoint. Não afeta os terminais isolados atualmente.
    Isolation_message.PNG

 

 

Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes