1. Malwarebytes Support
  2. Business Solutions
  3. Malwarebytes Nebula platform
  4. Guia do administrador da Plataforma Nebula da Malwarebytes

Isolamento do terminal no Endpoint Detection and Response

  • Updated

O Malwarebytes Endpoint Detection and Response inclui o recurso de isolamento de terminais, que impede temporariamente a propagação das ameaças entre os terminais, restringindo sua comunicação ou acesso. Mesmo que esteja isolado, o terminal ainda pode se comunicar com a console e realizar os processos do console Malwarebytes. O isolamento do terminal pode ser habilitado em qualquer terminal que tenha realizado uma verificação de ameaças.

Para obter os requisitos de uso do Endpoint Isolation, consulte Requisitos mínimos para a plataforma Nebula da Malwarebytes.

isolamento_1.png

Tipos de isolamento

Há três tipos diferentes de isolamento. Eles podem ser habilitados separadamente ou combinados para aumentar o isolamento. Os três tipos de isolamento são:

  • Isolamento da rede: Evita que o terminal se comunique com outros dispositivos em sua rede.
  • Isolamento do processo: Restringe quais processos podem ser executados no terminal e impede a interação dos processos.
  • Isolamento do computador: Impede que os usuários acessem o terminal.

Com o Isolamento do Processo habilitado, somente os Processos Privilegiados têm permissão para serem iniciados no terminal. Os processos privilegiados pertencem a um dos seguintes tipos:

  • Processos predefinidos (codificados): Atualmente há dois processos predefinidos: CONSENT.exe, necessário para executar os processos elevados UAC; e CSRSS.EXE o qual é um processo crítico do sistema.
  • Processos assinados digitalmente pela Malwarebytes: Eles têm permissão para executar de forma irrestrita nos terminais isolados.
  • Processos gerados por outros processos privilegiados: Um processo com um processo principal privilegiado também será privilegiado. Um processo subordinado privilegiado pode criar mais processos subordinados privilegiados.

Isolamento do terminal

Antes de poder isolar um terminal, o Malwarebytes deve executar uma verificação de ameaça no sistema. Isso é necessário para instalar plugins para o Endpoint Agent. Quando uma verificação terminar, é possível isolar o terminal.

O isolamento é acumulativo. Se selecionar um terminal isolado e aplicar outro tipo de isolamento, os dois tipos de isolamento serão aplicados. Para isolar um terminal:

  1. Vá para Endpoints.

  2. Selecione qual ou quais terminais deseja isolar.

  3. No canto superior direito da tela, selecione Ações > Isolar Endpoint(s).

  4. Confirme os tipos de isolamento que deseja e clique em SIM. Todos os tipos de isolamento estão habilitados por padrão.

isolamento_2.png

Alterar o tipo de isolamento

Para alterar o tipo de isolamento aplicado a um terminal, é necessário:

  • Incluir os tipos de isolamento adicionais
  • Remover todo o isolamento existente e aplicar os tipos de isolamento necessários

Remover o Isolamento do terminal

É possível remover os terminais do isolamento na tela Endpoints. A remoção do isolamento de um terminal desabilita todos os tipos de isolamento aplicados a este terminal.

  1. Vá para Endpoints.

  2. Selecione os terminais que deseja remover do isolamento.

  3. No canto superior direito da tela, selecione Ações Remover isolamento.

  4. O terminal será removido do isolamento e reiniciará automaticamente. Você poderá perder qualquer trabalho que não esteja salvo.

isolamento_3.png

Personalizar alertas de isolamento de terminal (somente Windows)

Os administradores podem personalizar a mensagem exibida nos terminais quando eles são isolados. Isso é opcional e é alterado na configuração da política.

  1. Vá para Configurações > Políticas > Selecione uma política > Windows > Configurações > Configurações Endpoint Detection & Response (EDR) > ENDPOINT ISOLATION (EDR).

  2. Digite o texto personalizado nos campos Título do isolamento Mensagem de isolamento ou clique em Usar mensagem padrão para restaurar o padrão.

  3. É possível carregar uma imagem BMP para que seja exibida juntamente com a mensagem. Arraste o arquivo de imagem para a área de upload ou clique em ESCOLHER UM ARQUIVO para selecionar uma imagem.

  4. Clique em SALVAR para salvar as alterações. A nova mensagem do isolamento será exibida para isolamentos futuros de terminais. Isso não afeta os terminais isolados atualmente.

isolamento_4.png

 

Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes