Os clientes do Malwarebytes Endpoint Detection and Response podem usar o recurso Flight Recorder. Este recurso permite pesquisar dados de eventos capturados de todos os endpoints gerenciados pelo Malwarebytes Endpoint Detection and Response, para investigar e identificar indicadores de compromisso (IoC). Você pode pesquisar dados como arquivos, registro, processos e atividades de rede até as últimas 30 dias para caçar ameaças ou analisar como um compromisso ocorreu em seu ambiente.
Este artigo explica como pesquisar dados de eventos na seção Flight Recorder, e os tipos de dados que você pode investigar nos resultados da pesquisa. Para ver esta seção na console Nebula, clique em Flight Recorder no painel de navegação do lado esquerdo.
Pesquisar dados de eventos com o Flight Recorder
O Flight Recorder tem uma barra de pesquisa simples, com um filtro para permitir a escolha do período em que voce quer efetuar a pesquisa.
O filtro permite que voce escolha os seguintes períodos:
- Últimas 30 dias
- Últimas 2 semanas
- Últimas 7 dias
- Últimas 3 dias
- Últimas 24 horas
- Últimas 12 horas
- Últimas 6 horas
- Última hora
- Últimos 30 minutos
A pesquisa por vários tipos de dados de eventos do sistema resulta em uma lista de endpoints relacionados à sua consulta de pesquisa. Você pode pesquisar os seguintes tipos de dados:
- Caminho do Processo
- Nome do Processo
- Hash
- Endereço IP ou domínio. A chave de eventos de rede deve estar habilitada na definição da política, para que seja possível pesquisar este tipo de dados. Para habilitar esta configuração, veja Configurar opções em Configurações na plataforma Nebula da Malwarebytes
Investigar a informação mostrada no Flight Recorder
As informações mostradas a partir de uma pesquisa no Flight Recorder destinam-se a análise retrospectiva, investigação e como identificar quais de seus pontos finais são afetados ou relacionados aos processos. Esses resultados ajudam na sua tomada de decisão para o que é melhor para o seu ambiente de negócios único. Esses resultados são exibidos no gráfico da barra Tipos de Eventos, e uma lista correspondente de dispositivos na tabela Endpoints.
Gráfico de Tipos de Eventos
O gráfico de barras com os Tipos de Eventos mostra o total de ocorrências encontradas pelos seus parâmetros de pesquisa, no período de pesquisa escolhido. Os códigos de cores utilizado, mostra quais tipos de eventos foram encontrados na pesquisa. Voce pode passar o mouse sobre as barras do gráfico para verificar o total de eventos relacionados com seus endpoints. Estes eventos estão divididos em:
- Processo: Mostrado em roxo. (
) - Registro: Mostrado em amarelo. (
) - Sistema de arquivos: Mostrado em azul. (
) - Rede: Mostrado em laranja. (
)
Tabela de Endpoints
Abaixo do gráfico Tipos de Eventos está a tabela de Endpoints correspondente. Esta tabela lista seus endpoints relacionados à sua consulta de pesquisa. Cada item da linha exibe as informações em colunas diferentes. Estas colunas são:
- Endpoint: Nome do endpoint. Clique no ícone do filtro (
) para pesquisar por um endpoint específico na lista de resultados. - OS Type: Mostra o sistema operacional do endpoint na lista de resultados.
- Group: Mostra o grupo do endpoint.
- Policy: Mostra a política usada pelo endpoint.
- First Seen: Mostra quando (data/hora) o evento foi detectado pela primeira vez.
- Last Seen: Mostra quando (data/hora) o evento foi detectado pela última vez.
- Events: Mostra os diferentes tipos de eventos encontrados pelo Flight Recorder. Passe o cursor sobre os ícones codificados por cores para ver a quantidade de cada tipo de evento. As cores correspondem ao gráfico Tipos de Eventos.
- Suspicious Activity: Se o endpoint tiver uma detecção de atividade suspeita, você pode clicar no ícone (
) para ir à página Detalhes de Atividades Suspeitas e obter mais informações.
Você pode selecionar as caixas ao lado dos endpoints e selecionar a ação Isolate Endpoint(s) do menu drop down Actions, localizado á direita e acima, se voce achar que eles são um risco ao seu ambiente. Você também pode selecionar Remove Isolation no mesmo menu. Se você quiser investigar mais, você pode clicar em um endpoint para ver mais detalhes na janela pop-up de Informações de Processo.
Informações do Processo
Quando você clica em um endpoint nos resultados de pesquisa do Flight Recorder, a janela pop-up de Process Information se abre para exibir mais dados. Isso mostra informações mais detalhadas dos eventos detectados neste endpoint para ajudar na sua tomada de decisão. Você também pode iniciar o Endpoint Isolation no endpoint selecionado no pop-up de informações de processo. Esta janela mostra as seguintes informações, nas seguintes colunas:
- Process Path: Nome e localização do processo encontrado pelo Flight Recorder. Clique em um caminho de processo para visualizar a representação visual do processo selecionado. Cada nó é selecionável com detalhes de slide out, incluindo informações do Raw Event. Isso mostra detalhes como o Gráfico de Processo para Detalhes de Atividades Suspeitas. Para obter informações sobre o Gráfico de Processo, veja Detalhes de Atividade Suspeita em Malwarebytes Endpoint Detection and Response.
- First Seen: Mostra quando (data/hora) o evento foi detectado pela primeira vez.
- Last Seen: Mostra quando (data/hora) o evento foi detectado pela última vez.
- PID: Número único que identifica cada processo em execução em um endpoint.
- SHA256: Valor do hash dado a um arquivo, se aplicável.
- Virus Total: Se o evento tiver um hash SHA256, um link Check Now será exibido na coluna Virus Total. Clique neste link para abrir o site do Virus Total em uma nova guia do navegador. Este site exibe o caminho do processo como se fosse encontrado por fornecedores antivírus de terceiros. Isso pode ajudá-lo a determinar se o evento é um falso positivo. NOTA: O VirusTotal é um site de terceiros não associado à Malwarebytes. Para obter informações, consulte os Termos de Serviço do Virus Total.
- Events: Mostra os diferentes tipos de eventos encontrados pelo Flight Recorder. Passe o cursor sobre os ícones codificados por cores para ver a quantidade de cada tipo de evento. As cores correspondem ao gráfico Tipos de Eventos.
Voltar para Guia do administrador da Plataforma Nebula da Malwarebytes.