Administrator Guide
Table Of Contents
Ameaças colocadas
Este capítulo apresenta detalhes sobre como identificar e gerir ameaças encontradas num ambiente empresarial após a instalação do
Advanced Threat Prevention.
● Identificar uma ameaça
○ Visualizar eventos de ameaça
○ Atualizações da pontuação Cylance e do modelo de ameaça
○ Ver dados detalhados da ameaça
● Gerir uma ameaça
○ Exportar dados da ameaça para CSV
○ Gerir a lista de quarentena global
Identificar uma ameaça
Notificações de e-mail e dashboard
Se configurou as notificações de e-mail para Eventos do Advanced Threat e Threat Protection, um administrador é notificado por e-mail
relativamente a ameaças e eventos do Advanced Threat Prevention.
O Resumo de notificações do painel na Management Console apresenta ameaças e eventos do Advanced Threat Prevention como tipos
de notificação de Eventos do Advanced Threat e Threat Protection.
● Tipo de Threat Protection - Um alerta de ameaça do Advanced Threat Prevention.
● Tipo de Evento do Advanced Threat - Um evento detetado pelo Advanced Threat Prevention. Um evento não é necessariamente uma
ameaça.
Os detalhes da seguinte tabela apresentam a etiqueta, a gravidade e a informação sobre a ameaça.
Etiqueta
Gravidade Detalhes
ThreatFound Crítico
Indica que um Executável Portátil (PE) foi identificado num dispositivo,
mas não foi bloqueado ou colocado em quarentena no ponto terminal,
indicando que existe uma ameaça ativa no sistema.
ThreatBlocked Aviso
Indica que um Executável Portátil foi identificado no dispositivo, embora
a sua execução tenha sido bloqueada. Esta ameaça não foi colocada em
quarentena especificamente, o que provavelmente se deve à política de
Quarentena Automática não ter sido ativada, ou ao ficheiro estar num
local no qual não é possível gravar com a conta do SISTEMA local (uma
partilha de rede, um dispositivo USB que foi removido, etc.).
ThreatTerminated Aviso
Indica que um Executável Portátil (PE) foi identificado no dispositivo e o
seu processo foi terminado, pois estava a ser executado de forma ativa.
Isto não indica que o ficheiro também foi colocado em quarentena, pois
o PE poderia ter sido executado a partir de outro local. Recomenda-se
que procure outro evento correlacionado com este ponto terminal e com
o executável para confirmar que a ameaça foi contida corretamente.
MemoryViolationBlocked Aviso
Indica que houve uma tentativa de execução de um executável ou
script, mas estava em violação da política de Proteção de Memória
ou de Controlo de Script. A execução do executável ou script foi
subsequentemente bloqueada. Normalmente, é indicativo de que a
política de Proteção de Memória ou de Controlo de Script correlacionada
descrita foi definida para Bloquear.
4
14 Ameaças colocadas