Identificar condições para acionar ações automatizadas em endpoints seguros

Atualizado:1 de fevereiro de 2023
ID do documento:220184

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve as condições que precisam ser atendidas para acionar as Ações automatizadas.

    Informações de Apoio

    As ações automatizadas são acionadas em caso de comprometimento (significa que uma máquina não comprometida se torna uma máquina comprometida). Se uma máquina já comprometida acionar uma nova detecção, essa detecção será adicionada ao comprometimento, mas, como não se trata de um novo comprometimento, ela não acionará uma ação automatizada.

    Uma exceção a isso é o nível de gravidade. As ações automatizadas são acionadas com base em critérios que são de gravidade, no entanto, os comprometimentos não têm gravidade por si só (apenas detecções individuais têm). Se uma Ação automatizada estiver configurada para um nível de gravidade alto e uma detecção for acionada como nível médio, ela não acionará a ação. Se um evento subsequente for adicionado ao comprometimento alto, a ação será acionada, pois essa nova detecção está no comprometimento que já existe.

    O que é uma máquina comprometida?

    Uma máquina comprometida é um endpoint que tem um comprometimento ativo associado a ela. Uma máquina comprometida pode, por design, ter apenas um comprometimento ativo por vez.

    Aplicabilidade 

    Windows, Mac

    Ações automatizadas disponíveis

    1. Tirar um instantâneo forense ao comprometer-se: Captura um instantâneo forense de um computador quando ocorre um comprometimento. Um evento de comprometimento é basicamente um evento enviado por um conector que notifica sobre algo potencialmente mal-intencionado que acontece.

      Condições para disparar esta ação automatizada: Eventos que são a gravidade selecionada ou superior, disparam a ação automatizada.

      Automated Actions Available

      Conditions to Trigger Automated Action

      Este é um exemplo de uma máquina comprometida:

      Example of a Compromised Machine

      Este é o Log da ação automatizada (na guia Log de auditoria)

      Log of the Automated Action

    2. Isolar um computador em caso de comprometimento: isola os computadores quando ocorre um comprometimento.

      Condições para disparar esta ação automatizada: Eventos que são a gravidade selecionada ou superior, disparam a ação automatizada. O Limite de taxa protege você contra detecções de falsos positivos. O recurso Limite de taxa examina o número total de isolamentos em uma janela móvel de 24 horas. Se o número de isolamentos for maior que o limite, nenhum outro isolamento será disparado. Os computadores são isolados novamente quando o número de eventos de comprometimento cai para menos do que o limite na janela móvel de 24 horas ou você interrompe o isolamento em computadores que foram isolados automaticamente.

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      Este é um exemplo de uma máquina comprometida:

      Example of a Compromised Machine

      Este é o Log da ação automatizada (na guia Log de Auditoria):

      Log of the Automated Action From Audit Log Tab



    3. Enviar para Secure Malware Analytics na detecção: envie um arquivo para Secure Malware Analytics para análise de arquivo quando ocorrer uma detecção.

      Condições para disparar esta ação automatizada: Eventos que são a gravidade selecionada ou superior, disparam a ação automatizada.

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      Exemplo de uma máquina comprometida:

      Example of Compromised Machine with Malware Detected

      Nesse caso, o arquivo foi enviado anteriormente para o Secure Malware Analytics, portanto, a análise do arquivo já foi feita. Exemplo como se segue:

      File Already Done as Malware Previously Submitted

      note-icon

      Observação: essa ação automatizada não é afiliada a comprometimentos e é executada por detecção.

    4. Mover computador para grupo ao comprometer: Mover computadores de seus grupos atuais para outro grupo quando a ação for disparada. Isso permite que você mova computadores comprometidos para um grupo com uma regra que tenha configurações de mecanismo e verificação mais agressivas para corrigir o comprometimento.

    Condições para disparar esta ação automatizada: Eventos que são a gravidade selecionada ou superior, disparam a ação automatizada.

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    Este é o computador no grupo original:

    Computer in the Original Group

    Estes são os eventos de comprometimento:

    Events of the Compromise

    Este é o Log da ação automatizada (na guia Log de Auditoria):

    Log of the Automated Action (from Audit Log Tab)

    O computador foi movido para o grupo especificado na configuração Ação Automatizada:

    Computer Moved to Specified Group in the Automated Action Setting

    Logs de ação

    Esta é a lista completa dos Logs de ação automatizados na guia Ações automatizadas:

    Automated Action Logs

    Informações Relacionadas

    Guia do usuário do Secure Endpoint

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    01-Feb-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Isaac Cardenas
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos