O TeamViewer Endpoint Detection and Response (EDR) é uma solução integrada de segurança de endpoints que utiliza dados de telemetria para detectar, analisar e remediar ameaças cibernéticas. Desenvolvido com o Malwarebytes ThreatDown, o EDR interrompe ataques contra estações de trabalho e servidores com segurança que detecta o que outras soluções não conseguem.
Este artigo se aplica a todos os clientes do TeamViewer Endpoint Detection and Response.
O que é Detecção e Resposta de Endpoint do EDR?
Detecção e Resposta de Endpoints abrange ferramentas de segurança cibernética projetadas para monitorar e lidar continuamente com ameaças direcionadas a dispositivos endpoint em tempo real. Esses endpoints incluem quaisquer dispositivos conectados à rede, como computadores, servidores, dispositivos móveis e gadgets de IoT. As soluções de EDR são essenciais para detectar, analisar e neutralizar atividades maliciosas nesses dispositivos.
Funcionalidades principais
O EDR utiliza diversas soluções para fornecer um pacote completo para a segurança de seus endpoints e servidores. Isso inclui:
- Monitoramento contínuo: Coleta constante de dados de endpoints. Isso inclui atividade de arquivos, conexões de rede, execuções de processos e alterações no registro do sistema.
- Análise: Usando IA e aprendizado de máquina, o EDR analisa os dados coletados para identificar anomalias que podem indicar atividades maliciosas.
- Detecção de ameaças: Identificação de ameaças potenciais, incluindo vulnerabilidades de dia zero.
- Resposta automatizada: O EDR pode responder automaticamente às ameaças descobertas, incluindo a colocação de arquivos em quarentena e o isolamento de dispositivos infectados.
Qual é a diferença entre os serviços do TeamViewer Endpoint Detection and Response (EDR) e o TeamViewer Endpoint Protection (EPP)?
EDR e EPP diferem na forma como abordam a segurança de dispositivos. EDR é uma solução projetada para detectar, investigar e responder a ameaças avançadas em tempo real. Ela fornece visibilidade abrangente das atividades de endpoints, permitindo que as equipes de segurança analisem o escopo e a natureza de um ataque. Utilizando técnicas de análise comportamental e aprendizado de máquina, EDR pode identificar ameaças conhecidas, vulnerabilidades de dia zero, ataques sem arquivo e outras ameaças avançadas. Ela também oferece ferramentas para resposta a incidentes, como isolar dispositivos infectados ou reverter alterações maliciosas.
Em contraste, a proteção de endpoint baseada em assinaturas depende de assinaturas de ameaças predefinidas para detectar e bloquear atividades maliciosas. Ela compara arquivos ou processos a um banco de dados de padrões de malware conhecidos. Embora eficaz na prevenção de ameaças conhecidas, esse método pode ser deficiente em malwares em evolução sem assinatura correspondente. Seu foco principal é a prevenção, em vez da investigação ou resposta pós-ataque.
Como acessar o Endpoint Protection and Response
O EDR pode ser acessado no TeamViewer Remote ou pelo web app na guia Gerenciamento Remoto, na seção Proteção de Terminais.
Como visualizar o status de proteção de um dispositivo específico
O método recomendado para acessar o status de um dispositivo específico é pela gaveta de dispositivos. Para isso, clique no nome do dispositivo na aba Dispositivo do TeamViewer Remote ou na lista de dispositivos.
A gaveta será aberta à direita; selecione a aba com um escudo e uma marca de seleção para acessar as informações do EDR do dispositivo. A gaveta do dispositivo EDR fornece as informações básicas do dispositivo, incluindo:
- Política aplicada
- Nome e grupo do dispositivo Malwarebytes
- Detecções
- Atividade suspeita
O EDR é dividido nas seguintes seções:
- Dispositivos
- Detecções
- Quarentena
- Atividade Suspeita
- Relatórios
Selecione a aba apropriada abaixo para obter mais informações sobre cada seção:
- Dispositivos
- Detecções
- Quarentena
- Atividade suspeita
- Relatórios
Dispositivos
Uma lista de todos os dispositivos é fornecida na guia dispositivos, bem como as seguintes informações:
- Nome da Nebulosa
- Grupo
- Status do dispositivo
- Status
- Data da última varredura
- Data da última visualização
Qualquer dispositivo que requeira atenção mostrará Precisa de atenção como status do dispositivo.
Detecções
A aba Detecções fornece uma visão geral de todas as ameaças detectadas em seus endpoints. Todos os arquivos na aba Detecções foram identificados, analisados e respondidos em tempo real, minimizando possíveis danos.
No caso de um falso positivo, você pode criar automaticamente uma exclusão selecionando a ameaça e clicando em +Criar exclusão.
As seguintes informações são fornecidas sobre cada ameaça:
- Status
- Categoria
- Ameaça
- Dispositivo e grupo de dispositivos
- Data da digitalização
Clicar no status da ameaça abre a gaveta de ameaças, que fornece mais informações sobre a detecção. Isso inclui:
- Executável/Arquivo detectado
- Caminho
- Tipo de arquivo
- Ação tomada
- Categoria de ameaça
- Grupo de dispositivos
- Digitalizado em/Relatado em carimbos de data/hora
Arquivos que foram colocados em quarentena também podem ser restaurados ou excluídos pela gaveta de ameaças.
Quarentena
Arquivos em quarentena são detecções que correspondem a uma determinada assinatura ou outro detalhe de ameaça potencial, mas podem ser falsos positivos. Se uma ameaça potencial for colocada em quarentena, esta aba permitirá que você restaure ou exclua o arquivo.
Atividade Suspeita
O Suspicious Activity monitora comportamentos potencialmente maliciosos monitorando processos, registro, sistema de arquivos e atividade de rede no endpoint. O Suspicious Activity Monitoring utiliza modelos de aprendizado de máquina e análises baseadas em nuvem para detectar quando atividades questionáveis ocorrem.
Observe que nem toda atividade detectada é garantidamente maliciosa; operações benignas do sistema também podem desencadear algumas detecções.
Como exportar relatórios
O Endpoint Detection and Response fornece uma variedade de relatórios que fornecem as informações que você precisa, quando você precisa. Para criar um relatório, navegue até a aba de relatórios do Endpoint Protection e selecione +Criar relatório no canto superior esquerdo.
Crie um nome para o relatório e selecione o tipo de relatório desejado. Em seguida, insira o fuso horário desejado e clique em Continuar.
Se desejar que o relatório seja criado automaticamente, insira o cronograma desejado (mensal, diário ou semanal). Você também pode configurá-lo para ser executado somente sob demanda quando necessário.
Defina o período de relatório desejado — as datas a serem incluídas no relatório. Você pode definir um período predefinido para cada relatório ou inserir manualmente os períodos sempre que executar o relatório solicitado.
Na etapa final, adicione os destinatários que receberão o relatório. Clique em Criar para finalizar e executar o relatório inicial.
Gerar e enviar relatório
Independentemente de ser um relatório sob demanda ou agendado, você pode executar qualquer relatório sob demanda selecionando o relatório desejado e clicando em ↻ Gerar e enviar relatório.
