Base de conhecimento

Voltar para a visão geral do suporte

O TeamViewer Endpoint Protection oferece proteção contínua para seus endpoints contra todos os tipos de ameaças; O Managed Detection and Response (MDR), também conhecido por Detecção e resposta gerenciada, leva essa proteção ainda mais longe, fornecendo respostas de alta precisão às ameaças. Ao reduzir o tempo de permanência de ameaças críticas e fornecer um tempo médio de resolução (MTTR) mais rápido, o TeamViewer Endpoint Protection continua a fornecer às empresas medidas para economizar custos, reduzir o tempo de inatividade e aumentar a eficácia geral da prevenção a ameaças com o Managed Threat Hunting (MTH).

Este artigo se aplica aos clientes do TeamViewer Endpoint Protection com o complemento MDR.

 

Recursos do MDR

  • O monitoramento de segurança 24x7x365 usa a tecnologia Endpoint Detection and Response (EDR) e experiência humana para monitorar a atividade do endpoint em busca de eventos suspeitos.
  • Detecção avançada de ameaças utilizando ferramentas e técnicas sofisticadas, como inteligência de ameaças e análise comportamental, para identificar e interromper até mesmo as ameaças mais novas
  • Detecção e análise de ameaças por profissionais de segurança treinados para determinar a gravidade e o impacto potencial de qualquer ameaça detectada.
  • Prevenção de ameaças com o Managed Threat Hunting (MTH), em que os analistas de segurança procuram ativamente ameaças ocultas na rede.
  • Opções flexíveis de correção garantem que a equipe de MDR possa corrigir ativamente as ameaças à medida que são descobertas ou fornecer diretrizes altamente acionáveis para as equipes de TI seguirem em seus esforços de correção.

Primeiros passos

O TeamViewer confirmará por meio de um pop-up assim que o serviço for ativado em sua conta. Selecione o botão Configurar MDR para prosseguir para a configuração inicial.

Configure os contatos principais, de backup e alternativos na próxima tela. Selecione o menu suspenso do contato principal e selecione o membro desejado do perfil da sua empresa. Se não for inserido automaticamente, insira o número de telefone principal desse contato.

Observação: Somente o contato principal é necessário. Contatos alternativos e de backup podem ser adicionados, se necessário.

Na seção Autorização de correção, selecione se prefere a correção gerenciada por ThreatDown ou correção guiada para quaisquer ameaças encontradas:

  • Se ThreatDown gerenciado for selecionado, as ameaças serão corrigidas automaticamente sem reinicializações, recriação de imagens ou outras tarefas.
  • Se a opção correção guiada for selecionada, você será guiado pelas etapas para corrigir possíveis ameaças, incluindo a necessidade de outras tarefas potenciais, como reinicializações.

Na seção final, Autorização de isolamento, escolha se você autoriza ou não que os endpoints sejam isolados em seu nome quando uma resposta de segurança for necessária. Isso autoriza estações de trabalho e servidores.

Depois de concluído, clique em Salvar no canto superior direito da tela. Uma notificação pop-up indica que a Detecção e Resposta Gerenciadas foi ativada com êxito.

Observação: O Endpoint Detection & Response (EDR) deve ser ativado antes de tentar ativar o MDR. Se você tentar ativar o complemento MDR antes de ativar o EDR, uma mensagem de erro será exibida.

Como configurar a Detecção e Resposta Gerenciadas para otimizar a proteção de seus endpoints

O MDR exige configurações específicas do EDR para operar com êxito. Essas configurações são encontradas nas configurações de política do Endpoint Protection. Para acessá-lo, navegue até as Configurações do administrador e selecione Políticas em Gerenciamento de dispositivos. Se você já tiver uma política criada, poderá editá-la; caso contrário, você pode criar uma nova política selecionando Endpoint Protection na lista suspensa de políticas. Certifique-se de que as seguintes configurações estejam ativas no sistema operacional apropriado:

  1. Monitoramento de atividades suspeitas - Monitora comportamentos potencialmente maliciosos monitorando processos, registro, sistema de arquivos e atividade de rede no endpoint. Utiliza modelos de aprendizado de máquina e análise baseada em nuvem para detectar quando atividades questionáveis ​​ocorrem.
  2. Monitoramento do sistema operacional do servidor - Requer que o monitoramento de atividades suspeitas esteja habilitado.
  3. Bloqueie o endpoint quando isolado - Impede temporariamente a propagação de ameaças entre endpoints, restringindo sua comunicação ou acesso. Um endpoint isolado ainda pode se comunicar com o console e executar processos do Nebula.
  4. Reversão de ransomware - Corrige danos causados ​​a endpoints Windows por ransomware. Utiliza um processo de restauração exclusivo para reverter os danos causados ​​por ameaças. Juntamente com nosso Mecanismo de Remoção de Malware, o cache de reversão permite que o Agente de Endpoint restaure arquivos removidos ou criptografados por malware.

5. Monitoramento de atividades suspeitas - Monitora comportamentos potencialmente maliciosos monitorando os processos, o registro, o sistema de arquivos e a atividade de rede no endpoint. Utiliza modelos de aprendizado de máquina e análises baseadas em nuvem para detectar quando ocorrem atividades questionáveis.

6. Bloqueie o endpoint quando isolado - Impede temporariamente a propagação de ameaças entre endpoints, restringindo sua comunicação ou acesso. Um endpoint isolado ainda pode se comunicar com o console e executar processos do Nebula.

Como acessar o Portal MDR

Portal Managed Detection and Response (MDR) gerencia todos os aspectos do serviço. Ele pode ser acessado selecionando o botão Nebula, que pode ser encontrado nas configurações ou na aba de detecções. Uma vez no Nebula, selecione Managed Services para ver todos os Cases e Incidents relatados.

Descubra o Portal MDR

O Portal MDR, movido pelo ThreatDown, é o painel de controle para sua licença. A aba Managed Services está dentro do portal, onde você pode visualizar todos os relatórios MDR e tomar quaisquer ações necessárias.  

Os Serviços Gerenciados são divididos em duas seções principais:

Visão geral

A guia Visão geral fornece um resumo centralizado e de alto nível dos seus casos de Serviços gerenciados por meio de uma coleção de widgets interativos. Esses widgets são projetados para oferecer insights rápidos sobre a atividade do caso, ajudando os usuários a monitorar e avaliar a postura de segurança do seu ambiente Nebula de forma eficaz. Ao apresentar dados concisos e relevantes, a guia Visão geral serve como um ponto de partida para entender tendências, identificar áreas de preocupação e priorizar ações.

Esta guia é particularmente útil para entender rapidamente a atividade maliciosa no seu ambiente. Ela oferece suporte à filtragem específica de tempo, permitindo que os usuários restrinjam o escopo das informações exibidas a um período específico. Essa funcionalidade facilita a análise de tendências ou a investigação de incidentes dentro de um período de tempo escolhido.

Os seguintes widgets estão disponíveis na guia Visão geral, cada um atendendo a uma finalidade específica:

  1. Casos por Estágio: Este widget fornece uma visão geral da atividade do caso categorizando os casos com base em seu estágio atual no ciclo de vida de resposta a incidentes. Isso ajuda os usuários a rastrear o progresso do caso, como se eles foram abertos recentemente, estão sob investigação ou foram resolvidos.
  2. Casos por Prioridade: Este widget exibe o número de casos abertos agrupados por seu nível de prioridade. Destacar a urgência de cada caso permite que os usuários identifiquem rapidamente casos de alta prioridade que podem exigir atenção imediata, garantindo que problemas críticos sejam resolvidos prontamente.
  3. Principais motivos para fechamento de casos: Este widget identifica os motivos mais comuns para fechamento de casos, conforme determinado por analistas. Resumir essas tendências fornece insights valiosos sobre os fatores recorrentes que impulsionam as resoluções de casos, ajudando as equipes a otimizar suas estratégias de resposta e melhorar os resultados futuros.

Casos

A aba Cases na página Managed Services exibe uma lista de casos abertos e seus detalhes. As seguintes informações estão disponíveis na aba Cases:

  • Alertas: Número de detecções vinculadas ao caso.
  • Analista designado: Analista designado para o caso. 
  • Nome do caso: Detecção (DE) ou Atividade Suspeita (SA) seguido do nome do endpoint e do caminho da detecção.
  • Motivo do encerramento: Motivo pelo qual o analista encerrou o caso.
  • Fechado no momento: O momento em que o caso foi encerrado.
  • Criado em: Hora em que o caso foi aberto.
  • Endpoint: Nome do dispositivo com os alertas.
  • ID: número de identificação do caso.
  • Prioridade: Urgência do caso.
  • Etapa: Fase atual do caso.
  • Status: Caso aberto ou fechado.
  • Atualizado em: Última vez que o caso foi atualizado.

Como visualizar detalhes do caso

Para visualizar os detalhes de qualquer caso MTH, clique no número de ID na coluna ID. Isso produzirá as seguintes informações em uma nova gaveta:

  • Comunicações e História  

A aba Communications & History dentro do slideout de detalhes do caso fornece um registro abrangente de atividades do caso. Isso inclui comunicações entre analistas, instruções detalhadas de remediação e um log de ações tomadas durante a investigação.  

Para refinar as informações exibidas, você pode usar os ícones para filtrar eventos específicos, como comentários, atualizações de status ou outras alterações importantes, garantindo acesso rápido aos detalhes mais relevantes.  

  • Alertas e Artefatos  

Um único caso pode abranger vários alertas, geralmente representando várias atividades maliciosas interconectadas ocorrendo no mesmo endpoint. Esses alertas são agrupados para agilizar a análise e aprimorar o contexto. A guia Alertas e Artefatos permite que você revise os alertas associados e os itens relacionados de um caso. Para uma investigação mais profunda, o botão Ir para detecção ao lado de cada alerta fornece acesso direto à detecção específica ou atividade suspeita vinculada a esse caso. 

Como enviar uma solicitação sobre um caso

Se você tiver alguma dúvida sobre um caso de MDR:

  1. Clique em Enviar uma solicitação.
  2. Insira o número do caso sobre o qual você tem uma dúvida.
  3. Selecione uma prioridade.
  4. Insira uma descrição.
  5. Clique em Enviar.

Como otimizar as verificações de ameaças

As verificações de endpoints em busca de possíveis ameaças são um aspecto integral da configuração de segurança. Recomendamos pelo menos dois tipos de varreduras:

  1. No campo Geral,  em Agendamento, selecione Diariamente.
  2. No campo Windows, em Método, selecione Verificação de ameaças.
  1. No campo Geral,  em Agendamento, selecione Semanalmente.
  2. No campo Windows, em Método, selecione Verificação Personalizada e ative a opção Verificar rootkits.

Como garantir notificações eficientes

Configurar todas as notificações necessárias é importante para garantir que você e sua equipe fiquem alertas sobre possíveis ameaças. As informações a seguir referem-se a notificações especificamente para o MDR.

Observação: As notificações são gerenciadas através do ThreatDown no portal da Nebula.

Ao criar uma nova notificação, selecione Atividade de serviços gerenciados.  

Recomenda-se que algumas condições sejam adicionadas em relação ao momento em que as notificações são enviadas. Isso garante que seus administradores não fiquem sobrecarregados com mensagens que não exigem sua atenção.

Selecione as opções do campo abaixo para ver seus valores disponíveis:

É igual a:

  • Todo
  • Caso criado
  • Caso atualizado
  • Caso encerrado

É igual a:

  • Todo
  • Crítico
  • Alto
  • Média
  • Baixo

É igual a:

  • Verdadeiro
  • Falso

Na próxima seção, selecione como as notificações devem ser enviadas. Além do e-mail, você pode optar por ser notificado via Slack/Microsoft Teams, Webhook ou o aplicativo ThreatDown Admin.

Na etapa final, a agregação pode ser ativada, reduzindo as notificações recebidas e permitindo mais foco. Isso consolida vários alertas em notificações únicas com base no intervalo e na opção de agrupamento selecionados, juntamente com tipos de atividade, condições e métodos de entrega escolhidos anteriormente.

Selecione Concluir no canto inferior direito para salvar a nova notificação.