Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do. (McAfee epolicy Orchestrator)

Transcrição

1 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do (McAfee epolicy Orchestrator)

2 COPYRIGHT Copyright 2018 McAfee LLC ATRIBUIÇÕES DE MARCA McAfee e o logotipo da McAfee, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países. Outras marcas podem ser declaradas propriedade de terceiros. INFORMAÇÕES DE LICENÇAS Contrato de Licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DE USO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO À CONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOS SEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ O DOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJA APLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO. 2 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

3 Conteúdo 1 Visão geral do produto 5 Visão geral do Endpoint Security Como funciona o Endpoint Security Visão geral da Proteção adaptável contra ameaças Recursos principais da Proteção adaptável contra ameaças Como a Proteção adaptável contra ameaças funciona Visão geral dos recursos Como as reputações de arquivo e de certificado controlam o acesso Como a reputação é determinada Como os arquivos de conteúdo funcionam Como a varredura do Real Protect monitora a atividade Como funciona o Confinamento dinâmico de aplicativos Uso da Proteção adaptável contra ameaças em seu ambiente Criação da prevelência de arquivo por meio do modo de observação Monitoramento e ajustes Envio de arquivos para análise detalhada Adições do Proteção adaptável contra ameaças ao McAfee epo Uso de conjuntos de permissões Configurações do servidor e Proteção adaptável contra ameaças Configurar a Prevenção adaptável contra ameaças 27 Políticas e Proteção adaptável contra ameaças Confinamento dinâmico de aplicativos Ativar o limite do gatilho do Confinamento dinâmico de aplicativos Configurar regras de confinamento definidas pela McAfee Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos Exibir aplicativos confinados no McAfee epo Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis Permissão para que aplicativos confinados sejam executados normalmente Configurar a Proteção adaptável contra ameaças Exclusão de processos da varredura da Proteção adaptável contra ameaças Gerenciamento da Proteção adaptável contra ameaças 35 Como lidar com novos falsos positivos com arquivos Extra.DAT Download e distribuição de um arquivo Extra.DAT em sistemas cliente usando o McAfee epo Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo 37 Verificação de ameaças em eventos recentes Verifique os detalhes sobre os eventos de ameaça recentes Responder a eventos Dashboards, monitores e Proteção adaptável contra ameaças Consultas, respostas e Proteção adaptável contra ameaças Tarefas do servidor e Proteção adaptável contra ameaças Acumule dados de evento ou sistemas do Endpoint Security Eventos, respostas e Proteção adaptável contra ameaças Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 3

4 Conteúdo 5 Usar a Proteção adaptável contra ameaças em um sistema cliente 45 Responder a uma solicitação de reputação de arquivo Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee Verificar status da conexão Gerenciar a Proteção adaptável contra ameaças em um sistema cliente 49 Carregar um arquivo Extra.DAT em um sistema de cliente Confinamento dinâmico de aplicativos Ativar o limite do gatilho do Confinamento dinâmico de aplicativos em um sistema cliente Configuração de regras de confinamento definidas pela McAfee em um sistema cliente Gerenciar aplicativos confinados em um sistema cliente Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente Configurar a Proteção adaptável contra ameaças em um sistema cliente Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente Monitorar as atividades da Proteção adaptável contra ameaças em um sistema cliente 55 Verificação de atividade recente no Log de eventos Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

5 1 Visão 1 geral do produto Conteúdo Visão geral do Endpoint Security Como funciona o Endpoint Security Visão geral da Proteção adaptável contra ameaças Recursos principais da Proteção adaptável contra ameaças Como a Proteção adaptável contra ameaças funciona Visão geral dos recursos Uso da Proteção adaptável contra ameaças em seu ambiente Adições do Proteção adaptável contra ameaças ao McAfee epo Visão geral do Endpoint Security O McAfee Endpoint Security é uma solução de segurança extensível e integrada que protege servidores, sistemas de computadores, laptops e tablets contra ameaças conhecidas e desconhecidas. Essas ameaças incluem malware, comunicações suspeitas, sites não confiáveis e arquivos baixados. O Endpoint Security permite a comunicação em tempo real de diversas tecnologias de defesa para fazer análises e proteger contra ameaças. O Endpoint Security consiste nestes módulos de segurança: Prevenção contra ameaças Impede que ameaças acessem sistemas, varre arquivos automaticamente quando eles são acessados e realiza varreduras direcionadas para verificar se há malware em sistemas cliente. Firewall Monitora a comunicação entre o computador e os recursos da rede e da Internet. Intercepta comunicações suspeitas. Controle da Web Monitora as buscas na Web e atividades de navegação nos sistemas cliente e bloqueia sites e downloads com base na classificação de segurança e conteúdo. Proteção adaptável contra ameaças Analisa conteúdo da sua empresa e decide como responder com base na reputação do arquivo, regras e limites de reputação. A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. O módulo Em Comum fornece configurações para recursos comuns, como registro e segurança da interface. Esse módulo será instalado automaticamente se qualquer outro módulo for instalado. Todos os módulos são integrados em uma única interface do Endpoint Security no sistema cliente. Cada módulo trabalha em conjunto e de forma independente para fornecer várias camadas de segurança. Como funciona o Endpoint Security na página 6 Visão geral da Proteção adaptável contra ameaças na página 8 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 5

6 1 Visão geral do produto Como funciona o Endpoint Security Como funciona o Endpoint Security O Endpoint Security intercepta ameaças, monitora a integridade geral do sistema e fornece relatórios com informações sobre detecção e status. O software cliente é instalado em cada sistema para executar as tarefas a seguir. Tipicamente, você instala um ou mais módulos do Endpoint Security em sistemas cliente, gerencia detecções e define as configurações que determinam como os recursos de produto funcionam. McAfee epo Você usa o McAfee epolicy Orchestrator (McAfee epo ) para distribuir e gerenciar os módulos do Endpoint Security em sistemas cliente. Cada módulo inclui uma extensão e um pacote de software que são instalados no servidor McAfee epo. O McAfee epo distribui o software em sistemas cliente. Usando o McAfee Agent, o software cliente comunica-se com o McAfee epo para realizar imposição e configuração de política, atualizações de produto e geração de relatórios. Módulos de cliente O software cliente protege os sistemas com atualizações regulares, monitoramento contínuo e relatório detalhado. Ele envia dados sobre as detecções em seus computadores para o servidor McAfee epo. Esses dados são usados para gerar relatórios para o administrador sobre detecções e questões de segurança em seus computadores. Servidor TIE e Data Exchange Layer A estrutura do Endpoint Security integra-se com o McAfee Threat Intelligence Exchange (TIE) e o McAfee Data Exchange Layer (DXL) ao usar a Proteção adaptável contra ameaças. Esses produtos opcionais permitem que você controle a reputação de arquivo localmente e compartilhe as informações imediatamente em todo o seu ambiente. Se o servidor TIE não estiver disponível, a Proteção adaptável contra ameaças consulta o McAfee Global Threat Intelligence (McAfee GTI) para obter informações de reputação. McAfee GTI A Prevenção contra ameaças, o Firewall, o Controle da Web e a Proteção adaptável contra ameaças consultam o McAfee GTI para obter informações de reputação a fim de determinar como lidar com arquivos no sistema cliente. 6 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

7 Visão geral do produto Como funciona o Endpoint Security 1 McAfee Labs O software cliente se comunica com o McAfee Labs para atualizações de mecanismo e do arquivo de conteúdo. O McAfee Labs lança regularmente pacotes de conteúdo atualizados. Figura 1-1 Como funciona Como a proteção se mantém atualizada As atualizações regulares do Endpoint Security protegem seus computadores das mais recentes ameaças. Para realizar atualizações, o software cliente conecta-se a um servidor McAfee epo local ou remoto, ou diretamente a um site da Internet. O Endpoint Security verifica: Atualizações dos arquivos de conteúdos que detectam ameaças. Os arquivos de conteúdo contêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medida que novas ameaças são descobertas. Atualizações de componentes de software como patches e hotfixes. Visão geral da Proteção adaptável contra ameaças na página 8 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 7

8 1 Visão geral do produto Visão geral da Proteção adaptável contra ameaças Visão geral da Proteção adaptável contra ameaças Proteção adaptável contra ameaças (ATP) do McAfee Endpoint Security é um módulo opcional do Endpoint Security que analisa o conteúdo da empresa e decide o que deve ser feito com base na reputação do arquivo, nas regras e nos limites de reputação. A Proteção adaptável contra ameaças fornece estes benefícios: Detecção rápida e proteção contra ameaças de segurança e malware. Capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça se espalhou pelo ambiente. A capacidade de imediatamente confinar, bloquear ou limpar certificados e arquivos específicos com base em suas reputações de ameaça e seus critérios de risco. Integração com a varredura do Real Protect para realizar análises de reputação automáticas na nuvem e nos sistemas clientes. Integração em tempo real com o McAfee Advanced Threat Defense e o McAfee GTI para fornecer dados e avaliações detalhadas sobre a classificação do malware. Essa integração permite que você responda a ameaças e compartilhe as informações em todo o seu ambiente. Para obter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor McAfee Threat Intelligence Exchange (TIE). Para obter informações, entre em contato com seu revendedor ou representante de vendas. Componentes opcionais A Proteção adaptável contra ameaças também pode se integrar com estes componentes opcionais: Servidor TIE Um servidor que armazena informações sobre reputações de arquivos e certificados e depois as transmite para outros sistemas. Data Exchange Layer Clientes e agentes que permitem a comunicação bidirecional entre o módulo Proteção adaptável contra ameaças do sistema gerenciado e o servidor TIE. O Data Exchange Layer é opcional, mas é necessário para comunicação com o servidor TIE. Esses componentes incluem extensões do McAfee epo e adicionam vários relatórios e recursos. Visão geral do Endpoint Security na página 5 8 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

9 Visão geral do produto Recursos principais da Proteção adaptável contra ameaças 1 Recursos principais da Proteção adaptável contra ameaças Os recursos principais da Proteção adaptável contra ameaças protegem sua empresa de arquivos com reputações desconhecidas, detectam padrões maliciosos e corrigem falsos positivos. Proteger Para proteger sua empresa, bloqueie ou confine arquivos com reputação desconhecida usando estes recursos da Proteção adaptável contra ameaças: Identificação de arquivos com base na reputação A Proteção adaptável contra ameaças alerta quando um arquivo desconhecido acessa o ambiente. Em vez de enviar as informações do arquivo para a McAfee analisar, a Proteção adaptável contra ameaças pode bloquear o arquivo imediatamente. Integração com o servidor TIE Se disponível, o servidor TIE fornece informações sobre como vários sistemas executam o arquivo. Advanced Threat Defense ajuda a determinar se o arquivo representa uma ameaça. Confinamento dinâmico de aplicativos Permite que arquivos desconhecidos sejam executados em um contêiner, limitando as ações que podem ser realizadas. Quando a empresa usa um arquivo com reputação desconhecida pela primeira vez, a Proteção adaptável contra ameaças pode executá-lo em um contêiner. As regras de confinamento definem quais ações o aplicativo confinado não pode realizar. O Confinamento dinâmico de aplicativos também confina processos quando eles carregam arquivos PE (executáveis portáteis) e DLLs (bibliotecas de vínculo dinâmico), que fazem o downgrade da reputação do processo. Detectar Detecta padrões maliciosos e malware na memória usando estes recursos da Proteção adaptável contra ameaças: Varredura do Real Protect Realiza análises de reputação automatizadas. O Real Protect inspeciona arquivos e atividades suspeitos no sistema cliente e detectar padrões maliciosos usando técnicas de aprendizado de máquina. As varreduras baseadas em cliente e em nuvem do Real Protect incluem varredura de DLL para impedir que processos confiáveis carreguem arquivos PE e DLL não confiáveis. Corrigir Limpe arquivos e elimine falsos positivos usando estes recursos da Proteção adaptável contra ameaças: Limpeza de arquivos A Proteção adaptável contra ameaças pode limpar arquivos quando a reputação do arquivo atinge um limite especificado. Exclusões de arquivos personalizados Se um arquivo personalizado por confiável, mas tiver reputação padrão de malicioso, ele será bloqueado. Você pode excluí-lo da varredura ou alterar a reputação do arquivo para confiável e permitir que ele seja executado na organização sem solicitar à McAfee um arquivo DAT atualizado. Dashboards e relatórios do McAfee epo Mostram atividades e detecções, que podem ser usados para ajustar as configurações da Proteção adaptável contra ameaças. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 9

10 1 Visão geral do produto Como a Proteção adaptável contra ameaças funciona Como a Proteção adaptável contra ameaças funciona A Proteção adaptável contra ameaças usa o cache de reputação local, o servidor TIE e o McAfee GTI para obter informações de reputação a fim de determinar como lidar com arquivos no sistema cliente. 1 O administrador define as configurações da Proteção adaptável contra ameaças no McAfee epo e a impõe ao sistema cliente. 2 Um usuário abre um arquivo no sistema cliente. A Proteção adaptável contra ameaças verifica o cache de reputação local do arquivo. 3 Se o arquivo não estiver no cache de reputação local: a Proteção adaptável contra ameaças consulta o servidor TIE, se disponível, em relação à reputação. 4 Se o servidor TIE não estiver disponível ou o arquivo não estiver no banco de dados do servidor TIE, a Proteção adaptável contra ameaças consulta a reputação no McAfee GTI. 5 Dependendo da reputação do arquivo e das configurações da Proteção adaptável contra ameaças: O arquivo tem permissão para ser aberto. O arquivo tem permissão para ser executado em um contêiner. O arquivo é bloqueado. O usuário é solicitado a executar a ação. 6 O McAfee GTI retorna as informações de reputação de arquivo mais recentes ao servidor TIE. 7 O servidor TIE atualiza o banco de dados e envia as informações de reputação atualizadas para todos os sistemas compatíveis com a Proteção adaptável contra ameaças para proteger seu ambiente imediatamente. 8 A Proteção adaptável contra ameaças registra os detalhes e gera e envia um evento ao McAfee epo. Figura 1-2 Como funciona 10 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

11 Visão geral do produto Como a Proteção adaptável contra ameaças funciona 1 A Proteção adaptável contra ameaças funciona de maneira diferente se ela se comunicar com o servidor TIE e se estiver conectada à Internet. Se o servidor TIE e o Data Exchange Layer estiverem presentes Se o servidor TIE estiver presente, a Proteção adaptável contra ameaças usa a estrutura do Data Exchange Layer para compartilhar informações de arquivos e ameaças de forma instantânea em todo a empresa. Você poderá ver o sistema específico onde uma ameaça foi detectada pela primeira vez, aonde ela foi depois e detê-la imediatamente. A Proteção adaptável contra ameaças com o servidor TIE permite que você controle a reputação de arquivo em nível local em seu ambiente. Você decide quais arquivos podem ser executados e quais serão bloqueados, e o Data Exchange Layer compartilha as informações imediatamente em todo o ambiente. A Proteção adaptável contra ameaças e o servidor comunicam as informações de reputação de arquivo. A estrutura do Data Exchange Layer transmite essas informações imediatamente para pontos de extremidade gerenciados. Além disso, compartilha informações com outros produtos da McAfee que acessam o Data Exchange Layer, como o McAfee Enterprise Security Manager (McAfee ESM) e o McAfee Network Security Platform. Figura 1-3 Proteção adaptável contra ameaças com o servidor TIE e o Data Exchange Layer Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 11

12 1 Visão geral do produto Visão geral dos recursos Se o servidor TIE e o Data Exchange Layer não estiverem presentes A Proteção adaptável contra ameaças comunica-se com o McAfee GTI para obter informações de reputação de arquivo. Figura 1-4 Proteção adaptável contra ameaças com McAfee GTI Se o servidor TIE não estiver presente e o sistema não estiver conectado à Internet, a Proteção adaptável contra ameaças determina a reputação do arquivo, usando as informações sobre o sistema local. Como as reputações de arquivo e de certificado controlam o acesso na página 13 Como a varredura do Real Protect monitora a atividade na página 19 Como a reputação é determinada na página 13 Como funciona o Confinamento dinâmico de aplicativos na página 20 Responder a uma solicitação de reputação de arquivo na página 45 Visão geral dos recursos Conteúdo Como as reputações de arquivo e de certificado controlam o acesso Como a reputação é determinada Como os arquivos de conteúdo funcionam Como a varredura do Real Protect monitora a atividade Como funciona o Confinamento dinâmico de aplicativos 12 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

13 Visão geral do produto Visão geral dos recursos 1 Como as reputações de arquivo e de certificado controlam o acesso As reputações de arquivos e certificados são baseadas em seu conteúdo e propriedades. A configurações de Proteção adaptável contra ameaças determinam se os itens são bloqueados ou permitidos em seu ambiente com base nos níveis de reputação. Escolha entre três níveis de segurança, dependendo de como você deseja equilibrar as regras para tipos específicos de sistemas. Cada nível é associado a regras específicas que identificam certificados e arquivos maliciosos e suspeitos. Produtividade Sistemas que são alterados com frequência, em geral instalando e desinstalando programas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes de desenvolvimento são exemplos desses sistemas. Menos regras são usadas com essa configuração. Os usuários veem o mínimo de bloqueios e avisos quando novos arquivos são detectados. Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instalados raramente. Mais regras são usadas com essa configuração. Os usuários observam mais bloqueios e avisos. Seguro Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso são sistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ou governamental. Essa configuração também é usada para servidores. É usado um número máximo de regras com essa configuração. Os usuários observam ainda mais bloqueios e avisos. Ao determinar qual nível de segurança será atribuído, considere o tipo de sistema e a quantidade de bloqueios e avisos que você deseja que o usuário experimente. Configurar a Proteção adaptável contra ameaças na página 33 Como a reputação é determinada Ao determinar a reputação de um arquivo ou de um certificado, a Proteção adaptável contra ameaças usa uma varredura pré-execução e monitoramento posterior. Varredura de processos pré-execução Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 13

14 1 Visão geral do produto Visão geral dos recursos 1 Um arquivo executável portátil (PE) é carregado para execução em um processo. 2 O Endpoint Security verifica as exclusões para determinar se o arquivo deve ser inspecionado. 3 A Proteção adaptável contra ameaças inspeciona o arquivo e coleta propriedades do sistema local e do arquivo. 14 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

15 Visão geral do produto Visão geral dos recursos 1 4 A Proteção adaptável contra ameaças verifica o cache de reputação local referente ao hash do arquivo. Se o hash do arquivo estiver no cache de reputação local, a Proteção adaptável contra ameaças obterá os dados de reputação e de prevalência do arquivo no cache e executará a ação associada. Se o hash do arquivo não estiver no cache, a Proteção adaptável contra ameaças obterá os dados de reputação e de prevalência do arquivo no servidor TIE. Para obter informações, consulte a documentação do servidor TIE. Se Advanced Threat Defense estiver presente e ativado, consulte Se a área restrita estiver ativada (Advanced Threat Defense) abaixo. 5 Se as regras da Proteção adaptável contra ameaças determinarem a reputação final, a Proteção adaptável contra ameaças atualizará o servidor TIE com as informações de reputação mais recentes e executará a ação associada. 6 Se a Proteção adaptável contra ameaças não tiver a reputação final, o mecanismo de varredura baseado em cliente do Real Protect varrerá o arquivo. Se o mecanismo de varredura baseado em cliente do Real Protect determinar a reputação final, a Proteção adaptável contra ameaças atualizará o servidor TIE com as informações de reputação mais recentes e executará a ação associada. Se o mecanismo de varredura baseado em cliente do Real Protect não determinar a reputação final, a reputação do arquivo será Desconhecida. A Proteção adaptável contra ameaças permite que o processo seja iniciado e começa o monitoramento pós-execução. Monitoramento de processos pós-execução Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 15

16 1 Visão geral do produto Visão geral dos recursos 1 O processo começa a ser executado. Se a reputação do arquivo for conhecida, a Proteção adaptável contra ameaças executará a ação configurada (Confinar, Bloquear ou Limpar). Se for a reputação for Desconhecida, a Proteção adaptável contra ameaças permitirá que o processo seja iniciado. 16 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

17 Visão geral do produto Visão geral dos recursos 1 2 Se ativado, o mecanismo de varredura baseado em nuvem do Real Protect monitora o processo em execução. Se o processo revelar um comportamento malicioso, o o mecanismo de varredura baseado em nuvem do Real Protect executará uma correção. Caso contrário, ele continuará monitorando o processo. 3 Se o Confinamento dinâmico de aplicativos estiver ativado, o processo será executado em um contêiner. Regras de contenção determinam ações que o processo pode executar. Se o processo de disparar regras de contenção Bloquear suficientes para apresentar comportamento suspeito, o Confinamento dinâmico de aplicativos reduzirá a reputação, o que pode fazer com que o processo seja limpo. Se a proteção estiver ativada (Advanced Threat Defense) Se Advanced Threat Defense estiver presente e ativado, o processo a seguir ocorrerá. 1 Se o arquivo for novo no ambiente e o sistema que executa o arquivo tiver acesso ao Advanced Threat Defense, o servidor TIE enviará o arquivo para o Advanced Threat Defense para varredura. Nesse caso, o servidor TIE continuará pesquisando relatórios de análise até que eles estejam disponíveis. É possível ativar tanto um, quanto os dois fornecedores de reputação na página Catálogo de políticas no McAfee epo. 2 O Advanced Threat Defense varre o arquivo e envia os resultados de reputação do arquivo para o servidor TIE por meio do Data Exchange Layer. O servidor também atualiza o banco de dados e envia as informações de reputação atualizadas para todos os sistemas compatíveis com a Proteção adaptável contra ameaças para proteger seu ambiente imediatamente. A Proteção adaptável contra ameaças ou qualquer outro produto da McAfee podem iniciar esse processo. O servidor TIE processa a reputação e a salva no banco de dados. Se o McAfee Web Gateway estiver presente Se o McAfee Web Gateway estiver presente, ocorrerá o seguinte. Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE que salva a pontuação de reputação no banco de dados. Quando o servidor recebe uma solicitação de reputação de arquivos do módulo, ele retorna a reputação recebida do McAfee Web Gateway e de outros provedores de reputação. Se o Controle da Web do Endpoint Security estiver presente Ao fazer o download de um arquivo, o Controle da Web envia uma mensagem ao servidor TIE, contendo o URL de onde foi realizado o download do arquivo, a reputação do URL do McAfee GTI e o valor de hash do arquivo. As informações estão disponíveis na guia URL associada na página de informações de hash. Quando o servidor TIE recebe uma solicitação de reputação de arquivo, ele retorna essas informações como parte da resposta. Quando o cache é removido? na página 18 Como a Proteção adaptável contra ameaças funciona na página 10 Como funciona o Confinamento dinâmico de aplicativos na página 20 Como a varredura do Real Protect monitora a atividade na página 19 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 17

18 1 Visão geral do produto Visão geral dos recursos Quando o cache é removido? A configuração da regra define quando remover o cache inteiro. Estado de objeto, reputação ou data de expiração definem quando remover objetos individuais no cache. Todo o cache da Proteção adaptável contra ameaças é removido quando a configuração das regras é alterada: O estado de uma ou mais regras foi alterado, por exemplo, de Ativado para Desativado. O conjunto de regras de atribuição foi alterado, por exemplo, de Equilibrado para Segurança. Um arquivo individual ou um cache de certificado é removido quando: O arquivo foi alterado no disco. O servidor TIE publica um evento de alteração de reputação. O objeto expira. Por padrão, os itens no cache são removidos entre 1 hora e 1 semana, dependendo do tipo. Às vezes, a hora de expiração de um item pode ser diferente do padrão. O cache está cheio. Os itens de cache acessados recentemente são mantidos; os itens mais antigos expiram e são removidos. A vida útil é definida no arquivo do Conteúdo do AMCore ou pelo provedor de reputação. O status de conexão em vigor quando o objeto foi adicionado ao cache. Se um objeto tiver sido adicionado quando o provedor de reputação não estava conectado ao servidor TIE ou McAfee GTI, a reputação será atualizada quando a conectividade for restaurada. Após a remoção do item do cache, a reputação será recalculada na próxima vez em que a Proteção adaptável contra ameaças receber um aviso sobre o arquivo, Como os arquivos de conteúdo funcionam Os arquivos de conteúdo do AMCore incluem atualizações para varrer mecanismos, assinaturas e as regras que a Proteção adaptável contra ameaças usa para calcular dinamicamente a reputação de arquivos e os processos em sistemas cliente. O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos de conteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre limpeza e correção de danos que o malware detectado pode causar. Novas ameaças aparecem, e o McAfee Labs libera arquivos de conteúdo atualizados, regularmente. Se a assinatura de uma ameaça não estiver nos arquivos de conteúdo instalados, o mecanismo de varredura não poderá detectar a ameaça, deixando o sistema vulnerável a ataques. O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versões anteriores na pasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\pasta de conteúdo. Se necessário, é possível voltar a uma versão anterior. Quando a Proteção adaptável contra ameaças determina se uma detecção é um falso positivo, o McAfee Labs libera um arquivo Extra.DAT negativo para suprimir a detecção. Pacote de conteúdo do AMCore O McAfee Labs libera pacotes de conteúdo do AMCore diariamente até as 19h. (GMT/UTC). Se justificado por uma nova ameaça, os arquivos de conteúdo do AMCore diários poderão ser liberados mais cedo e, às vezes, as liberações poderão ser atrasadas. 18 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

19 Visão geral do produto Visão geral dos recursos 1 Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (Support Notification Service). Consulte KB O pacote de conteúdo do AMCore inclui estes componentes da Proteção adaptável contra ameaças: Proteção adaptável contra ameaças Mecanismo de varredura e regras Contém regras para computar dinamicamente a reputação de arquivos e processos nos sistemas cliente. A McAfee libera novos arquivos de conteúdo da Proteção adaptável contra ameaças a cada dois meses. Real Protect Mecanismo e conteúdo Contém atualizações do mecanismo de varredura e das assinaturas do Real Protect baseadas nos resultados da pesquisa de ameaças contínua. O Real Protect é um componente do módulo Proteção adaptável contra ameaças opcional. Para garantir que o Endpoint Security use os arquivos de conteúdo e o mecanismo mais recentes, recupere esses arquivos da McAfee e atualize os sistemas diariamente. Se você gerencia clientes que executam a Proteção adaptável contra ameaças e o módulo Threat Intelligence Exchange do Endpoint Security ou a Prevenção contra ameaças do mesmo servidor McAfee epo, as regras exibidas na página Configurações do servidor dependem do conteúdo do check-in no Repositório mestre. Se tiver sido feito check-in do Pacote de conteúdo do AMCore, a Proteção adaptável contra ameaças exibirá as regras desse pacote de conteúdo. Caso contrário, a Proteção adaptável contra ameaças exibirá as regras do Conteúdo do módulo Threat Intelligence Exchange. Se nenhum dos dois estiver presente no Repositório mestre, a página Configurações do servidor da Proteção adaptável contra ameaças ficará em branco. Proteção adaptável contra ameaças exibe regras de apenas uma origem de conteúdo. Se uma atualização do Conteúdo do módulo Threat Intelligence Exchange incluir alterações nas regras, elas não aparecerão nas Configurações do servidor e não poderão ser editadas até que o Pacote de conteúdo do AMCore seja atualizado com essas alterações. Como lidar com novos falsos positivos com arquivos Extra.DAT na página 35 Como a varredura do Real Protect monitora a atividade O mecanismo de varredura do Real Protect inspeciona arquivos suspeitos e atividades em sistemas cliente para detectar padrões maliciosos usando técnicas de aprendizado de máquina. O mecanismo de varredura usa essas informações para detectar o malware de dia zero. A tecnologia do Real Protect não tem suporte em alguns sistemas operacionais Windows. Consulte KB82761 para obter mais informações. O mecanismo de varredura do Real Protect fornece duas opções para realizar análises automatizadas: No sistema cliente Na nuvem Prática recomendada: ative as opções cliente e nuvem do Real Protect, a menos que o suporte técnico aconselhe o contrário. Nenhuma informação de identificação pessoal (PII) é enviada para a nuvem. Varredura baseada em cliente O Real Protect baseado em cliente, que usa aprendizado de máquina no sistema cliente para determinar se o arquivo corresponde ao malware conhecido. Se o sistema cliente estiver conectado com a Internet, o Real Protect enviará informações de telemetria à nuvem, mas não usará a nuvem para análise. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 19

20 1 Visão geral do produto Visão geral dos recursos Os níveis de sensibilidade da varredura baseada em cliente, que se baseiam em matemáticas fórmulas, atribuem uma "tolerância" para as atividades suspeitas a fim de determinar se o arquivo corresponde a um malware conhecido. Quanto mais alto for o nível de sensibilidade, maior será o número de correspondências de malware. No entanto, permitir mais detecções pode resultar em mais falsos positivos. Nível de sensibilidade Baixo Médio Alto Uso recomendado Sistemas (por exemplo, servidores) que raramente se conectam à Internet ou somente a sites da Web confiáveis (menor risco de infecção), em que o impacto dos falsos positivos é alto. Sistemas que não atendem aos outros critérios. (Padrão) Sistemas com vários usuários e acesso à rede não filtrado (maior risco de infecção), em que o impacto dos falsos positivos é baixo. A varredura baseada em cliente requer conectividade com o McAfee GTI ou o servidor TIE, a menos que a varredura off-line esteja ativada. Prática recomendada: como a varredura offline pode resultar em aumento de falsos positivos, ative esta opção somente para sistemas sem conectividade com McAfee GTI ou o servidor TIE. Varredura baseada em nuvem O Real Protect coleta e envia atributos de arquivos e informações comportamentais para o sistema de aprendizado de máquina na nuvem para análise de malware. A varredura baseada em nuvem requer conectividade com o realprotect1.mcafee.com. Consulte KB Prática recomendada: desative o Real Protect baseado em nuvem nos sistemas que não estão conectados com a Internet. Como a reputação é determinada na página 13 Configurar a Proteção adaptável contra ameaças na página 33 Verificar status da conexão na página 46 Como funciona o Confinamento dinâmico de aplicativos A Proteção adaptável contra ameaças usa a reputação de um aplicativo para determinar se a execução dele com restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. O Confinamento dinâmico de aplicativos bloqueia ou registra em log ações inseguras do aplicativo, com base nas regras de contenção. Conforme os aplicativos disparam as regras de bloqueio de contenção, o Confinamento dinâmico de aplicativos usa essas informações para contribuir para a reputação geral dos aplicativos contidos. Outras tecnologias, como o McAfee Active Response, podem solicitar confinamento. Se várias tecnologias registradas no Confinamento dinâmico de aplicativos solicitarem o confinamento de um aplicativo, cada solicitação será cumulativa. O aplicativo permanecerá confinado até que todas as tecnologias o liberem. Se uma tecnologia que solicitou o confinamento for desativada ou removida, o Confinamento dinâmico de aplicativos liberará esses aplicativos. Fluxo de trabalho do Confinamento dinâmico de aplicativos 1 O processo começa a ser executado. 2 Se a reputação do aplicativo estiver no limite de reputação de confinamento ou abaixo dele, a Proteção adaptável contra ameaças notificará o Confinamento dinâmico de aplicativos de que o processo foi iniciado e solicitará confinamento. 20 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

21 Visão geral do produto Visão geral dos recursos 1 3 O Confinamento dinâmico de aplicativos confina o processo. Se estiver configurado, o Confinamento dinâmico de aplicativos atualiza o Log de eventos no Cliente do Endpoint Security e envia um evento ao McAfee epo para notificar quando: Um aplicativo é confinado. Um aplicativo confinado tenta violar as regras de confinamento. Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos de ameaça do McAfee epo. 4 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executado normalmente (e não confinado). Como a Proteção adaptável contra ameaças funciona na página 10 Confinamento dinâmico de aplicativos na página 49 Como a reputação é determinada na página 13 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 21

22 1 Visão geral do produto Uso da Proteção adaptável contra ameaças em seu ambiente Uso da Proteção adaptável contra ameaças em seu ambiente Defina as configurações e execute a Proteção adaptável contra ameaças no modo de observação para determinar com que frequência um arquivo será visto em seu ambiente. Ajuste as configurações ou reputações, conforme o necessário. 1 Defina as configurações da Proteção adaptável contra ameaças para determinar o que será bloqueado, permitido ou confinado. 2 Execute a Proteção adaptável contra ameaças no modo de observação para criar predomínio de arquivo e ver o que a Proteção adaptável contra ameaças detecta em seu ambiente. A Proteção adaptável contra ameaças gera eventos Bloquearia, Limparia e Confinaria para mostrar quais ações ela executaria. O predomínio de arquivo indica a frequência com que um arquivo é visto no ambiente. O modo de observação se aplica a todos os recursos da Proteção adaptável contra ameaças, incluindo Real Protect e Confinamento dinâmico de aplicativos. A ativação desse modo faz com que a Proteção adaptável contra ameaças gere eventos, mas sem impor ações. Seus sistemas podem ficar vulneráveis a ameaças. 3 Monitore e ajuste configurações, arquivo individual ou reputações de certificado para controlar o que é permitido no seu ambiente. Criação da prevelência de arquivo por meio do modo de observação Crie a prevalência de arquivo para determinar a frequência com a qual os arquivos são vistos em seu ambiente. Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação de arquivos e certificados ao banco de dados do servidor TIE. Essas informações também preenchem os gráficos e dashboards disponíveis no módulo em que são exibidas informações de reputação detalhadas sobre arquivos e certificados. Para começar, crie uma ou mais políticas de Proteção adaptável contra ameaças para serem executadas em alguns sistemas do seu ambiente. As políticas determinam: Quando um arquivo ou certificado com uma reputação específica tem permissão para ser executado em um sistema Quando um arquivo ou certificado é bloqueado Quando um aplicativo é confinado Quando o usuário é solicitado a fazer a autenticação de dois fatores Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada Ao criar a prevalência de arquivo, você pode ativar o modo de observação em sistemas cliente. As reputações de arquivo e certificado são adicionadas ao banco de dados e eventos Bloquearia, Limparia e Confinaria são gerados, mas nenhuma ação é executada. Você pode ver o que a Proteção adaptável contra ameaças bloqueia, permite ou confina se as configurações forem impostas. Configurar a Proteção adaptável contra ameaças na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

23 Visão geral do produto Uso da Proteção adaptável contra ameaças em seu ambiente 1 Monitoramento e ajustes Para ver arquivos e certificados bloqueados, permitidos ou confinados com base nas políticas, use as exibições de evento e os dashboards do McAfee epo. Você pode exibir informações detalhadas por terminal, arquivo, regra ou certificado e ver rapidamente o número de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando em um item ou ajustar as configurações de reputação de certificados ou arquivos específicos para que a ação apropriada seja realizada. Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souber que ele é um arquivo confiável, é possível excluí-lo da varredura ou alterar sua reputação para confiável. Em seguida, o aplicativo passa a ter permissão para ser executado em seu ambiente sem ser bloqueado nem solicitar uma ação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usados em seu ambiente. Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico. Você pode exibir detalhes sobre o arquivo ou o certificado, incluindo o nome da empresa, os valores dos hashes SHA-1 e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso de arquivos, você também pode acessar os dados do VirusTotal diretamente na página de detalhes de Reputações do TIE para ver informações adicionais (consulte Sobre o VirusTotal). Use a página Dashboard de geração de relatórios para ver vários tipos de informações de reputação de uma vez. Você pode exibir o número de arquivos novos vistos no seu ambiente na última semana, arquivos por reputação, arquivos cuja reputação foi alterada recentemente, sistemas que executaram novos arquivos recentemente e muito mais. Para exibir informações detalhadas de um item no dashboard, clique nele. Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quais sistemas executaram o arquivo e podem estar comprometidos. Importe reputações de certificado ou arquivo para o banco de dados para permitir ou bloquear arquivos ou certificados específicos de acordo com outras origens de reputação. Isso permite que você use as configurações importadas para certificados e arquivos específicos sem precisar defini-las individualmente no servidor. A coluna Reputação composta na página Reputações do TIE mostra a reputação mais predominante e seu provedor (servidor TIE 2.0 e posterior). A coluna Regra aplicada mais recente na página Reputações do TIE mostra e rastreia as informações de reputação com base na regra de detecção mais recente aplicada a cada arquivo no ponto de extremidade. É possível personalizar essa página selecionando Ações Escolher colunas. Verificação de ameaças em eventos recentes na página 37 Dashboards, monitores e Proteção adaptável contra ameaças na página 39 Consultas, respostas e Proteção adaptável contra ameaças na página 40 Eventos, respostas e Proteção adaptável contra ameaças na página 44 Envio de arquivos para análise detalhada Se a reputação de um arquivo for desconhecida, você poderá enviá-la ao Advanced Threat Defense para análise detalhada. Use as configurações do servidor TIE para especificar quais arquivos serão enviados. Advanced Threat Defense detecta malware não divulgado e combina defesas de emulação em tempo real, reputação e assinaturas antivírus.os arquivos podem ser enviados automaticamente da Proteção adaptável contra ameaças para o Advanced Threat Defense com base no nível de reputação e no tamanho do arquivo.as informações de reputação de arquivo enviadas peloadvanced Threat Defense são adicionadas ao banco de dados do servidor TIE. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 23

24 1 Visão geral do produto Adições do Proteção adaptável contra ameaças ao McAfee epo Informações de telemetria do McAfee GTI As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda e aprimore as informações de reputação. Consulte a tabela para obter detalhes sobre as informações fornecidas pelo McAfee GTI quanto a arquivos e certificados, somente arquivos ou somente certificados. Categoria Arquivo e certificado Somente arquivos Somente certificado Descrição Versões do módulo e servidor TIE Configurações de substituição da reputação feitas com o servidor TIE Informações de reputação externas, por exemplo, do Advanced Threat Defense Nome do arquivo, tipo, caminho, tamanho, produto, editor e predomínio Informações de SHA-1, SHA-256 e MD5 Versão do sistema operacional do computador da geração de relatórios Reputação máxima, mínima e média definida para o arquivo Se o módulo de geração de relatórios está no Modo de observação Se o arquivo teve permissão para ser executado, foi bloqueado, confinado ou limpo O produto que detectou o arquivo, por exemplo, o Advanced Threat Defense ou a Prevenção contra ameaças Informações de SHA-1 O nome do emissor do certificado e seu assunto As datas em que o certificado era válido e a data de expiração A McAfee não coleta informações de identificação pessoal e não compartilha informações fora da McAfee. Como a reputação é determinada na página 13 Adições do Proteção adaptável contra ameaças ao McAfee epo Este produto gerenciado amplia a sua capacidade de proteger a sua rede com esses recursos e aprimoramentos. Você deve ter as permissões adequadas para acessar a maioria das funções. McAfee epo Dashboards Eventos e respostas Propriedades do sistema gerenciado Conjuntos de permissões Adição Dashboards e monitores que você pode usar para vigiar seu ambiente. Eventos para os quais você pode configurar respostas automáticas. Grupos de eventos e tipos de eventos que você pode usar para personalizar respostas automáticas. As propriedades que você pode analisar na Árvores de sistemas ou usar para personalizar consultas. Categorias de permissão de Proteção adaptável contra ameaças do Endpoint Security e Consulta da Proteção adaptável contra ameaças do Endpoint Security, disponíveis em todos os conjuntos de permissão existentes. 24 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

25 Visão geral do produto Adições do Proteção adaptável contra ameaças ao McAfee epo 1 McAfee epo Políticas Consultas e relatórios Configurações do servidor Eventos da Proteção adaptável contra ameaças Adição Categorias de política de Confinamento de aplicativo dinâmico e Opções no grupo de produto da Proteção adaptável contra ameaças do Endpoint Security. Consultas padrão que você pode usar para executar relatórios. Grupos de propriedades personalizadas com base nas propriedades do sistema gerenciado que você pode usar para criar suas próprias consultas e relatórios. Proteção adaptável contra ameaçasconfigurações do servidor que você pode usar para personalizar as configurações do seu servidor de produto gerenciado. Eventos da Proteção adaptável contra ameaças em Relatório exibem eventos recentes e passados para sistemas (dispositivos), arquivos, regras e certificados. Para obter informações sobre estes recursos, consulte a documentação do McAfee epo. Eventos, respostas e Proteção adaptável contra ameaças na página 44 Uso de conjuntos de permissões na página 25 Políticas e Proteção adaptável contra ameaças na página 27 Dashboards, monitores e Proteção adaptável contra ameaças na página 39 Consultas, respostas e Proteção adaptável contra ameaças na página 40 Tarefas do servidor e Proteção adaptável contra ameaças na página 42 Uso de conjuntos de permissões Os conjuntos de permissões definem os direitos de funcionalidade do produto gerenciado no McAfee epo. A Proteção adaptável contra ameaças adiciona os grupos de permissões da Proteção adaptável contra ameaças e da Consulta da Proteção adaptável contra ameaças a cada conjunto de permissão. Os grupos de permissão definem os direitos de acesso aos recursos. O McAfee epo concede todas as permissões para todos os produtos e recursos aos administradores globais. Consequentemente, os administradores atribuem funções de usuários a conjuntos de permissões existentes ou criam novos conjuntos de permissões. Seu produto gerenciado adiciona esses controles de permissão para o McAfee epo. Conjuntos de permissões Revisor executivo Proteção adaptável contra ameaças do Endpoint Security e Consulta da Proteção adaptável contra ameaças do Endpoint Security Revisor global Proteção adaptável contra ameaças do Endpoint Security Revisor global Consulta da Proteção adaptável contra ameaças do Endpoint Security Administrador de grupos Proteção adaptável contra ameaças do Endpoint Security e Consulta da Proteção adaptável contra ameaças do Endpoint Security Revisor de grupos Proteção adaptável contra ameaças do Endpoint Security e Consulta da Proteção adaptável contra ameaças do Endpoint Security Permissões padrão Sem permissões Exibe recursos, executa consultas. Sem permissões Sem permissões Sem permissões Por padrão, este produto gerenciado é Sem permissões. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 25

26 1 Visão geral do produto Adições do Proteção adaptável contra ameaças ao McAfee epo As permissões devem ser concedidas para que os usuários acessem ou utilizem os recursos controlados com permissão. Tabela 1-1 Permissões obrigatórias por recurso Recurso Respostas automáticas Dashboards e monitores Políticas Consultas Tarefas do servidor Árvore de sistemas Permissões obrigatórias Respostas automáticas, Notificações de eventos e todas as permissões específicas de recursos, dependendo do recurso usado (como a Árvore de sistemas ou consultas). Dashboards, Consultas Política da Proteção adaptável contra ameaças Consultas e relatórios Tarefas do servidor Sistemas, acesso à Árvore de sistemas Log de eventos de ameaça Sistemas, acesso à Árvore de sistemas, Log de eventos de ameaça Para obter informações sobre o gerenciamento de conjuntos de permissões, consulte a documentação do McAfee epo. Eventos, respostas e Proteção adaptável contra ameaças na página 44 Políticas e Proteção adaptável contra ameaças na página 27 Dashboards, monitores e Proteção adaptável contra ameaças na página 39 Consultas, respostas e Proteção adaptável contra ameaças na página 40 Tarefas do servidor e Proteção adaptável contra ameaças na página 42 Configurações do servidor e Proteção adaptável contra ameaças As configurações do servidor fornecem opções para configurar e personalizar este produto gerenciado. Seu produto gerenciado acrescenta estas configurações do servidor ao servidor do McAfee epo. Configuração do servidor Proteção adaptável contra ameaças Descrição Exibe as regras e a ordem de execução delas para cada nível de segurança: Produtividade, Equilibrado e Segurança. É possível definir regras individuais para Habilitado, Desabilitado, ou Observar. 26 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

27 2 Configurar 2 a Prevenção adaptável contra ameaças Conteúdo Políticas e Proteção adaptável contra ameaças Confinamento dinâmico de aplicativos Configurar a Proteção adaptável contra ameaças Exclusão de processos da varredura da Proteção adaptável contra ameaças Políticas e Proteção adaptável contra ameaças As políticas permitem configurar, aplicar e fazer cumprir as definições para sistemas gerenciados em seu ambiente. Políticas são coleções de configurações que você cria, configura, aplica e impõe. A maioria das configurações de política correspondem a configurações que você define no Cliente do Endpoint Security. Outra configuração de política é a interface primária para a configuração do software. Seu produto gerenciado acrescenta essas categorias ao Catálogo de políticas. As definições disponíveis variam em cada categoria. Tabela 2-1 Categorias da Proteção adaptável contra ameaças Categoria Descrição Confinamento dinâmico de aplicativos Executa aplicativos com reputações específicas em um contêiner, bloqueando as ações com base nas regras de confinamento. Usa o servidor TIE, se estiver disponível, ou o McAfee GTI para obter a reputação do aplicativo. Opções Especifica opções para a Proteção adaptável contra ameaças, incluindo: Ativação e desativação da Proteção adaptável contra ameaças. Selecione o grupo de regras (Produtividade, Equilibrado ou Segurança), que contém as regras que a Proteção adaptável contra ameaças usa para calcular a reputação. Ativação e desativação da varredura baseada em cliente e baseada na nuvem do Real Protect. Configure os limites de reputação. Configuração de mensagens do usuário. Especificação de opções para envio de arquivos ao Advanced Threat Defense. Personalização de políticas Cada categoria de política inclui as políticas padrão. Você pode usar as políticas como estão, editar as políticas padrão My Default ou criar políticas. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 27

28 2 Configurar a Prevenção adaptável contra ameaças Confinamento dinâmico de aplicativos Tabela 2-2 Políticas padrão da Proteção adaptável contra ameaças Política McAfee Default Descrição Define a política padrão que entra em vigor caso nenhuma outra política seja aplicada. A política de Confinamento dinâmico de aplicativos McAfee Default define regras para Relatar somente. Os usuários não observam bloqueios ou avisos. Para enviar eventos Bloquearia do Confinamento dinâmico de aplicativos para o McAfee epo, nas configurações de Opções Em Comum, defina os Eventos de Proteção adaptável contra ameaças para registrar em log como Advertência, crítico e alerta. Você pode duplicar, mas não pode excluir nem alterar esta política. My Default McAfee Default Balanced McAfee Default Security Define configurações padrão para a categoria. Define uma política de Confinamento dinâmico de aplicativos com as regras Bloquear configuradas para fornecer nível básico de proteção enquanto minimiza falsos positivos para instaladores e aplicativos comuns, não assinados. Use essa política para sistemas de negócios típicos, em que novos programas e alterações são instalados raramente. Os usuários observam alguns bloqueios e avisos. Define uma política de Confinamento dinâmico de aplicativos com regras Bloquear para fornecer proteção agressiva. Essa política pode gerar falsos positivos com maior frequência em instaladores e aplicativos não assinados. As políticas do Confinamento dinâmico de aplicativos, McAfee Default Balanced e McAfee Default Security, especificam configurações de regras somente para o Confinamento dinâmico de aplicativos. Elas são diferentes e não afetam as políticas dos grupos de regras Produtividade, Equilibrado ou Segurança que a Proteção adaptável contra ameaças usa para calcular a reputação. Prática recomendada Avalie o impacto das regras do Confinamento dinâmico de aplicativos impondo a política McAfee Default. Para determinar se as regras devem ser configuradas para bloquear, monitorar os logs e os relatórios em eventos de "Violação permitida do Confinamento dinâmico de aplicativos" (ID do evento 37280). Depois, defina Reputações em nível empresarial ou exclusões do Confinamento dinâmico de aplicativos e imponha a política McAfee Default Balanced. Comparação de políticas Na versão 5.0 do McAfee epo e em versões posteriores, você pode comparar as políticas dentro da mesma categoria de políticas usando a Comparação de políticas. Para obter informações sobre políticas e o Catálogo de políticas, consulte a documentação do McAfee epo. Confinamento dinâmico de aplicativos na página 28 Configurar a Proteção adaptável contra ameaças na página 33 Confinamento dinâmico de aplicativos Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputações específicas sejam executados em um contêiner. Os aplicativos confinados não têm permissão para executar certas ações, conforme especificado pelas regras de confinamento. Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamento dinâmico de aplicativos execute o aplicativo em um contêiner. 28 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

29 Configurar a Prevenção adaptável contra ameaças Confinamento dinâmico de aplicativos 2 Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros, permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações que eles podem executar. Os usuários podem usar os aplicativos, mas eles poderão não funcionar conforme o esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Quando você determina que um aplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças do Endpoint Security ou o servidor TIE para permitir que ele seja executado normalmente. Para usar Confinamento dinâmico de aplicativos: 1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar o Confinamento dinâmico de aplicativos nas configurações de Opções. 2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações de Confinamento dinâmico de aplicativos. Permissão para que aplicativos confinados sejam executados normalmente na página 32 Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 29 Configurar regras de confinamento definidas pela McAfee na página 30 Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos na página 30 Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31 Exibir aplicativos confinados no McAfee epo na página 31 Ativar o limite do gatilho do Confinamento dinâmico de aplicativos Com o Confinamento dinâmico de aplicativos você pode especificar que os aplicativos com reputações específicas sejam executados em um contêiner, limitando as ações que eles podem executar. Ativa a imposição de ação do recurso e define o limite de reputação para conter os aplicativos. Tarefa 1 Selecione Menu Política Catálogo de políticas e selecione Proteção adaptável contra ameaças do Endpoint Security na lista Produto. 2 Na lista Categoria, selecione Opções. 3 Clique no nome de uma política editável. 4 Verifique se a Proteção adaptável contra ameaças está ativada. 5 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir. 6 Especifique o limite de reputação no qual confinar os aplicativos. Pode ser confiável Desconhecido (Padrão para o grupo de regras Segurança) Pode ser malicioso (Padrão para o grupo de regras Equilibrado) Provavelmente malicioso (Padrão para o grupo de regras Produtividade) Malicioso conhecido O limite de reputação do Confinamento dinâmico de aplicativos deve ser acima dos limites de bloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou acima. 7 Clique em Salvar. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 29

30 2 Configurar a Prevenção adaptável contra ameaças Confinamento dinâmico de aplicativos Configurar regras de confinamento definidas pela McAfee McAfee bloqueiam ou registram em log as ações que aplicativos confinados podem executar. Você pode alterar as configurações de bloqueio e relatório, mas não pode alterar nem excluir essas regras. Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticas recomendadas para quando definir uma regra para relatar ou bloquear, consulte KB Tarefa 1 Selecione Menu Política Catálogo de políticas e selecione Proteção adaptável contra ameaças do Endpoint Security na lista Produto. 2 Na lista Categoria, selecione Confinamento dinâmico de aplicativos. 3 Clique no nome de uma política editável. 4 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambas para a regra. Para marcar ou desmarcar todas as regras em Bloquear ou Relatar, clique em Bloquear tudo ou Relatar tudo. Para desativar a regra, desmarque Bloquear e Relatar. 5 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico de aplicativos. Os processos na lista de Exclusões são executados normalmente (e não confinados). 6 Clique em Salvar. Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31 Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos na página 30 Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos Ao ativar o Confinamento dinâmico de aplicativos em seu ambiente pela primeira vez, defina as regras como Relatar somente e avalie os efeitos antes de impor. Os usuários não observam bloqueios ou avisos. Tarefa 1 Nas configurações de Em Comum Em Comum, seção Log de eventos, selecione Aviso, crítico e alerta na lista suspensa Eventos da Proteção adaptável contra ameaças a serem registrados em log. Essa etapa é necessária para enviar eventos Bloquearia do Confinamento dinâmico de aplicativos ao McAfee epo. 2 Imponha a política McAfee Default do Confinamento dinâmico de aplicativos. Esta política define regras de Relatar somente e gera eventos de "Violação permitida do Confinamento dinâmico de aplicativos" (ID do evento 37280). 3 Monitore os logs e os relatórios e determine se definirá regras de bloqueio. 4 Após coletar eventos de Violação permitida do Confinamento dinâmico de aplicativos (ID de evento 37280), defina Reputações em nível empresarial ou exclusões do Confinamento dinâmico de aplicativos. 5 Imponha a política do Confinamento dinâmico de aplicativos McAfee Default Equilibrado. 30 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

31 Configurar a Prevenção adaptável contra ameaças Confinamento dinâmico de aplicativos 2 Dashboards, monitores e Proteção adaptável contra ameaças na página 39 Consultas, respostas e Proteção adaptável contra ameaças na página 40 Eventos, respostas e Proteção adaptável contra ameaças na página 44 Configurar regras de confinamento definidas pela McAfee na página 30 Exibir aplicativos confinados no McAfee epo O McAfee Agent envia a lista de aplicativos confinados para o McAfee epo nas propriedades do cliente. Use essa lista para excluir aplicativos do Confinamento dinâmico de aplicativos. Tarefa 1 Na Árvore de sistemas, selecione o sistema e clique em Ativar agentes. A chamada de ativação do agente coleta as propriedades do cliente, incluindo os aplicativos confinados, no cliente. Para obter informações sobre a página Ativar McAfee Agent, consulte a Ajuda do McAfee epo. 2 Na Árvore de sistemas, clique no nome do sistema. 3 Clique em Produtos e em Proteção adaptável contra ameaças do Endpoint Security. 4 Role para baixo até a seção Confinamento dinâmico de aplicativos para visualizar os aplicativos confinados no sistema cliente. 5 Verifique se a lista apresenta algum aplicativo confiável a ser excluído. Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31 Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis Se um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamento dinâmico de aplicativos. As exclusões criadas com o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente. Essas exclusões não são enviadas ao McAfee epo e não são exibidas na seção Exclusões das configurações do Confinamento dinâmico de aplicativos. Crie exclusões globais nas configurações do Confinamento dinâmico de aplicativos no McAfee epo. Tarefa 1 Identifique aplicativos confiáveis para excluir: exiba a lista de aplicativos confinados, enviada dos sistemas gerenciados para o McAfee epo. 2 Selecione Menu Política Catálogo de políticas e selecione Proteção adaptável contra ameaças do Endpoint Security na lista Produto. 3 Na lista Categoria, selecione Confinamento dinâmico de aplicativos. 4 Clique no nome de uma política editável. 5 Clique em Mostrar opções avançadas. 6 Na seção Exclusões, clique em Adicionar para adicionar processos a serem excluídos de todas as regras. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 31

32 2 Configurar a Prevenção adaptável contra ameaças Confinamento dinâmico de aplicativos 7 Na página Executável, configure as propriedades do executável. 8 Clique duas vezes em Salvar para salvar as configurações de política. Tarefas Obter o nome distinto do signatário do McAfee epo e usá-lo para excluir executáveis na página 32 Quando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados por um signatário de processo especificado, o nome distinto do signatário (SDN) é necessário. Exibir aplicativos confinados no McAfee epo na página 31 Obter o nome distinto do signatário do McAfee epo e usá-lo para excluir executáveis Quando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados por um signatário de processo especificado, o nome distinto do signatário (SDN) é necessário. Tarefa 1 SelecioneMenu Geração de relatório Log de eventos de ameaça. 2 Clique no evento do Endpoint Security para exibir os detalhes. 3 Em Endpoint Security, selecione Signatário do processo de origem e copie os detalhes. 4 Ao criar exclusões, copie e cole os detalhes do Signatário do processo de origem como uma única linha de texto para o campo Assinado por. Por exemplo, o formato exigido para SDN é: C = US, S = CALIFÓRNIA, L = MOUNTAIN VIEW, O = MOZILLA CORPORATION, OU = ENGENHARIA DE LIBERAÇÃO, CN = MOZILLA CORPORATION Permissão para que aplicativos confinados sejam executados normalmente Depois de determinar que um aplicativo confinado é seguro, você pode permitir que ele seja executado normalmente em seu ambiente. Adicione o aplicativo à lista global de Exclusões nas configurações de Confinamento dinâmico de aplicativos. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentemente de quantas tecnologias tenham solicitado o confinamento. Configure a Proteção adaptável contra ameaças para aumentar o limite de reputação e liberá-lo do confinamento. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outra tecnologia tenha solicitado o confinamento do aplicativo. Se o servidor TIE estiver disponível, altere a reputação do arquivo para um nível que permita sua execução, como Conhecido confiável. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outra tecnologia tenha solicitado o confinamento do aplicativo. Consulte o Guia do produto do McAfee Threat Intelligence Exchange. Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31 Exibir aplicativos confinados no McAfee epo na página 31 Configurar a Proteção adaptável contra ameaças na página 33 Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

33 Configurar a Prevenção adaptável contra ameaças Configurar a Proteção adaptável contra ameaças 2 Configurar a Proteção adaptável contra ameaças Proteção adaptável contra ameaças determinam quando um arquivo ou um certificado tem permissão de execução, se está confinado, limpo, bloqueado ou se os usuários são solicitados a executar ações. Tarefa 1 Selecione Menu Política Catálogo de políticas e selecione Proteção adaptável contra ameaças do Endpoint Security na lista Produto. 2 Na lista Categoria, selecione Opções. 3 Clique no nome de uma política editável. 4 Clique em Mostrar opções avançadas. 5 Configure as definições na página, depois clique em Salvar. Como as reputações de arquivo e de certificado controlam o acesso na página 13 Como a varredura do Real Protect monitora a atividade na página 19 Exclusão de processos da varredura da Proteção adaptável contra ameaças É possível excluir processos da varredura da Proteção adaptável contra ameaças adicionando-os às configurações da Prevenção contra ameaças e da Varredura ao acessar para os tipos de processo Padrão. Ou se o servidor do TIE estiver disponível, altere a reputação do arquivo para um nível que permita a sua execução como Confiável e conhecido. Prática recomendada: para obter informações sobre como solucionar problemas de aplicativos de terceiros bloqueados, consulte KB Para uma lista de executáveis varridos pela Proteção adaptável contra ameaças, verifique o log de depuração (AdvancedThreatProtection_Debug.log) da Proteção adaptável contra ameaças no sistema cliente. Tarefa 1 Selecione Menu Política Catálogo de políticas e, em seguida, selecione Prevenção contra ameaças do Endpoint Security na lista do Produto. 2 Na lista Categoria, selecione Varredura ao acessar. 3 Clique no nome de uma política editável. 4 Clique em Mostrar opções avançadas. 5 Selecione Definir configurações diferentes para processos de alto risco e baixo risco. 6 Na seção Tipos de processo, selecione a guia Padrão. Em seguida, na seção Exclusões, insira os processos a serem excluídos da varredura da Proteção adaptável contra ameaças. Configurar a Proteção adaptável contra ameaças na página 33 Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 33

34 2 Configurar a Prevenção adaptável contra ameaças Exclusão de processos da varredura da Proteção adaptável contra ameaças 34 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

35 3 Gerenciamento 3 da Proteção adaptável contra ameaças Como lidar com novos falsos positivos com arquivos Extra.DAT Quando a Proteção adaptável contra ameaças determina se uma detecção é um falso positivo, o McAfee Labs libera um arquivo Extra.DAT negativo para suprimir a detecção. Você pode fazer download dos arquivos Extra.DAT para ameaças específicas na página de Atualizações de segurança do McAfee Labs. Proteção adaptável contra ameaças oferece suporte ao uso de somente um arquivo Extra.DAT por vez. Em uma situação em que você precisa de um arquivo Extra.DAT negativo e um arquivo Extra.DAT positivo para a Prevenção contra ameaças, você pode solicitar um arquivo combinado do McAfee Labs. Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado, essa data de expiração é comparada com a data de compilação do conteúdo do AMCore instalado no sistema. Se a data de compilação do conteúdo do AMCore for mais recente que a data de expiração do arquivo Extra.DAT, o arquivo Extra.DAT será considerado expirado. Ele não poderá mais ser carregado nem usado pelo mecanismo. Na atualização seguinte, o Extra.DAT será removido do sistema. Se a próxima atualização do conteúdo do AMCore incluir informações no arquivo Extra.DAT, esse arquivo será removido. O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\arquivos de Programas\Arquivos Comuns \McAfee\Engine\content\avengine\extradat. Download e distribuição de um arquivo Extra.DAT em sistemas cliente usando o McAfee epo na página 35 Como os arquivos de conteúdo funcionam na página 18 Download e distribuição de um arquivo Extra.DAT em sistemas cliente usando o McAfee epo Faça download e instale o arquivo Extra.DAT e, em seguida, distribua-o em sistemas cliente usando uma tarefa do cliente de Atualização de produto. Um arquivo Extra.DAT suprime detecções que são consideradas falsos positivos. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 35

36 3 Gerenciamento da Proteção adaptável contra ameaças Como lidar com novos falsos positivos com arquivos Extra.DAT Tarefa 1 Faça o download do arquivo Extra.DAT. a Clique no link de download fornecido pelo McAfee Labs, especifique um local para salvar o arquivo Extra.DAT, depois clique em Salvar. b Se necessário, descompacte o arquivo EXTRA.ZIP. 2 Selecione Menu Software Repositório mestre. 3 Selecione Ações Fazer check-in de pacotes. 4 Selecione Extra DAT (.DAT), navegue até o local em que o arquivo foi baixado e clique em Abrir. 5 Confirme sua seleção e clique em Avançar. A página Repositório mestre exibe o novo pacote de conteúdo na coluna Nome. 6 Replique o arquivo Extra.DAT para sites de espelho, se for aplicável. Execute uma tarefa do cliente de Repositórios de espelhamento do McAfee Agent. Prática recomendada: ao terminar de utilizar o arquivo Extra.DAT, remova-o do Repositório mestre e execute uma tarefa de cliente de Repositórios de espelhamento para removê-lo dos repositórios distribuídos. A remoção do arquivo Extra.DAT impede que o download seja feito por clientes durante uma atualização. Por padrão, a detecção da nova ameaça no arquivo Extra.DAT é ignorada assim que a nova definição de detecção é adicionada aos arquivos de conteúdo diários. 7 Implemente o arquivo Extra.DAT nos sistemas cliente usando uma tarefa do cliente de Atualização de produto do McAfee Agent. 8 Envie uma chamada de ativação do agente para atualizar os sistemas cliente com o arquivo Extra.DAT. Como os arquivos de conteúdo funcionam na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

37 4 Monitorar 4 as atividades da Proteção adaptável contra ameaças com o McAfee epo Conteúdo Verificação de ameaças em eventos recentes Dashboards, monitores e Proteção adaptável contra ameaças Consultas, respostas e Proteção adaptável contra ameaças Tarefas do servidor e Proteção adaptável contra ameaças Eventos, respostas e Proteção adaptável contra ameaças Verificação de ameaças em eventos recentes Verifica eventos recentes para consultar informações sobre quaisquer ameaças identificadas em seus sistemas. Você pode exibir eventos impostos ou observados: Eventos de imposição: eventos que ocorrem como resultado de uma política de servidor imposta pela Proteção adaptável contra ameaças. Eventos de observação: eventos, como Bloquearia, que indicam qual seria a ação se a política fosse imposta. Permite exibir, avaliar e ajustar as definições de configuração e de políticas antes de sua imposição. É possível ver quais arquivos ou certificados estão causando eventos e alterar suas configurações de reputação para que deixem de gerar um evento. Você pode exibir eventos de ameaça de várias maneiras e fazer buscas detalhadas para obter mais informações: Últimos 30 dias: informações resumidas dos eventos dos últimos 30 dias. 10 principais: os 10 principais eventos por sistema, arquivo ou certificado. Certificado: o nome do certificado, o valor do hash SHA-1 e o número de certificados que foram limpos, restritos, bloqueados ou geraram aviso. Hash de arquivo O nome do arquivo, o valor do hash SHA-1 e o número de arquivos que foram limpos, restritos, bloqueados ou geraram aviso. Regra O nome da regra, eventos em que a regra foi aplicada e o número de regras que foram limpas, restritas, bloqueadas ou geraram aviso. Sistema: o nome do sistema, o total de eventos desse sistema e o número de eventos que foram limpos, contidos, bloqueados ou geraram aviso em um sistema em particular. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 37

38 4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Verificação de ameaças em eventos recentes Exemplos Você poderá ver detalhes sobre os arquivos ou os certificados específicos que estão gerando os avisos. Selecione arquivos ou certificados individuais na página Eventos e altere seus níveis de reputação para permiti-los ou bloqueá-los para que não gerem mais avisos. Se um arquivo específico gerar eventos, selecione-o na lista da página Eventos e veja quais sistemas tentaram executá-lo e qual ação foi realizada. Você poderá alterar a reputação do arquivo para que ele deixe de gerar eventos. Por exemplo, se o arquivo gerar um aviso e você desejar bloqueá-lo, altere sua reputação para ele seja bloqueado e não gere um evento. Criação da prevelência de arquivo por meio do modo de observação na página 22 Verifique os detalhes sobre os eventos de ameaça recentes na página 38 Responder a eventos na página 38 Verificação de atividade recente no Log de eventos na página 55 Verifique os detalhes sobre os eventos de ameaça recentes Exiba informações sobre certificados e arquivos vistos recentemente no seu ambiente e as ações realizadas em resposta a uma ameaça identificada. Tarefa 1 Selecione Menu Geração de relatórios Eventos da Proteção adaptável contra ameaças. A página Eventos da Proteção adaptável contra ameaças mostra várias exibições de eventos recentes. 2 Na lista suspensa Selecionar exibição de evento, selecione o tipo de evento a ser mostrado. Os Eventos de imposição mostram eventos de política impostos e as ações realizadas. Os Eventos de observação mostram os eventos de política observados, como Bloquearia, nos quais nenhuma ação foi realizada. 3 Selecione um gráfico para ver informações detalhadas. 4 Na lista suspensa Selecionar ponto de tabela dinâmica, selecione como exibir eventos: por sistema, regra, hash de arquivo e certificado. Depois, selecione um item específico na lista para ver mais detalhes. Responder a eventos na página 38 Responder a eventos Ajuste as reputações de arquivo e certificado para impedir ameaças e outros eventos. Use as informações na página Eventos da Proteção adaptável contra ameaças. Tarefa 1 Selecione Menu Geração de relatórios Eventos da Proteção adaptável contra ameaças. A página Eventos da Proteção adaptável contra ameaças mostra os itens que estão gerando eventos. 2 Na página Eventos, você poderá ver os itens que estão gerando eventos. Clique em um evento para ver detalhes. 3 Se você selecionar um arquivo ou certificado que esteja causando um bloqueio ou aviso com base em sua reputação, altere a configuração de sua reputação para interromper o evento. Use as opções do menu Ações para alterar sua reputação. Verifique os detalhes sobre os eventos de ameaça recentes na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

39 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Dashboards, monitores e Proteção adaptável contra ameaças 4 Dashboards, monitores e Proteção adaptável contra ameaças Vigie o status dos seus sistemas gerenciados e o aparecimento de ameaças no seu ambiente usando o seu dashboard personalizável. Dashboards são coleções de monitoramentos que rastreiam atividades no ambiente do McAfee epo. Dashboards padrão e monitores O módulo fornece dashboards e monitores padrão. Dependendo de suas permissões, você pode usá-los como estão, modificá-los para adicionar ou remover monitores ou criar dashboards personalizados usando o McAfee epo. A Proteção adaptável contra ameaças inclui os dashboards predefinidos a seguir. Dashboard Monitorar Descrição Endpoint Security: Eventos impostos da Proteção adaptável contra ameaças Endpoint Security: Eventos observados pela Proteção adaptável contra ameaças Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos por tipo de evento Eventos de ações que foram detectadas e impostas com base na política da Proteção adaptável contra ameaças. Eventos, como Bloquearia, para ações que seriam executadas se as ações da Proteção adaptável contra ameaças fossem impostas. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 39

40 4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Consultas, respostas e Proteção adaptável contra ameaças Dashboard Monitorar Descrição Endpoint Security: Eventos de detecção do Real Protect da Proteção adaptável contra ameaças Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect das últimas 24 horas Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos 7 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect do último trimestre Eventos para detecções de ameaças e ações executadas pelo mecanismo de varredura do Real Protect. Dashboards personalizados Dependendo das suas permissões, você pode criar dashboards personalizados e acrescentar monitores usando consultas do Endpoint Security padrão. Para obter informações sobre dashboards, consulte a documentação do McAfee epo. Criação da prevelência de arquivo por meio do modo de observação na página 22 Uso de conjuntos de permissões na página 25 Consultas, respostas e Proteção adaptável contra ameaças Use as consultas para recuperar informações detalhadas sobre o status dos seus sistemas gerenciados e sobre ameaças no seu ambiente. Você pode exportar, fazer download, combinar consultas em relatórios e usar as consultas como monitores de dashboard. Consultas são perguntas que você faz ao McAfee epo, que responde na forma de gráficos e tabelas. Relatórios permitem que você junte uma ou mais consultas em um único documento PDF, para acesso fora do McAfee epo. Informações semelhantes estão disponíveis ao acessar os logs de atividades do Cliente do Endpoint Security em sistemas individuais. Você pode exibir dados de consultas somente de recursos para os quais têm permissão. Por exemplo, se suas permissões concederem acesso a uma localização específica na Árvore de sistemas, suas consultas retornarão dados somente dessa localização. Consultas padrão O módulo adiciona consultas padrão a Grupos McAfee. Dependendo das suas permissões, você pode usá-las como estão, modificá-las ou criar consultas personalizadas com base em eventos e propriedades no banco de dados do McAfee epo. Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos por regra (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos por regra (10 principais) 40 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

41 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Consultas, respostas e Proteção adaptável contra ameaças 4 Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos por regra (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos por arquivo (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos por sistema (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos por regra (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados por regra (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos por tipo de evento Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos por regra (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação por arquivo (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação por sistema (10 principais) Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos 30 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos 7 dias Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect do último trimestre Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect das últimas 24 horas Consultas personalizadas O módulo adiciona propriedades padrão ao grupo de recursos do Endpoint Security. Você pode usar essas propriedades para criar consultas personalizadas. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 41

42 4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Tarefas do servidor e Proteção adaptável contra ameaças Grupo de recursos Endpoint Security Eventos Tipo de resultado Propriedade (Coluna) Propriedade (Coluna) Propriedades da Inteligência contra ameaças do Endpoint Security Eventos da Proteção adaptável contra ameaças Regras da Proteção adaptável contra ameaças Sistemas da plataforma do Endpoint Security Hotfix da ATP Versão de patch da ATP Status da conexão Aplicativos confinados É um sistema operacional compatível Status da licença Versão do DAT Versão Hotfix/Patch Equilibrar a segurança para Criador da empresa do certificado Hash do certificado Nome do certificado Hash de chave pública do certificado Versão do conteúdo Tipo de detecção Criador da empresa do arquivo Descrição Descrição longa Registro em log de depuração da Proteção adaptável contra ameaças ativado Data do conteúdo do Real Protect Versão do conteúdo do Real Protect Data do mecanismo do Real Protect Versão do mecanismo do Real Protect Assinaturas no Extra.DAT Versão do produto Hash de MD5 do arquivo Reputação de arquivos Hash de SHA1 do arquivo Tipo de objeto Nível de sensibilidade da varredura do Real Protect ID da regra Comentários do aviso para o usuário Nome da regra Nível de filtro de eventos da Proteção adaptável contra ameaças Para obter informações sobre consultas e relatórios, consulte a documentação do McAfee epo. Criação da prevelência de arquivo por meio do modo de observação na página 22 Uso de conjuntos de permissões na página 25 Tarefas do servidor e Proteção adaptável contra ameaças Automatize o gerenciamento ou manutenção do servidor usando as tarefas do servidor. Tarefas do servidor são tarefas de manutenção ou gerenciamento agendadas que você executa no servidor McAfee epo. As tarefas do servidor permitem que você agende e automatize tarefas repetitivas. Use tarefas do servidor para monitorar o servidor e o software. 42 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

43 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Tarefas do servidor e Proteção adaptável contra ameaças 4 Dependendo de suas permissões, você pode usar tarefas padrão do servidor como estão, editá-las ou criar novas tarefas do servidor usando o McAfee epo. Tarefas do servidor padrão A Proteção adaptável contra ameaças não fornece tarefas do servidor padrão. É possível usar tarefas padrão do servidor do McAfee epo para gerenciar a Prevenção contra ameaças. Tarefas personalizadas do servidor Para criar uma tarefa personalizada do servidor da Prevenção contra ameaças, execute o Construtor de tarefas do servidor e selecione na lista suspensa Ação. Tarefas do servidor Pull de repositório Executar consulta Limpar log de eventos de ameaça Exportar políticas Exportar consultas Acumular dados Descrição Recupera os pacotes do site de origem e os coloca no Repositório mestre. Selecione o Conteúdo AMCore como um tipo de pacote para recuperar automaticamente as atualizações de conteúdo. Executa consultas padrão em uma data e um agendamento específicos. Limpa logs de eventos de ameaça com base em uma consulta. Baixa um arquivo XML que contém a política associada. Cria um arquivo de saída de consulta, que pode ser salvo ou enviado por . Acumula dados do sistema ou dos eventos de vários servidores ao mesmo tempo. Selecione Eventos de ameaça acumulados do Endpoint Security como Tipo de dados. Para obter informações sobre tarefas de servidor, consulte a documentação do McAfee epo. Uso de conjuntos de permissões na página 25 Eventos, respostas e Proteção adaptável contra ameaças na página 44 Acumule dados de evento ou sistemas do Endpoint Security na página 43 Acumule dados de evento ou sistemas do Endpoint Security Compile dados de vários servidores ao mesmo tempo usando as tarefas de servidor do McAfee epo Acumular dados. Tarefa 1 Selecione Menu Automação Tarefas do servidor, e clique em Nova tarefa. 2 Na página Descrição, digite um nome e descrição para a tarefa, selecione se deseja ativá-la e clique em Avançar. 3 Clique em Ações e selecione Acumular dados. 4 Na lista suspensa Acumular dados de:, selecione uma opção: Todos os servidores registrados Servidores registrados selecionados selecione os servidores que deseja alterar e clique em OK. 5 Para acumular dados do sistema: a b Para Tipo de dados, selecione Sistemas gerenciados. Selecione o link Outros tipos: Configurar e os tipos de Endpoint Security que você deseja incluir. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 43

44 4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee epo Eventos, respostas e Proteção adaptável contra ameaças 6 Para acumular dados de evento: a Clique no botão + no final do cabeçalho da tabela para adicionar outro tipo de dados. Depois, selecione Eventos de ameaça. b Clique em Outros tipos: Configurar e selecione os tipos de Endpoint Security que você deseja incluir. 7 Agende a tarefa e clique em Avançar. 8 Revise as configurações e clique em Salvar. Eventos, respostas e Proteção adaptável contra ameaças na página 44 Eventos, respostas e Proteção adaptável contra ameaças Configure as Respostas automáticas para responder a eventos de ameaças. O Log de eventos de ameaça contém todos os eventos de ameaça que o McAfee epo recebe dos sistemas gerenciados. No McAfee epo, você pode definir quais eventos são encaminhados para o servidor do McAfee epo. Para exibir a lista completa de eventos no McAfee epo, selecionemenu Configuração Configurações do servidor, selecione Filtragem de Eventos e, em seguida, clique em Editar. Defina uma tarefa do servidor Limpar log de eventos de ameaça para limpar o Log de eventos de ameaça periodicamente. Para obter mais informações sobre as Respostas automáticas e sobre como trabalhar com o Log de eventos de ameaça, consulte a ajuda do McAfee epo. Criação da prevelência de arquivo por meio do modo de observação na página 22 Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças na página 55 Tarefas do servidor e Proteção adaptável contra ameaças na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

45 5 Usar 5 a Proteção adaptável contra ameaças em um sistema cliente Conteúdo Responder a uma solicitação de reputação de arquivo Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee Verificar status da conexão Responder a uma solicitação de reputação de arquivo Quando um arquivo com uma reputação específica tenta ser executado no sistema, a Proteção adaptável contra ameaças pode solicitar sua autorização para continuar. O aviso é exibido somente quando a Proteção adaptável contra ameaças está instalada e configurada para solicitar. Proteção adaptável contra ameaças depende do ícone da bandeja do sistema da McAfee para exibir avisos. Nos sistemas acessados somente por RDP, o ícone da bandeja de sistema não inicia e os avisos não são exibidos. Para solucionar esse problema, adicione o UpdaterUI.exe ao script de acesso. O administrador configura o limite de reputação que determina em qual momento a solicitação deve ser exibida. Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicitará autorização para todos os arquivos com reputação desconhecida ou inferior. Se você não selecionar uma opção, a Proteção adaptável contra ameaças realizará a ação padrão configurada pelo administrador. As ações de aviso, tempo limite e padrão dependem da configuração da Proteção adaptável contra ameaças. No Windows 8 e 10, use as notificações do sistema: mensagens exibidas em pop-up que notificam sobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área de trabalho. Tarefa 1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador. Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir ou bloquear o arquivo no sistema. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 45

46 5 Usar a Proteção adaptável contra ameaças em um sistema cliente Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee 2 Clique em Permitir ou Bloquear. Permitir Bloquear Permite o arquivo. Bloqueia o arquivo no sistema. Para instruir a Proteção adaptável contra ameaças a não solicitar o arquivo no futuro, selecione Lembrar-me desta decisão. A Proteção adaptável contra ameaças executará ações com base em sua escolha ou na ação padrão e fechará a janela de aviso. Como a Proteção adaptável contra ameaças funciona na página 10 Como a reputação é determinada na página 13 Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53 Como as reputações de arquivo e de certificado controlam o acesso na página 13 Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee Se configurado, os usuários podem reduzir problemas de desempenho ao desativar os mecanismos de varredura do Endpoint Security temporariamente no ícone da bandeja do sistema da McAfee. Os mecanismos de varredura são reativados na imposição de política seguinte, de acordo com as configurações da política. Esta opção pode não estar disponível, dependendo da definição das configurações. Tarefa 1 Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar os mecanismos de varredura do Endpoint Security no menu Configurações rápidas. 2 Para reativar os mecanismos de varredura, faça uma das opções a seguir: Aguarde até a próxima imposição de política. Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Monitor de status do McAfee Agent. Em Monitor do McAfee Agent, clique em Impor políticas. Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53 Verificar status da conexão Para determinar se a Proteção adaptável contra ameaças no sistema cliente obtém reputações de arquivos do servidor TIE ou do McAfee GTI, verifique a página Cliente do Endpoint Security do Cliente do Endpoint Security. Tarefa 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Sobre. 3 Clique em Proteção adaptável contra ameaças à esquerda. 46 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

47 Usar a Proteção adaptável contra ameaças em um sistema cliente Verificar status da conexão 5 O campo Status da conexão indica uma das seguintes opções para Proteção adaptável contra ameaças: Conectividade do Threat Intelligence Conectado ao servidor TIE para informações de reputação em nível empresarial. Conectividade do McAfee GTI somente Conectado ao McAfee GTI para informações de reputação em nível global. Desconectado Não conectado ao servidor TIE ou ao McAfee GTI. A Proteção adaptável contra ameaças determina a reputação do arquivo usando informações do sistema local. Como a Proteção adaptável contra ameaças funciona na página 10 Como a varredura do Real Protect monitora a atividade na página 19 Como a reputação é determinada na página 13 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 47

48 5 Usar a Proteção adaptável contra ameaças em um sistema cliente Verificar status da conexão 48 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

49 6 Gerenciar 6 a Proteção adaptável contra ameaças em um sistema cliente Conteúdo Carregar um arquivo Extra.DAT em um sistema de cliente Confinamento dinâmico de aplicativos Configurar a Proteção adaptável contra ameaças em um sistema cliente Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente Carregar um arquivo Extra.DAT em um sistema de cliente Faça download do arquivo Extra.DATA e use o Cliente do Endpoint Security para carregá-lo. Antes de iniciar Configure o modo de interface do Cliente do Endpoint Security como Acesso total ou entre como administrador. Tarefa 1 Abra o Cliente do Endpoint Security. 2 No menu Ação do, selecione Carregar Extra.DAT. 3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download, depois clique em Abrir. 4 Clique em Aplicar. As novas detecções do Extra.DAT são ativadas imediatamente. Como os arquivos de conteúdo funcionam na página 18 Confinamento dinâmico de aplicativos Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputações específicas sejam executados em um contêiner. Os aplicativos confinados não têm permissão para executar certas ações, conforme especificado pelas regras de confinamento. Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamento dinâmico de aplicativos execute o aplicativo em um contêiner. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 49

50 6 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente Confinamento dinâmico de aplicativos Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros, permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações que eles podem executar. Os usuários podem usar os aplicativos, mas eles poderão não funcionar conforme o esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Quando você determina que um aplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças do Endpoint Security ou o servidor TIE para permitir que ele seja executado normalmente. Para usar Confinamento dinâmico de aplicativos: 1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar o Confinamento dinâmico de aplicativos nas configurações de Opções. 2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações de Confinamento dinâmico de aplicativos. Ativar o limite do gatilho do Confinamento dinâmico de aplicativos em um sistema cliente Com o Confinamento dinâmico de aplicativos você pode especificar que os aplicativos com reputações específicas sejam executados em um contêiner, limitando as ações que eles podem executar. Ativa a imposição de ação do recurso e define o limite de reputação para conter os aplicativos. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Proteção adaptável contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e depois clique em Proteção adaptável contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Opções. 5 Verifique se a Proteção adaptável contra ameaças está ativada. 6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir. 7 Especifique o limite de reputação no qual confinar os aplicativos. Pode ser confiável Desconhecido (Padrão para o grupo de regras Segurança) Pode ser malicioso (Padrão para o grupo de regras Equilibrado) Provavelmente malicioso (Padrão para o grupo de regras Produtividade) Malicioso conhecido O limite de reputação do Confinamento dinâmico de aplicativos deve ser acima dos limites de bloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou acima. 8 Clique em Aplicar. 50 Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

51 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente Confinamento dinâmico de aplicativos 6 Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53 Configuração de regras de confinamento definidas pela McAfee em um sistema cliente McAfee bloqueiam ou registram em log as ações que aplicativos confinados podem executar. Você pode alterar as configurações de bloqueio e relatório, mas não pode alterar nem excluir essas regras. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticas recomendadas para quando definir uma regra para relatar ou bloquear, consulte KB Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Proteção adaptável contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e depois clique em Proteção adaptável contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Confinamento dinâmico de aplicativos. 5 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambas para a regra. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. 6 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico de aplicativos. Os processos na lista de Exclusões são executados normalmente (e não confinados). 7 Clique em Aplicar. Como a Proteção adaptável contra ameaças funciona na página 10 Como funciona o Confinamento dinâmico de aplicativos na página 20 Gerenciar aplicativos confinados em um sistema cliente Quando o Confinamento dinâmico de aplicativos contiver um aplicativo confiável, você poderá excluí-lo do confinamento usando o Cliente do Endpoint Security. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. A exclusão do aplicativo o libera, o remove de Aplicativos confinados e o adiciona a Exclusões, impedindo que ele seja confinado no futuro. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 51

52 6 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente Confinamento dinâmico de aplicativos Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Proteção adaptável contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e depois clique em Proteção adaptável contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Confinamento dinâmico de aplicativos. 5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir. 6 Na página Adicionar executável, configure as propriedades do executável e clique em Salvar. O aplicativo será exibido na lista Exclusões. Ele permanecerá na lista Aplicativos confinados até que você clique em Aplicar. Ao retornar à página Configurações, o aplicativo será exibido somente na lista Exclusões. 7 Clique em Aplicar. Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente na página 52 Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente Se um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamento dinâmico de aplicativos. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Proteção adaptável contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e depois clique em Proteção adaptável contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Confinamento dinâmico de aplicativos. 5 Na seção Exclusões, clique em Adicionar para adicionar processos a serem excluídos de todas as regras. 6 Na página Adicionar executável, configure as propriedades do executável. 7 Clique em Salvar e em Aplicar para salvar as configurações. Configuração de regras de confinamento definidas pela McAfee em um sistema cliente na página 51 Gerenciar aplicativos confinados em um sistema cliente na página 51 Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do

53 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente Configurar a Proteção adaptável contra ameaças em um sistema cliente 6 Obter o nome distinto do signatário para excluir executáveis em um sistema cliente Quando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados por um signatário de processo especificado, o nome distinto do signatário (SDN) é necessário. Tarefa 1 Clique com o botão direito do mouse em um executável e selecione Propriedades. 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. O SDN será exibido. Por exemplo, o Firefox possui este SDN: CN = Mozilla Corporation OU = Engenharia de liberação O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA Os campos SDN serão exibidos na ordem inversa do formato necessário. 5 Copie o conteúdo do campo Assunto para um local temporário. 6 Edite as informações para reverter a ordem dos elementos, remover quebras de linha e separar os elementos com vírgulas. Por exemplo, o formato exigido para SDN é: C = US, S = CALIFÓRNIA, L = MOUNTAIN VIEW, O = MOZILLA CORPORATION, OU = ENGENHARIA DE LIBERAÇÃO, CN = MOZILLA CORPORATION 7 Ao criar exclusões, copie e cole os detalhes do certificado como uma única linha de texto no campo Assinado por. Eventos, respostas e Proteção adaptável contra ameaças na página 44 Configurar a Proteção adaptável contra ameaças em um sistema cliente Proteção adaptável contra ameaças determinam quando um arquivo ou um certificado tem permissão de execução, se está confinado, limpo, bloqueado ou se os usuários são solicitados a executar ações. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. As alterações de políticas no McAfee epo podem sobrescrever as alterações na página Configurações. Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do 53

54 6 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Proteção adaptável contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e depois clique em Proteção adaptável contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Opções. 5 Defina as configurações e clique em Aplicar. Ativar o limite do gatilho do Confinamento dinâmico de aplicativos em um sistema cliente na página 50 Como a varredura do Real Protect monitora a atividade na página 19 Como as reputações de arquivo e de certificado controlam o acesso na página 13 Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente É possível excluir processos da varredura da Proteção adaptável contra ameaças adicionando-os às configurações da Prevenção contra ameaças e da Varredura ao acessar para os tipos de processo Padrão. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Prática recomendada: para obter informações sobre como solucionar problemas de aplicativos de terceiros bloqueados, consulte KB Para uma lista de executáveis varridos pela Proteção adaptável contra ameaças, verifique o log de depuração (AdvancedThreatProtection_Debug.log) da Proteção adaptável contra ameaças. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação, selecione Configurações e clique em Prevenção contra ameaças na página Configurações. 3 Clique em Mostrar opções avançadas. 4 Clique em Varredura ao acessar. 5 Selecione Definir configurações diferentes para processos de alto risco e baixo risco. 6 Na seção Tipos de processo, selecione a guia Padrão. Em seguida, na seção Exclusões, insira os processos a serem excluídos da varredura da Proteção adaptável contra ameaças. 7 Clique em Aplicar. Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente na página Guia de produto do McAfee Endpoint Security Proteção adaptável contra ameaças do