Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=PUA-alert-resolve

Resolver alertas de PUA

Isso é o que você pode fazer para resolver alertas de PUA.

Usamos alertas para informar quando você precisa agir ou se precisar investigar uma detecção de aplicativo potencialmente indesejado (PUA). Também dizemos se tentamos eliminar o PUA. Mostramos isso na página de detalhes do dispositivo. Consulte Dispositivos.

Também podemos gerar um gráfico de ameaça. Isso fornece mais informações sobre o PUA detectado. Consulte Gráficos de ameaças.

Verificar se o PUA é um falso positivo

Às vezes, a detecção de malware pode estar incorreta. Por exemplo, a detecção Deep Learning (nome da detecção: ML/PE-A) usa o machine learning para identificar malware nunca antes visto. Embora seja altamente eficaz, às vezes pode identificar aplicativos legítimos como malware.

Se a detecção estiver incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Se a detecção estiver correta, você deve eliminar o aplicativo.

Se você não tiver certeza de que o aplicativo é mal-intencionado ou um PUA, deverá investigar o alerta. Em seguida, você pode autorizar ou eliminar o aplicativo conforme apropriado.

Investigar um alerta

O alerta pode não fornecer todas as informações necessárias sobre um PUA detectado. Revise todas as informações que puder sobre um PUA detectado se não tiver certeza se ele é mal-intencionado ou indesejado.

Para isso, siga este procedimento:

  1. Verifique se há um gráfico de ameaça. No Sophos Central, vá para Centro de Análise de Ameaças > Gráfico de ameaça.

  2. Procure um gráfico de ameaça associado ao PUA detectado.

    Se houver um gráfico de ameaça, ele mostrará os detalhes do PUA detectado. Ele mostra qualquer atividade que tenha sido executada e se há outros arquivos ou processos suspeitos a serem investigados.

    1. Se não houver um gráfico de ameaça, crie um.

      Restrição

      Você não pode criar um gráfico de ameaças em Macs.

  3. Opcional: Se apropriado, entre em contato com o usuário para descobrir o que aconteceu no momento em que a infecção ocorreu. Por exemplo, o usuário clicou em um link em um e-mail ou conectou uma unidade USB?

  4. Investigue o gráfico de ameaça e siga as etapas sugeridas para lidar com o problema.

    Para obter ajuda sobre como investigar ameaças usando gráficos de ameaça, consulte Análise do gráfico de ameaça.

  5. Após concluir a investigação, escolha uma das seguintes opções:

    • Se achar que a detecção está incorreta, dê permissão ao aplicativo ou adicione uma exclusão. Consulte Lidar com um falso positivo.
    • Se você acha que a detecção está correta, elimine o aplicativo. Consulte Eliminar um PUA.

  6. Resolva o alerta. Consulte Resolver um alerta.

Lidar com um falso positivo

Se achar que a detecção está incorreta, você pode permitir o aplicativo ou adicionar uma exclusão.

Alerta

Tenha cuidado ao permitir aplicativos ou adicionar uma exclusão. Isso pode reduzir sua proteção.

Por exemplo, se você excluir um diretório e o malware também for executado desse local, o malware não será bloqueado.

Para lidar com um falso positivo, faça o seguinte:

Para obter detalhes, consulte as seguintes seções:

Permitir um aplicativo

Restrição

Você pode usar este recurso em dispositivos Windows e Linux, mas não em Macs.

Se quiser permitir um aplicativo, faça o seguinte:

  1. Vá para Dispositivos > Computadores ou Servidores, de acordo com o local onde o aplicativo foi detectado.
  2. Localize o dispositivo onde ocorreu a detecção e veja seus detalhes.
  3. Na guia Eventos, localize o evento de detecção e clique em Detalhes.
  4. Na caixa de diálogo Detalhes do evento, procure em Permitir este aplicativo.

  5. Escolha como deseja permitir o aplicativo.

    • Certificado (somente Windows): Permite outros aplicativos com o mesmo certificado. Nossa recomendação.
    • SHA-256 (Windows, Linux): Permite esta versão do aplicativo. No entanto, se você atualizar o aplicativo, poderemos detectá-lo novamente.
    • Caminho (Windows): Permite que o aplicativo seja instalado nesse local. Você pode usar variáveis se o aplicativo estiver instalado em locais diferentes em diferentes computadores.

    • Caminho (Linux): Permite o aplicativo enquanto ele permanecer instalado no mesmo caminho (local) mostrado. Você pode editar o caminho e usar variáveis se o aplicativo estiver instalado em diferentes locais em diferentes computadores. Você deve usar barras.

      Nota

      Você também pode usar as seguintes opções para excluir um caminho de arquivo da varredura no Linux:

  6. Clique em Permitir.

Para obter mais informações sobre a permissão de aplicativos, consulte Aplicativos permitidos.

Adicionar uma exclusão

Se você quiser adicionar uma exclusão, recomendamos que use exclusões baseadas em políticas. Você pode direcionar suas exclusões e torná-las o mais específicas possível.

Para adicionar uma exclusão, siga este procedimento:

  1. Para endpoints, vá para Meus produtos > Endpoint > Políticas e configure uma exclusão.

    Consulte Política de proteção contra ameaças.

  2. Para servidores, vá para Meus produtos > Server > Políticas e configure uma exclusão.

    Consulte Política de proteção contra ameaças ao servidor.

Autorizar um PUA

Para endpoints, você pode autorizar um aplicativo na página Alertas.

Para autorizar um aplicativo, faça o seguinte:

  1. Vá para Alertas.
  2. Encontre o alerta do PUA.

  3. Clique em Autorizar PUA.

    Alerta

    • Isso autoriza a execução do PUA em todos os computadores.
    • Para Windows e Linux, recomendamos que você permita o aplicativo com base em seu certificado ou SHA-256.

Eliminar um PUA

Se você acha que a detecção está correta, é possível eliminar o aplicativo. Uma boa ideia seria investigar o PUA primeiro. Isso ajuda a obter mais informações sobre processos associados e outros arquivos suspeitos.

Para eliminar um PUA, faça o seguinte:

  1. Acesse o computador.
  2. Delete o aplicativo, processos associados e chaves de registro.

Resolver um alerta

Depois que você tiver autorizado ou removido o aplicativo, poderá resolver o alerta.

Para resolver um alerta, faça o seguinte:

  1. Vá para Alertas.
  2. Vá para o alerta.
  3. Clique em Marcar como resolvido.