Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=threat-analysis-cases

Casos

Os casos substituem as investigações. As investigações permanecerão disponíveis por um tempo para permitir que você conclua as investigações ainda em andamento.

A página Casos agrupa eventos suspeitos relatados por nosso recurso Detecções e ajuda você ou a sua equipe MDR a realizar trabalhos forenses.

Sobre casos

Criamos os casos para você automaticamente. Eles se concentram nas detecções que recomendamos que você investigue.

  • Criamos um caso quando há uma detecção de alto risco, se ela ainda não tiver sido incluída em um caso no mesmo dia.
  • Adicionamos detecções posteriores ao caso se compartilharem o mesmo tipo de detecção.

Os casos podem ser baseados em detecções do Sophos XDR ou em detecções do Sophos MDR. Você pode fazer alterações nos casos XDR, mas os casos MDR são somente leitura.

Você também pode criar os seus próprios casos. Consulte Criar casos.

Ativar casos

Detecções e Casos se baseiam em dados no Sophos Data Lake.

Se você não está recebendo detecções ainda, certifique-se de que os uploads de dados de segurança para o Data Lake estejam ativados.

Os dados podem vir de vários produtos Sophos ou de produtos de terceiros.

Para obter dados dos produtos Sophos, consulte Uploads ao Data Lake. Para obter dados de produtos de terceiros, consulte Integrações.

Exibir casos

Para exibir os seus casos, siga este procedimento:

  1. Vá para Centro de Análise de Ameaças > Casos.

    Página Casos.

    Nota

    A primeira vez que você visualizar esta página, a lista pode estar vazia. Volte mais tarde para ver os casos criados automaticamente ou crie os seus próprios casos.

  2. Clique no ID do caso ao lado de um caso para ver seus detalhes.

    Link do ID do caso na lista de Casos.

Agora você vê a página Detalhes do caso. Para obter mais informações, consulte Exibir detalhes do caso.

Detalhes do caso.

Editar e atribuir casos

Você só pode editar e atribuir casos XDR. Nossa equipe MDR processa os casos MDR.

Você pode editar casos e atribuí-los a administradores para análise. Para isso, siga este procedimento:

  1. Vá para Centro de Análise de Ameaças > Casos para ver a lista de casos.
  2. Clique no ID do caso ao lado de um caso para ver seus detalhes.

  3. Na página Detalhes do caso, a guia Visão geral fica aberta por padrão. Siga este procedimento:

    1. Defina a Prioridade como Crítica, Alta, Média, Baixa ou Info.
    2. Se estiver pronto para começar, altere o Status de Novo para Investigando.
    3. Em Proprietário, selecione o administrador ao qual deseja atribuir o caso.
    4. Em Resumo, insira uma descrição do caso.

    Página de detalhes do caso.

Adicionaremos as detecções relacionadas ao caso à medida que elas ocorrerem.

Nota

Por padrão, enviamos um e-mail aos Super Admins sempre que há um novo caso. Consulte Notificações por e-mail.

Exibir detalhes do caso

Para ver todos os detalhes de um caso, clique no ID do caso ao lado dele.

O cabeçalho da página Detalhes do caso mostra a severidade, o status e o proprietário do caso. Ele também mostra quando o caso foi criado, atribuído e atualizado pela última vez.

A página também tem guias para outros detalhes.

Cabeçalho de detalhes do caso.

Guia Visão geral

A guia Visão geral é aberta por padrão e mostra um resumo do caso, detalhes da tática MITRE e a atividade recente.

Guia de Visão geral dos Detalhes do caso.

Resumo

Se você for um cliente XDR, digite a descrição do seu caso. Se você for um cliente MDR, a equipe MDR insere uma descrição para você.

Táticas MITRE

Táticas MITRE lista todas as táticas e técnicas MITRE ATT&CK que detectamos.

Clique na seta dobrada ao lado da tática para ver a técnica.

Clique no link ao lado de qualquer tática ou técnica, por exemplo, Acesso a credenciais, para ver seus detalhes no site da MITRE.

Detalhes de táticas MITRE.

Atividade recente

Atividade recente mostra alterações recentes ao caso. Clique em Ver tudo para ir para a guia Histórico.

Guia Detecções

A guia Detecções lista todas as detecções incluídas no caso. Ela mostra os mesmos detalhes da lista na página de Detecções. Consulte Detecções.

Guia Detecções.

Guia Anotações

Use a guia Anotações para manter um registro de suas investigações.

Guia Histórico

A guia Histórico mostra o histórico de toda a atividade nesse caso. Por exemplo, detecções adicionadas ou alterações no status, proprietário e assim por diante.

Investigar casos

Nos Detalhes do caso, use a guia Anotações para registrar sua investigação sobre o caso. Sugerimos que você siga estes passos:

  • Decida se você precisa investigar ou encerrar a investigação.
  • Verifique as conexões externas e internas usadas no evento.
  • Verifique quais dispositivos e usuários foram afetados.
  • Descubra as táticas e as técnicas de ataque usadas. Você pode vê-las nos detalhes da detecção.
  • Use as opções dinâmicas nas detecções para executar consultas nos dados ou visite os sites de terceiros de análise de ameaças. Consulte Usar consultas dinâmicas, enriquecimentos e ações.

Fechar ou remover casos

Para fechar um caso, altere o status para Fechado. O caso permanece na lista por 30 dias e depois o excluímos.

Para remover um caso da lista, selecione-o e clique em Remover casos.

Lista de casos com casos selecionados para remoção.