guia de produto do mcafee endpoint security 10.6.0 ... · o endpoint security permite a...

Guia de produto do McAfee Endpoint Security10.6.0 - Proteção adaptável contra ameaçasdo(McAfee ePolicy Orchestrator)

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de produto do McAfee Endpoint Security 10.6.0 - Proteção adaptável contra ameaças do

Conteúdo

1 Visão geral do produto 5Visão geral do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Como funciona o Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Visão geral da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . . . 8Recursos principais da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . 9Como a Proteção adaptável contra ameaças funciona . . . . . . . . . . . . . . . . . . . . . 10Visão geral dos recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Como as reputações de arquivo e de certificado controlam o acesso . . . . . . . . . . . . 13Como a reputação é determinada . . . . . . . . . . . . . . . . . . . . . . . . . 13Como os arquivos de conteúdo funcionam . . . . . . . . . . . . . . . . . . . . . . 18Como a varredura do Real Protect monitora a atividade . . . . . . . . . . . . . . . . . 19Como funciona o Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . 20

Uso da Proteção adaptável contra ameaças em seu ambiente . . . . . . . . . . . . . . . . . . 22Criação da prevelência de arquivo por meio do modo de observação . . . . . . . . . . . . 22Monitoramento e ajustes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Envio de arquivos para análise detalhada . . . . . . . . . . . . . . . . . . . . . . 23

Adições do Proteção adaptável contra ameaças ao McAfee ePO . . . . . . . . . . . . . . . . . 24Uso de conjuntos de permissões . . . . . . . . . . . . . . . . . . . . . . . . . . 25Configurações do servidor e Proteção adaptável contra ameaças . . . . . . . . . . . . . . 26

2 Configurar a Prevenção adaptável contra ameaças 27Políticas e Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . . . . 27Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Ativar o limite do gatilho do Confinamento dinâmico de aplicativos . . . . . . . . . . . . . 29Configurar regras de confinamento definidas pela McAfee . . . . . . . . . . . . . . . . 30Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos . . . . . . . . . . . 30Exibir aplicativos confinados no McAfee ePO . . . . . . . . . . . . . . . . . . . . . 31Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis . . . . . . . 31Permissão para que aplicativos confinados sejam executados normalmente . . . . . . . . . 32

Configurar a Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . . . . 33Exclusão de processos da varredura da Proteção adaptável contra ameaças . . . . . . . . . . . . . 33

3 Gerenciamento da Proteção adaptável contra ameaças 35Como lidar com novos falsos positivos com arquivos Extra.DAT . . . . . . . . . . . . . . . . . 35

Download e distribuição de um arquivo Extra.DAT em sistemas cliente usando o McAfee ePO . . . 35

4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePO 37Verificação de ameaças em eventos recentes . . . . . . . . . . . . . . . . . . . . . . . . 37

Verifique os detalhes sobre os eventos de ameaça recentes . . . . . . . . . . . . . . . . 38Responder a eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Dashboards, monitores e Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . 39Consultas, respostas e Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . 40Tarefas do servidor e Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . 42

Acumule dados de evento ou sistemas do Endpoint Security . . . . . . . . . . . . . . . 43Eventos, respostas e Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . 44

Guia de produto do McAfee Endpoint Security 10.6.0 - Proteção adaptável contra ameaças do 3

5 Usar a Proteção adaptável contra ameaças em um sistema cliente 45Responder a uma solicitação de reputação de arquivo . . . . . . . . . . . . . . . . . . . . . 45Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee . . . . . . 46Verificar status da conexão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

6 Gerenciar a Proteção adaptável contra ameaças em um sistema cliente 49Carregar um arquivo Extra.DAT em um sistema de cliente . . . . . . . . . . . . . . . . . . . 49Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Ativar o limite do gatilho do Confinamento dinâmico de aplicativos em um sistema cliente . . . . 50Configuração de regras de confinamento definidas pela McAfee em um sistema cliente . . . . . 51Gerenciar aplicativos confinados em um sistema cliente . . . . . . . . . . . . . . . . . 51Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistemacliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Configurar a Proteção adaptável contra ameaças em um sistema cliente . . . . . . . . . . . . . . 53Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente . . . . 54

7 Monitorar as atividades da Proteção adaptável contra ameaças em um sistema cliente 55Verificação de atividade recente no Log de eventos . . . . . . . . . . . . . . . . . . . . . . 55Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças . . . . . . . . . . . 55

Conteúdo


1 Visão geral do produto

Conteúdo Visão geral do Endpoint Security Como funciona o Endpoint Security Visão geral da Proteção adaptável contra ameaças Recursos principais da Proteção adaptável contra ameaças Como a Proteção adaptável contra ameaças funciona Visão geral dos recursos Uso da Proteção adaptável contra ameaças em seu ambiente Adições do Proteção adaptável contra ameaças ao McAfee ePO

Visão geral do Endpoint SecurityO McAfee

®

Endpoint Security é uma solução de segurança extensível e integrada que protege servidores,sistemas de computadores, laptops e tablets contra ameaças conhecidas e desconhecidas. Essas ameaçasincluem malware, comunicações suspeitas, sites não confiáveis e arquivos baixados.

O Endpoint Security permite a comunicação em tempo real de diversas tecnologias de defesa para fazeranálises e proteger contra ameaças.

O Endpoint Security consiste nestes módulos de segurança:

• Prevenção contra ameaças — Impede que ameaças acessem sistemas, varre arquivos automaticamentequando eles são acessados e realiza varreduras direcionadas para verificar se há malware em sistemascliente.

• Firewall — Monitora a comunicação entre o computador e os recursos da rede e da Internet. Interceptacomunicações suspeitas.

• Controle da Web — Monitora as buscas na Web e atividades de navegação nos sistemas cliente e bloqueiasites e downloads com base na classificação de segurança e conteúdo.

• Proteção adaptável contra ameaças — Analisa conteúdo da sua empresa e decide como responder combase na reputação do arquivo, regras e limites de reputação. A Proteção adaptável contra ameaças é ummódulo opcional do Endpoint Security.

O módulo Em Comum fornece configurações para recursos comuns, como registro e segurança da interface.Esse módulo será instalado automaticamente se qualquer outro módulo for instalado.

Todos os módulos são integrados em uma única interface do Endpoint Security no sistema cliente. Cadamódulo trabalha em conjunto e de forma independente para fornecer várias camadas de segurança.

Consulte também Como funciona o Endpoint Security na página 6Visão geral da Proteção adaptável contra ameaças na página 8

1


Como funciona o Endpoint SecurityO Endpoint Security intercepta ameaças, monitora a integridade geral do sistema e fornece relatórios cominformações sobre detecção e status. O software cliente é instalado em cada sistema para executar as tarefas aseguir.

Tipicamente, você instala um ou mais módulos do Endpoint Security em sistemas cliente, gerencia detecções edefine as configurações que determinam como os recursos de produto funcionam.

McAfee ePO

Você usa o McAfee®

ePolicy Orchestrator®

(McAfee®

ePO™

) para distribuir e gerenciar os módulos do EndpointSecurity em sistemas cliente. Cada módulo inclui uma extensão e um pacote de software que são instalados noservidor McAfee ePO. O McAfee ePO distribui o software em sistemas cliente.

Usando o McAfee®

Agent, o software cliente comunica-se com o McAfee ePO para realizar imposição econfiguração de política, atualizações de produto e geração de relatórios.

Módulos de cliente

O software cliente protege os sistemas com atualizações regulares, monitoramento contínuo e relatóriodetalhado.

Ele envia dados sobre as detecções em seus computadores para o servidor McAfee ePO. Esses dados sãousados para gerar relatórios para o administrador sobre detecções e questões de segurança em seuscomputadores.

Servidor TIE e Data Exchange Layer

A estrutura do Endpoint Security integra-se com o McAfee®

Threat Intelligence Exchange (TIE) e o McAfee®

DataExchange Layer (DXL) ao usar a Proteção adaptável contra ameaças. Esses produtos opcionais permitem quevocê controle a reputação de arquivo localmente e compartilhe as informações imediatamente em todo o seuambiente.

Se o servidor TIE não estiver disponível, a Proteção adaptável contra ameaças consulta o McAfee®

Global ThreatIntelligence

™

(McAfee GTI) para obter informações de reputação.

McAfee GTI

A Prevenção contra ameaças, o Firewall, o Controle da Web e a Proteção adaptável contra ameaças consultam oMcAfee GTI para obter informações de reputação a fim de determinar como lidar com arquivos no sistemacliente.

1 Visão geral do produtoComo funciona o Endpoint Security


McAfee Labs

O software cliente se comunica com o McAfee Labs para atualizações de mecanismo e do arquivo de conteúdo.O McAfee Labs lança regularmente pacotes de conteúdo atualizados.

Figura 1-1 Como funciona

Como a proteção se mantém atualizada

As atualizações regulares do Endpoint Security protegem seus computadores das mais recentes ameaças.

Para realizar atualizações, o software cliente conecta-se a um servidor McAfee ePO local ou remoto, oudiretamente a um site da Internet. O Endpoint Security verifica:

• Atualizações dos arquivos de conteúdos que detectam ameaças. Os arquivos de conteúdo contêmdefinições de ameaças como vírus e spyware, e essas definições são atualizadas à medida que novasameaças são descobertas.

• Atualizações de componentes de software como patches e hotfixes.

Consulte também Visão geral da Proteção adaptável contra ameaças na página 8

Visão geral do produtoComo funciona o Endpoint Security 1


Visão geral da Proteção adaptável contra ameaçasProteção adaptável contra ameaças (ATP) do McAfee

®

Endpoint Security é um módulo opcional do EndpointSecurity que analisa o conteúdo da empresa e decide o que deve ser feito com base na reputação do arquivo,nas regras e nos limites de reputação.

A Proteção adaptável contra ameaças fornece estes benefícios:

• Detecção rápida e proteção contra ameaças de segurança e malware.

• Capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça se espalhoupelo ambiente.

• A capacidade de imediatamente confinar, bloquear ou limpar certificados e arquivos específicos com baseem suas reputações de ameaça e seus critérios de risco.

• Integração com a varredura do Real Protect para realizar análises de reputação automáticas na nuvem e nossistemas clientes.

• Integração em tempo real com o McAfee® Advanced Threat Defense e o McAfee GTI para fornecer dados eavaliações detalhadas sobre a classificação do malware. Essa integração permite que você responda aameaças e compartilhe as informações em todo o seu ambiente.

Para obter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor McAfee®

Threat Intelligence Exchange (TIE). Para obter informações, entre em contato com seu revendedor ourepresentante de vendas.

Componentes opcionais

A Proteção adaptável contra ameaças também pode se integrar com estes componentes opcionais:

• Servidor TIE— Um servidor que armazena informações sobre reputações de arquivos e certificados edepois as transmite para outros sistemas.

• Data Exchange Layer — Clientes e agentes que permitem a comunicação bidirecional entre o móduloProteção adaptável contra ameaças do sistema gerenciado e o servidor TIE.

O Data Exchange Layer é opcional, mas é necessário para comunicação com o servidor TIE.

Esses componentes incluem extensões do McAfee ePO e adicionam vários relatórios e recursos.

Consulte também Visão geral do Endpoint Security na página 5

1 Visão geral do produtoVisão geral da Proteção adaptável contra ameaças


Recursos principais da Proteção adaptável contra ameaçasOs recursos principais da Proteção adaptável contra ameaças protegem sua empresa de arquivos comreputações desconhecidas, detectam padrões maliciosos e corrigem falsos positivos.

Proteger

Para proteger sua empresa, bloqueie ou confine arquivos com reputação desconhecida usando estes recursosda Proteção adaptável contra ameaças:

• Identificação de arquivos com base na reputação — A Proteção adaptável contra ameaças alerta quandoum arquivo desconhecido acessa o ambiente.

Em vez de enviar as informações do arquivo para a McAfee analisar, a Proteção adaptável contra ameaçaspode bloquear o arquivo imediatamente.

• Integração com o servidor TIE — Se disponível, o servidor TIE fornece informações sobre como váriossistemas executam o arquivo. Advanced Threat Defense ajuda a determinar se o arquivo representa umaameaça.

• Confinamento dinâmico de aplicativos — Permite que arquivos desconhecidos sejam executados em umcontêiner, limitando as ações que podem ser realizadas.

Quando a empresa usa um arquivo com reputação desconhecida pela primeira vez, a Proteção adaptávelcontra ameaças pode executá-lo em um contêiner. As regras de confinamento definem quais ações oaplicativo confinado não pode realizar. O Confinamento dinâmico de aplicativos também confina processosquando eles carregam arquivos PE (executáveis portáteis) e DLLs (bibliotecas de vínculo dinâmico), quefazem o downgrade da reputação do processo.

Detectar

Detecta padrões maliciosos e malware na memória usando estes recursos da Proteção adaptável contraameaças:

• Varredura do Real Protect — Realiza análises de reputação automatizadas.

O Real Protect inspeciona arquivos e atividades suspeitos no sistema cliente e detectar padrões maliciososusando técnicas de aprendizado de máquina. As varreduras baseadas em cliente e em nuvem do RealProtect incluem varredura de DLL para impedir que processos confiáveis carreguem arquivos PE e DLL nãoconfiáveis.

Corrigir

Limpe arquivos e elimine falsos positivos usando estes recursos da Proteção adaptável contra ameaças:

• Limpeza de arquivos — A Proteção adaptável contra ameaças pode limpar arquivos quando a reputaçãodo arquivo atinge um limite especificado.

• Exclusões de arquivos personalizados — Se um arquivo personalizado por confiável, mas tiver reputaçãopadrão de malicioso, ele será bloqueado. Você pode excluí-lo da varredura ou alterar a reputação doarquivo para confiável e permitir que ele seja executado na organização sem solicitar à McAfee um arquivoDAT atualizado.

• Dashboards e relatórios do McAfee ePO — Mostram atividades e detecções, que podem ser usados paraajustar as configurações da Proteção adaptável contra ameaças.

Visão geral do produtoRecursos principais da Proteção adaptável contra ameaças 1


Como a Proteção adaptável contra ameaças funcionaA Proteção adaptável contra ameaças usa o cache de reputação local, o servidor TIE e o McAfee GTI para obterinformações de reputação a fim de determinar como lidar com arquivos no sistema cliente.

1 O administrador define as configurações da Proteção adaptável contra ameaças no McAfee ePO e a impõeao sistema cliente.

2 Um usuário abre um arquivo no sistema cliente.

A Proteção adaptável contra ameaças verifica o cache de reputação local do arquivo.

3 Se o arquivo não estiver no cache de reputação local: a Proteção adaptável contra ameaças consulta oservidor TIE, se disponível, em relação à reputação.

4 Se o servidor TIE não estiver disponível ou o arquivo não estiver no banco de dados do servidor TIE, aProteção adaptável contra ameaças consulta a reputação no McAfee GTI.

5 Dependendo da reputação do arquivo e das configurações da Proteção adaptável contra ameaças:

• O arquivo tem permissão para ser aberto. • O arquivo tem permissão para ser executadoem um contêiner.

• O arquivo é bloqueado. • O usuário é solicitado a executar a ação.

6 O McAfee GTI retorna as informações de reputação de arquivo mais recentes ao servidor TIE.

7 O servidor TIE atualiza o banco de dados e envia as informações de reputação atualizadas para todos ossistemas compatíveis com a Proteção adaptável contra ameaças para proteger seu ambienteimediatamente.

8 A Proteção adaptável contra ameaças registra os detalhes e gera e envia um evento ao McAfee ePO.

Figura 1-2 Como funciona

1 Visão geral do produtoComo a Proteção adaptável contra ameaças funciona


A Proteção adaptável contra ameaças funciona de maneira diferente se ela se comunicar com o servidor TIE ese estiver conectada à Internet.

Se o servidor TIE e o Data Exchange Layer estiverem presentes

Se o servidor TIE estiver presente, a Proteção adaptável contra ameaças usa a estrutura do Data ExchangeLayer para compartilhar informações de arquivos e ameaças de forma instantânea em todo a empresa. Vocêpoderá ver o sistema específico onde uma ameaça foi detectada pela primeira vez, aonde ela foi depois edetê-la imediatamente.

A Proteção adaptável contra ameaças com o servidor TIE permite que você controle a reputação de arquivo emnível local em seu ambiente. Você decide quais arquivos podem ser executados e quais serão bloqueados, e oData Exchange Layer compartilha as informações imediatamente em todo o ambiente.

A Proteção adaptável contra ameaças e o servidor comunicam as informações de reputação de arquivo. Aestrutura do Data Exchange Layer transmite essas informações imediatamente para pontos de extremidadegerenciados. Além disso, compartilha informações com outros produtos da McAfee que acessam o DataExchange Layer, como o McAfee

®

Enterprise Security Manager (McAfee ESM) e o McAfee®

Network SecurityPlatform.

Figura 1-3 Proteção adaptável contra ameaças com o servidor TIE e o Data Exchange Layer

Visão geral do produtoComo a Proteção adaptável contra ameaças funciona 1


Se o servidor TIE e o Data Exchange Layer não estiverem presentes

A Proteção adaptável contra ameaças comunica-se com o McAfee GTI para obter informações de reputação dearquivo.

Figura 1-4 Proteção adaptável contra ameaças com McAfee GTI

Se o servidor TIE não estiver presente e o sistema não estiver conectado à Internet, a Proteção adaptável contraameaças determina a reputação do arquivo, usando as informações sobre o sistema local.

Consulte também Como as reputações de arquivo e de certificado controlam o acesso na página 13Como a varredura do Real Protect monitora a atividade na página 19Como a reputação é determinada na página 13Como funciona o Confinamento dinâmico de aplicativos na página 20Responder a uma solicitação de reputação de arquivo na página 45

Visão geral dos recursos

Conteúdo Como as reputações de arquivo e de certificado controlam o acesso Como a reputação é determinada Como os arquivos de conteúdo funcionam Como a varredura do Real Protect monitora a atividade Como funciona o Confinamento dinâmico de aplicativos

1 Visão geral do produtoVisão geral dos recursos


Como as reputações de arquivo e de certificado controlam o acessoAs reputações de arquivos e certificados são baseadas em seu conteúdo e propriedades. A configurações deProteção adaptável contra ameaças determinam se os itens são bloqueados ou permitidos em seu ambientecom base nos níveis de reputação.

Escolha entre três níveis de segurança, dependendo de como você deseja equilibrar as regras para tiposespecíficos de sistemas. Cada nível é associado a regras específicas que identificam certificados e arquivosmaliciosos e suspeitos.

• Produtividade — Sistemas que são alterados com frequência, em geral instalando e desinstalandoprogramas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes dedesenvolvimento são exemplos desses sistemas. Menos regras são usadas com essa configuração. Osusuários veem o mínimo de bloqueios e avisos quando novos arquivos são detectados.

• Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instalados raramente.Mais regras são usadas com essa configuração. Os usuários observam mais bloqueios e avisos.

• Seguro — Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso sãosistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ou governamental.Essa configuração também é usada para servidores. É usado um número máximo de regras com essaconfiguração. Os usuários observam ainda mais bloqueios e avisos.

Ao determinar qual nível de segurança será atribuído, considere o tipo de sistema e a quantidade de bloqueiose avisos que você deseja que o usuário experimente.

Consulte também Configurar a Proteção adaptável contra ameaças na página 33

Como a reputação é determinadaAo determinar a reputação de um arquivo ou de um certificado, a Proteção adaptável contra ameaças usa umavarredura pré-execução e monitoramento posterior.

Varredura de processos pré-execução

Visão geral do produtoVisão geral dos recursos 1


1 Um arquivo executável portátil (PE) é carregado para execução em um processo.

2 O Endpoint Security verifica as exclusões para determinar se o arquivo deve ser inspecionado.

3 A Proteção adaptável contra ameaças inspeciona o arquivo e coleta propriedades do sistema local e doarquivo.



4 A Proteção adaptável contra ameaças verifica o cache de reputação local referente ao hash do arquivo.

• Se o hash do arquivo estiver no cache de reputação local, a Proteção adaptável contra ameaças obteráos dados de reputação e de prevalência do arquivo no cache e executará a ação associada.

• Se o hash do arquivo não estiver no cache, a Proteção adaptável contra ameaças obterá os dados dereputação e de prevalência do arquivo no servidor TIE.

Para obter informações, consulte a documentação do servidor TIE.

• Se Advanced Threat Defense estiver presente e ativado, consulte Se a área restrita estiver ativada(Advanced Threat Defense) abaixo.

5 Se as regras da Proteção adaptável contra ameaças determinarem a reputação final, a Proteção adaptávelcontra ameaças atualizará o servidor TIE com as informações de reputação mais recentes e executará aação associada.

6 Se a Proteção adaptável contra ameaças não tiver a reputação final, o mecanismo de varredura baseado emcliente do Real Protect varrerá o arquivo.

• Se o mecanismo de varredura baseado em cliente do Real Protect determinar a reputação final, aProteção adaptável contra ameaças atualizará o servidor TIE com as informações de reputação maisrecentes e executará a ação associada.

• Se o mecanismo de varredura baseado em cliente do Real Protect não determinar a reputação final, areputação do arquivo será Desconhecida. A Proteção adaptável contra ameaças permite que o processoseja iniciado e começa o monitoramento pós-execução.

Monitoramento de processos pós-execução



1 O processo começa a ser executado.

• Se a reputação do arquivo for conhecida, a Proteção adaptável contra ameaças executará a açãoconfigurada (Confinar, Bloquear ou Limpar).

• Se for a reputação for Desconhecida, a Proteção adaptável contra ameaças permitirá que o processoseja iniciado.



2 Se ativado, o mecanismo de varredura baseado em nuvem do Real Protect monitora o processo emexecução.

Se o processo revelar um comportamento malicioso, o o mecanismo de varredura baseado em nuvem doReal Protect executará uma correção. Caso contrário, ele continuará monitorando o processo.

3 Se o Confinamento dinâmico de aplicativos estiver ativado, o processo será executado em um contêiner.

Regras de contenção determinam ações que o processo pode executar. Se o processo de disparar regras decontenção Bloquear suficientes para apresentar comportamento suspeito, o Confinamento dinâmico deaplicativos reduzirá a reputação, o que pode fazer com que o processo seja limpo.

Se a proteção estiver ativada (Advanced Threat Defense)

Se Advanced Threat Defense estiver presente e ativado, o processo a seguir ocorrerá.

1 Se o arquivo for novo no ambiente e o sistema que executa o arquivo tiver acesso ao Advanced ThreatDefense, o servidor TIE enviará o arquivo para o Advanced Threat Defense para varredura. Nesse caso, oservidor TIE continuará pesquisando relatórios de análise até que eles estejam disponíveis.

É possível ativar tanto um, quanto os dois fornecedores de reputação na página Catálogo de políticas noMcAfee ePO.

2 O Advanced Threat Defense varre o arquivo e envia os resultados de reputação do arquivo para o servidorTIE por meio do Data Exchange Layer. O servidor também atualiza o banco de dados e envia as informaçõesde reputação atualizadas para todos os sistemas compatíveis com a Proteção adaptável contra ameaçaspara proteger seu ambiente imediatamente. A Proteção adaptável contra ameaças ou qualquer outroproduto da McAfee podem iniciar esse processo. O servidor TIE processa a reputação e a salva no banco dedados.

Se o McAfee Web Gateway estiver presente

Se o McAfee Web Gateway estiver presente, ocorrerá o seguinte.

• Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE que salva apontuação de reputação no banco de dados.

• Quando o servidor recebe uma solicitação de reputação de arquivos do módulo, ele retorna a reputaçãorecebida do McAfee Web Gateway e de outros provedores de reputação.

Se o Controle da Web do Endpoint Security estiver presente

• Ao fazer o download de um arquivo, o Controle da Web envia uma mensagem ao servidor TIE, contendo oURL de onde foi realizado o download do arquivo, a reputação do URL do McAfee GTI e o valor de hash doarquivo.

As informações estão disponíveis na guia URL associada na página de informações de hash.

• Quando o servidor TIE recebe uma solicitação de reputação de arquivo, ele retorna essas informações comoparte da resposta.

Consulte também Quando o cache é removido? na página 18Como a Proteção adaptável contra ameaças funciona na página 10Como funciona o Confinamento dinâmico de aplicativos na página 20Como a varredura do Real Protect monitora a atividade na página 19



Quando o cache é removido?A configuração da regra define quando remover o cache inteiro. Estado de objeto, reputação ou data deexpiração definem quando remover objetos individuais no cache.

Todo o cache da Proteção adaptável contra ameaças é removido quando a configuração das regras é alterada:

• O estado de uma ou mais regras foi alterado, por exemplo, de Ativado para Desativado.

• O conjunto de regras de atribuição foi alterado, por exemplo, de Equilibrado para Segurança.

Um arquivo individual ou um cache de certificado é removido quando:

• O arquivo foi alterado no disco.

• O servidor TIE publica um evento de alteração de reputação.

• O objeto expira.

Por padrão, os itens no cache são removidos entre 1 hora e 1 semana, dependendo do tipo.

Às vezes, a hora de expiração de um item pode ser diferente do padrão.

• O cache está cheio.

Os itens de cache acessados recentemente são mantidos; os itens mais antigos expiram e sãoremovidos.

• A vida útil é definida no arquivo do Conteúdo do AMCore ou pelo provedor de reputação.

• O status de conexão em vigor quando o objeto foi adicionado ao cache.

Se um objeto tiver sido adicionado quando o provedor de reputação não estava conectado ao servidorTIE ou McAfee GTI, a reputação será atualizada quando a conectividade for restaurada.

Após a remoção do item do cache, a reputação será recalculada na próxima vez em que a Proteção adaptávelcontra ameaças receber um aviso sobre o arquivo,

Como os arquivos de conteúdo funcionamOs arquivos de conteúdo do AMCore incluem atualizações para varrer mecanismos, assinaturas e as regras quea Proteção adaptável contra ameaças usa para calcular dinamicamente a reputação de arquivos e os processosem sistemas cliente.

O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos deconteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre limpeza e correção dedanos que o malware detectado pode causar. Novas ameaças aparecem, e o McAfee Labs libera arquivos deconteúdo atualizados, regularmente.

Se a assinatura de uma ameaça não estiver nos arquivos de conteúdo instalados, o mecanismo de varredura nãopoderá detectar a ameaça, deixando o sistema vulnerável a ataques.

O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versões anteriores napasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\pasta de conteúdo. Se necessário, é possívelvoltar a uma versão anterior.

Quando a Proteção adaptável contra ameaças determina se uma detecção é um falso positivo, o McAfee Labslibera um arquivo Extra.DAT negativo para suprimir a detecção.

Pacote de conteúdo do AMCore

O McAfee Labs libera pacotes de conteúdo do AMCore diariamente até as 19h. (GMT/UTC). Se justificado poruma nova ameaça, os arquivos de conteúdo do AMCore diários poderão ser liberados mais cedo e, às vezes, asliberações poderão ser atrasadas.



Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (SupportNotification Service). Consulte KB67828.

O pacote de conteúdo do AMCore inclui estes componentes da Proteção adaptável contra ameaças:

• Proteção adaptável contra ameaças — Mecanismo de varredura e regrasContém regras para computar dinamicamente a reputação de arquivos e processos nos sistemas cliente.

A McAfee libera novos arquivos de conteúdo da Proteção adaptável contra ameaças a cada dois meses.

• Real Protect — Mecanismo e conteúdoContém atualizações do mecanismo de varredura e das assinaturas do Real Protect baseadas nosresultados da pesquisa de ameaças contínua.

O Real Protect é um componente do módulo Proteção adaptável contra ameaças opcional.

Para garantir que o Endpoint Security use os arquivos de conteúdo e o mecanismo mais recentes, recupereesses arquivos da McAfee e atualize os sistemas diariamente.

Se você gerencia clientes que executam a Proteção adaptável contra ameaças e o módulo Threat IntelligenceExchange do Endpoint Security ou a Prevenção contra ameaças do mesmo servidor McAfee ePO, as regrasexibidas na página Configurações do servidor dependem do conteúdo do check-in no Repositório mestre. Setiver sido feito check-in do Pacote de conteúdo do AMCore, a Proteção adaptável contra ameaças exibirá asregras desse pacote de conteúdo. Caso contrário, a Proteção adaptável contra ameaças exibirá as regras doConteúdo do módulo Threat Intelligence Exchange. Se nenhum dos dois estiver presente no Repositóriomestre, a página Configurações do servidor da Proteção adaptável contra ameaças ficará em branco. Proteçãoadaptável contra ameaças exibe regras de apenas uma origem de conteúdo.

Se uma atualização do Conteúdo do módulo Threat Intelligence Exchange incluir alterações nas regras, elas nãoaparecerão nas Configurações do servidor e não poderão ser editadas até que o Pacote de conteúdo do AMCoreseja atualizado com essas alterações.

Consulte também Como lidar com novos falsos positivos com arquivos Extra.DAT na página 35

Como a varredura do Real Protect monitora a atividadeO mecanismo de varredura do Real Protect inspeciona arquivos suspeitos e atividades em sistemas cliente paradetectar padrões maliciosos usando técnicas de aprendizado de máquina. O mecanismo de varredura usaessas informações para detectar o malware de dia zero.

A tecnologia do Real Protect não tem suporte em alguns sistemas operacionais Windows. Consulte KB82761para obter mais informações.

O mecanismo de varredura do Real Protect fornece duas opções para realizar análises automatizadas:

• No sistema cliente

• Na nuvem

Prática recomendada: ative as opções cliente e nuvem do Real Protect, a menos que o suporte técnicoaconselhe o contrário.

Nenhuma informação de identificação pessoal (PII) é enviada para a nuvem.

Varredura baseada em cliente

O Real Protect baseado em cliente, que usa aprendizado de máquina no sistema cliente para determinar se oarquivo corresponde ao malware conhecido. Se o sistema cliente estiver conectado com a Internet, o RealProtect enviará informações de telemetria à nuvem, mas não usará a nuvem para análise.



https://kc.mcafee.com/corporate/index?page=content&id=KB67828


Os níveis de sensibilidade da varredura baseada em cliente, que se baseiam em matemáticas fórmulas,atribuem uma "tolerância" para as atividades suspeitas a fim de determinar se o arquivo corresponde a ummalware conhecido. Quanto mais alto for o nível de sensibilidade, maior será o número de correspondênciasde malware. No entanto, permitir mais detecções pode resultar em mais falsos positivos.

Nível desensibilidade

Uso recomendado

Baixo Sistemas (por exemplo, servidores) que raramente se conectam à Internet ousomente a sites da Web confiáveis (menor risco de infecção), em que o impacto dosfalsos positivos é alto.

Médio Sistemas que não atendem aos outros critérios. (Padrão)

Alto Sistemas com vários usuários e acesso à rede não filtrado (maior risco de infecção),em que o impacto dos falsos positivos é baixo.

A varredura baseada em cliente requer conectividade com o McAfee GTI ou o servidor TIE, a menos que avarredura off-line esteja ativada.

Prática recomendada: como a varredura offline pode resultar em aumento de falsos positivos, ative esta opçãosomente para sistemas sem conectividade com McAfee GTI ou o servidor TIE.

Varredura baseada em nuvem

O Real Protect coleta e envia atributos de arquivos e informações comportamentais para o sistema deaprendizado de máquina na nuvem para análise de malware.

A varredura baseada em nuvem requer conectividade com o realprotect1.mcafee.com. Consulte KB79640.

Prática recomendada: desative o Real Protect baseado em nuvem nos sistemas que não estão conectados coma Internet.

Consulte também Como a reputação é determinada na página 13Configurar a Proteção adaptável contra ameaças na página 33Verificar status da conexão na página 46

Como funciona o Confinamento dinâmico de aplicativosA Proteção adaptável contra ameaças usa a reputação de um aplicativo para determinar se a execução delecom restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. O Confinamento dinâmico deaplicativos bloqueia ou registra em log ações inseguras do aplicativo, com base nas regras de contenção.

Conforme os aplicativos disparam as regras de bloqueio de contenção, o Confinamento dinâmico de aplicativosusa essas informações para contribuir para a reputação geral dos aplicativos contidos.

Outras tecnologias, como o McAfee®

Active Response, podem solicitar confinamento. Se várias tecnologiasregistradas no Confinamento dinâmico de aplicativos solicitarem o confinamento de um aplicativo, cadasolicitação será cumulativa. O aplicativo permanecerá confinado até que todas as tecnologias o liberem. Seuma tecnologia que solicitou o confinamento for desativada ou removida, o Confinamento dinâmico deaplicativos liberará esses aplicativos.

Fluxo de trabalho do Confinamento dinâmico de aplicativos

1 O processo começa a ser executado.

2 Se a reputação do aplicativo estiver no limite de reputação de confinamento ou abaixo dele, a Proteçãoadaptável contra ameaças notificará o Confinamento dinâmico de aplicativos de que o processo foi iniciadoe solicitará confinamento.




3 O Confinamento dinâmico de aplicativos confina o processo.

Se estiver configurado, o Confinamento dinâmico de aplicativos atualiza o Log de eventos no Cliente doEndpoint Security e envia um evento ao McAfee ePO para notificar quando:

• Um aplicativo é confinado.

• Um aplicativo confinado tenta violar as regras de confinamento.

Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos de ameaça doMcAfee ePO.

4 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executadonormalmente (e não confinado).

Consulte também Como a Proteção adaptável contra ameaças funciona na página 10Confinamento dinâmico de aplicativos na página 49Como a reputação é determinada na página 13



Uso da Proteção adaptável contra ameaças em seu ambienteDefina as configurações e execute a Proteção adaptável contra ameaças no modo de observação paradeterminar com que frequência um arquivo será visto em seu ambiente. Ajuste as configurações oureputações, conforme o necessário.

1 Defina as configurações da Proteção adaptável contra ameaças para determinar o que será bloqueado,permitido ou confinado.

2 Execute a Proteção adaptável contra ameaças no modo de observação para criar predomínio de arquivo ever o que a Proteção adaptável contra ameaças detecta em seu ambiente. A Proteção adaptável contraameaças gera eventos Bloquearia, Limparia e Confinaria para mostrar quais ações ela executaria. Opredomínio de arquivo indica a frequência com que um arquivo é visto no ambiente.

O modo de observação se aplica a todos os recursos da Proteção adaptável contra ameaças, incluindo RealProtect e Confinamento dinâmico de aplicativos.

A ativação desse modo faz com que a Proteção adaptável contra ameaças gere eventos, mas sem imporações. Seus sistemas podem ficar vulneráveis a ameaças.

3 Monitore e ajuste configurações, arquivo individual ou reputações de certificado para controlar o que épermitido no seu ambiente.

Criação da prevelência de arquivo por meio do modo de observaçãoCrie a prevalência de arquivo para determinar a frequência com a qual os arquivos são vistos em seu ambiente.

Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação de arquivos ecertificados ao banco de dados do servidor TIE. Essas informações também preenchem os gráficos edashboards disponíveis no módulo em que são exibidas informações de reputação detalhadas sobre arquivose certificados.

Para começar, crie uma ou mais políticas de Proteção adaptável contra ameaças para serem executadas emalguns sistemas do seu ambiente. As políticas determinam:

• Quando um arquivo ou certificado com uma reputação específica tem permissão para ser executado em umsistema

• Quando um arquivo ou certificado é bloqueado

• Quando um aplicativo é confinado

• Quando o usuário é solicitado a fazer a autenticação de dois fatores

• Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada

Ao criar a prevalência de arquivo, você pode ativar o modo de observação em sistemas cliente. As reputaçõesde arquivo e certificado são adicionadas ao banco de dados e eventos Bloquearia, Limparia e Confinaria sãogerados, mas nenhuma ação é executada. Você pode ver o que a Proteção adaptável contra ameaças bloqueia,permite ou confina se as configurações forem impostas.

Consulte também Configurar a Proteção adaptável contra ameaças na página 33

1 Visão geral do produtoUso da Proteção adaptável contra ameaças em seu ambiente


Monitoramento e ajustesPara ver arquivos e certificados bloqueados, permitidos ou confinados com base nas políticas, use as exibiçõesde evento e os dashboards do McAfee ePO.

Você pode exibir informações detalhadas por terminal, arquivo, regra ou certificado e ver rapidamente onúmero de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando em um item ouajustar as configurações de reputação de certificados ou arquivos específicos para que a ação apropriada sejarealizada.

Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souber que ele éum arquivo confiável, é possível excluí-lo da varredura ou alterar sua reputação para confiável. Em seguida, oaplicativo passa a ter permissão para ser executado em seu ambiente sem ser bloqueado nem solicitar umaação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usados em seuambiente.

• Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico. Você podeexibir detalhes sobre o arquivo ou o certificado, incluindo o nome da empresa, os valores dos hashes SHA-1e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso de arquivos, você também podeacessar os dados do VirusTotal diretamente na página de detalhes de Reputações do TIE para verinformações adicionais (consulte Sobre o VirusTotal).

• Use a página Dashboard de geração de relatórios para ver vários tipos de informações de reputação de umavez. Você pode exibir o número de arquivos novos vistos no seu ambiente na última semana, arquivos porreputação, arquivos cuja reputação foi alterada recentemente, sistemas que executaram novos arquivosrecentemente e muito mais. Para exibir informações detalhadas de um item no dashboard, clique nele.

• Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quais sistemasexecutaram o arquivo e podem estar comprometidos.

• Importe reputações de certificado ou arquivo para o banco de dados para permitir ou bloquear arquivos oucertificados específicos de acordo com outras origens de reputação. Isso permite que você use asconfigurações importadas para certificados e arquivos específicos sem precisar defini-las individualmenteno servidor.

• A coluna Reputação composta na página Reputações do TIE mostra a reputação mais predominante e seuprovedor (servidor TIE 2.0 e posterior).

• A coluna Regra aplicada mais recente na página Reputações do TIE mostra e rastreia as informações dereputação com base na regra de detecção mais recente aplicada a cada arquivo no ponto de extremidade.

É possível personalizar essa página selecionando Ações | Escolher colunas.

Consulte também Verificação de ameaças em eventos recentes na página 37Dashboards, monitores e Proteção adaptável contra ameaças na página 39Consultas, respostas e Proteção adaptável contra ameaças na página 40Eventos, respostas e Proteção adaptável contra ameaças na página 44

Envio de arquivos para análise detalhadaSe a reputação de um arquivo for desconhecida, você poderá enviá-la ao Advanced Threat Defense para análisedetalhada. Use as configurações do servidor TIE para especificar quais arquivos serão enviados.

Advanced Threat Defense detecta malware não divulgado e combina defesas de emulação em tempo real,reputação e assinaturas antivírus.Os arquivos podem ser enviados automaticamente da Proteção adaptávelcontra ameaças para o Advanced Threat Defense com base no nível de reputação e no tamanho do arquivo.Asinformações de reputação de arquivo enviadas peloAdvanced Threat Defense são adicionadas ao banco dedados do servidor TIE.

Visão geral do produtoUso da Proteção adaptável contra ameaças em seu ambiente 1


https://www.virustotal.com/en/about/

Informações de telemetria do McAfee GTI

As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda e aprimoreas informações de reputação. Consulte a tabela para obter detalhes sobre as informações fornecidas peloMcAfee GTI quanto a arquivos e certificados, somente arquivos ou somente certificados.

Categoria Descrição

Arquivo ecertificado

• Versões do módulo e servidor TIE

• Configurações de substituição da reputação feitas com o servidor TIE

• Informações de reputação externas, por exemplo, do Advanced Threat Defense

Somentearquivos

• Nome do arquivo, tipo, caminho, tamanho, produto, editor e predomínio

• Informações de SHA-1, SHA-256 e MD5

• Versão do sistema operacional do computador da geração de relatórios

• Reputação máxima, mínima e média definida para o arquivo

• Se o módulo de geração de relatórios está no Modo de observação

• Se o arquivo teve permissão para ser executado, foi bloqueado, confinado ou limpo

• O produto que detectou o arquivo, por exemplo, o Advanced Threat Defense ou aPrevenção contra ameaças

Somentecertificado

• Informações de SHA-1

• O nome do emissor do certificado e seu assunto

• As datas em que o certificado era válido e a data de expiração

A McAfee não coleta informações de identificação pessoal e não compartilha informações fora da McAfee.

Consulte também Como a reputação é determinada na página 13

Adições do Proteção adaptável contra ameaças ao McAfee ePOEste produto gerenciado amplia a sua capacidade de proteger a sua rede com esses recursos eaprimoramentos.

Você deve ter as permissões adequadas para acessar a maioria das funções.

McAfee ePO Adição

Dashboards Dashboards e monitores que você pode usar para vigiar seu ambiente.

Eventos e respostas • Eventos para os quais você pode configurar respostas automáticas.

• Grupos de eventos e tipos de eventos que você pode usar para personalizarrespostas automáticas.

Propriedades dosistema gerenciado

As propriedades que você pode analisar na Árvores de sistemas ou usar parapersonalizar consultas.

Conjuntos depermissões

Categorias de permissão de Proteção adaptável contra ameaças do EndpointSecurity e Consulta da Proteção adaptável contra ameaças do Endpoint Security,disponíveis em todos os conjuntos de permissão existentes.

1 Visão geral do produtoAdições do Proteção adaptável contra ameaças ao McAfee ePO


McAfee ePO Adição

Políticas Categorias de política de Confinamento de aplicativo dinâmico e Opções no grupode produto da Proteção adaptável contra ameaças do Endpoint Security.

Consultas e relatórios • Consultas padrão que você pode usar para executar relatórios.

• Grupos de propriedades personalizadas com base nas propriedades do sistemagerenciado que você pode usar para criar suas próprias consultas e relatórios.

Configurações doservidor

Proteção adaptável contra ameaçasConfigurações do servidor que você pode usarpara personalizar as configurações do seu servidor de produto gerenciado.

Eventos da Proteçãoadaptável contraameaças

Eventos da Proteção adaptável contra ameaças em Relatório exibem eventosrecentes e passados para sistemas (dispositivos), arquivos, regras e certificados.

Para obter informações sobre estes recursos, consulte a documentação do McAfee ePO.

Consulte também Eventos, respostas e Proteção adaptável contra ameaças na página 44Uso de conjuntos de permissões na página 25Políticas e Proteção adaptável contra ameaças na página 27Dashboards, monitores e Proteção adaptável contra ameaças na página 39Consultas, respostas e Proteção adaptável contra ameaças na página 40Tarefas do servidor e Proteção adaptável contra ameaças na página 42

Uso de conjuntos de permissõesOs conjuntos de permissões definem os direitos de funcionalidade do produto gerenciado no McAfee ePO.

A Proteção adaptável contra ameaças adiciona os grupos de permissões da Proteção adaptável contra ameaçase da Consulta da Proteção adaptável contra ameaças a cada conjunto de permissão.

Os grupos de permissão definem os direitos de acesso aos recursos. O McAfee ePO concede todas aspermissões para todos os produtos e recursos aos administradores globais. Consequentemente, osadministradores atribuem funções de usuários a conjuntos de permissões existentes ou criam novos conjuntosde permissões.

Seu produto gerenciado adiciona esses controles de permissão para o McAfee ePO.

Conjuntos de permissões Permissões padrão

Revisor executivoProteção adaptável contra ameaças do Endpoint Security e Consulta da Proteçãoadaptável contra ameaças do Endpoint Security

Sem permissões

Revisor globalProteção adaptável contra ameaças do Endpoint Security

Exibe recursos, executaconsultas.

Revisor globalConsulta da Proteção adaptável contra ameaças do Endpoint Security

Sem permissões

Administrador de gruposProteção adaptável contra ameaças do Endpoint Security e Consulta da Proteçãoadaptável contra ameaças do Endpoint Security

Sem permissões

Revisor de gruposProteção adaptável contra ameaças do Endpoint Security e Consulta da Proteçãoadaptável contra ameaças do Endpoint Security

Sem permissões

Por padrão, este produto gerenciado é Sem permissões.

Visão geral do produtoAdições do Proteção adaptável contra ameaças ao McAfee ePO 1


As permissões devem ser concedidas para que os usuários acessem ou utilizem os recursos controlados compermissão.

Tabela 1-1 Permissões obrigatórias por recurso

Recurso Permissões obrigatórias

Respostas automáticas Respostas automáticas, Notificações de eventos e todas as permissões específicasde recursos, dependendo do recurso usado (como a Árvore de sistemas ouconsultas).

Dashboards e monitores Dashboards, Consultas

Políticas Política da Proteção adaptável contra ameaças

Consultas Consultas e relatórios

Tarefas do servidor Tarefas do servidor

Árvore de sistemas Sistemas, acesso à Árvore de sistemas

Log de eventos de ameaça Sistemas, acesso à Árvore de sistemas, Log de eventos de ameaça

Para obter informações sobre o gerenciamento de conjuntos de permissões, consulte a documentação doMcAfee ePO.

Consulte também Eventos, respostas e Proteção adaptável contra ameaças na página 44Políticas e Proteção adaptável contra ameaças na página 27Dashboards, monitores e Proteção adaptável contra ameaças na página 39Consultas, respostas e Proteção adaptável contra ameaças na página 40Tarefas do servidor e Proteção adaptável contra ameaças na página 42

Configurações do servidor e Proteção adaptável contra ameaçasAs configurações do servidor fornecem opções para configurar e personalizar este produto gerenciado.

Seu produto gerenciado acrescenta estas configurações do servidor ao servidor do McAfee ePO.

Configuração do servidor Descrição

Proteção adaptável contraameaças

Exibe as regras e a ordem de execução delas para cada nível de segurança:Produtividade, Equilibrado e Segurança.É possível definir regras individuais para Habilitado, Desabilitado, ouObservar.

1 Visão geral do produtoAdições do Proteção adaptável contra ameaças ao McAfee ePO


2 Configurar a Prevenção adaptável contraameaças

Conteúdo Políticas e Proteção adaptável contra ameaças Confinamento dinâmico de aplicativos Configurar a Proteção adaptável contra ameaças Exclusão de processos da varredura da Proteção adaptável contra ameaças

Políticas e Proteção adaptável contra ameaçasAs políticas permitem configurar, aplicar e fazer cumprir as definições para sistemas gerenciados em seuambiente.Políticas são coleções de configurações que você cria, configura, aplica e impõe. A maioria das configurações depolítica correspondem a configurações que você define no Cliente do Endpoint Security. Outra configuração depolítica é a interface primária para a configuração do software.

Seu produto gerenciado acrescenta essas categorias ao Catálogo de políticas. As definições disponíveis variamem cada categoria.

Tabela 2-1 Categorias da Proteção adaptável contra ameaças

Categoria Descrição

Confinamentodinâmico de aplicativos

Executa aplicativos com reputações específicas em um contêiner, bloqueando asações com base nas regras de confinamento. Usa o servidor TIE, se estiverdisponível, ou o McAfee GTI para obter a reputação do aplicativo.

Opções Especifica opções para a Proteção adaptável contra ameaças, incluindo:• Ativação e desativação da Proteção adaptável contra ameaças.

• Selecione o grupo de regras (Produtividade, Equilibrado ou Segurança), que contémas regras que a Proteção adaptável contra ameaças usa para calcular a reputação.

• Ativação e desativação da varredura baseada em cliente e baseada na nuvem doReal Protect.

• Configure os limites de reputação.

• Configuração de mensagens do usuário.

• Especificação de opções para envio de arquivos ao Advanced Threat Defense.

Personalização de políticasCada categoria de política inclui as políticas padrão.

Você pode usar as políticas como estão, editar as políticas padrão My Default ou criar políticas.

2


Tabela 2-2 Políticas padrão da Proteção adaptável contra ameaças

Política Descrição

McAfee Default Define a política padrão que entra em vigor caso nenhuma outra política seja aplicada.A política de Confinamento dinâmico de aplicativos McAfee Default define regras paraRelatar somente. Os usuários não observam bloqueios ou avisos.

Para enviar eventos Bloquearia do Confinamento dinâmico de aplicativos para o McAfeeePO, nas configurações de Opções Em Comum, defina os Eventos de Proteção adaptávelcontra ameaças para registrar em log como Advertência, crítico e alerta.

Você pode duplicar, mas não pode excluir nem alterar esta política.

My Default Define configurações padrão para a categoria.

McAfee DefaultBalanced

Define uma política de Confinamento dinâmico de aplicativos com as regras Bloquearconfiguradas para fornecer nível básico de proteção enquanto minimiza falsos positivospara instaladores e aplicativos comuns, não assinados.Use essa política para sistemas de negócios típicos, em que novos programas ealterações são instalados raramente. Os usuários observam alguns bloqueios e avisos.

McAfee DefaultSecurity

Define uma política de Confinamento dinâmico de aplicativos com regras Bloquear parafornecer proteção agressiva. Essa política pode gerar falsos positivos com maiorfrequência em instaladores e aplicativos não assinados.

As políticas do Confinamento dinâmico de aplicativos, McAfee Default Balanced e McAfee Default Security,especificam configurações de regras somente para o Confinamento dinâmico de aplicativos. Elas são diferentes enão afetam as políticas dos grupos de regras Produtividade, Equilibrado ou Segurança que a Proteção adaptávelcontra ameaças usa para calcular a reputação.

Prática recomendada

Avalie o impacto das regras do Confinamento dinâmico de aplicativos impondo a política McAfee Default. Paradeterminar se as regras devem ser configuradas para bloquear, monitorar os logs e os relatórios em eventos de"Violação permitida do Confinamento dinâmico de aplicativos" (ID do evento 37280). Depois, defina Reputaçõesem nível empresarial ou exclusões do Confinamento dinâmico de aplicativos e imponha a política McAfeeDefault Balanced.

Comparação de políticas

Na versão 5.0 do McAfee ePO e em versões posteriores, você pode comparar as políticas dentro da mesmacategoria de políticas usando a Comparação de políticas.

Para obter informações sobre políticas e o Catálogo de políticas, consulte a documentação do McAfee ePO.

Consulte também Confinamento dinâmico de aplicativos na página 28Configurar a Proteção adaptável contra ameaças na página 33

Confinamento dinâmico de aplicativosConfinamento dinâmico de aplicativos permite que você determine que aplicativos com reputações específicassejam executados em um contêiner. Os aplicativos confinados não têm permissão para executar certas ações,conforme especificado pelas regras de confinamento.

Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamento dinâmicode aplicativos execute o aplicativo em um contêiner.

2 Configurar a Prevenção adaptável contra ameaçasConfinamento dinâmico de aplicativos


Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros, permitindoque eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações que eles podem executar.Os usuários podem usar os aplicativos, mas eles poderão não funcionar conforme o esperado se oConfinamento dinâmico de aplicativos bloquear determinadas ações. Quando você determina que umaplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças do Endpoint Security ou oservidor TIE para permitir que ele seja executado normalmente.

Para usar Confinamento dinâmico de aplicativos:

1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar oConfinamento dinâmico de aplicativos nas configurações de Opções.

2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações de Confinamentodinâmico de aplicativos.

Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 32Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 29Configurar regras de confinamento definidas pela McAfee na página 30Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos na página 30Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31Exibir aplicativos confinados no McAfee ePO na página 31

Ativar o limite do gatilho do Confinamento dinâmico de aplicativosCom o Confinamento dinâmico de aplicativos você pode especificar que os aplicativos com reputaçõesespecíficas sejam executados em um contêiner, limitando as ações que eles podem executar. Ativa a imposiçãode ação do recurso e define o limite de reputação para conter os aplicativos.

Tarefa1 Selecione Menu | Política | Catálogo de políticas e selecione Proteção adaptável contra ameaças do Endpoint

Security na lista Produto.

2 Na lista Categoria, selecione Opções.

3 Clique no nome de uma política editável.

4 Verifique se a Proteção adaptável contra ameaças está ativada.

5 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir.

6 Especifique o limite de reputação no qual confinar os aplicativos.

• Pode ser confiável

• Desconhecido (Padrão para o grupo de regras Segurança)

• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)

• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)

• Malicioso conhecido

O limite de reputação do Confinamento dinâmico de aplicativos deve ser acima dos limites de bloqueio elimpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite doConfinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou acima.

7 Clique em Salvar.

Configurar a Prevenção adaptável contra ameaçasConfinamento dinâmico de aplicativos 2


Configurar regras de confinamento definidas pela McAfeeMcAfee bloqueiam ou registram em log as ações que aplicativos confinados podem executar. Você pode alteraras configurações de bloqueio e relatório, mas não pode alterar nem excluir essas regras.

Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticasrecomendadas para quando definir uma regra para relatar ou bloquear, consulte KB87843.



2 Na lista Categoria, selecione Confinamento dinâmico de aplicativos.


4 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambas para a regra.

• Para marcar ou desmarcar todas as regras em Bloquear ou Relatar, clique em Bloquear tudo ou Relatartudo.

• Para desativar a regra, desmarque Bloquear e Relatar.

5 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico de aplicativos.

Os processos na lista de Exclusões são executados normalmente (e não confinados).

6 Clique em Salvar.

Consulte também Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31Prática recomendada: Ajustar o Confinamento dinâmico de aplicativos na página 30

Prática recomendada: Ajustar o Confinamento dinâmico de aplicativosAo ativar o Confinamento dinâmico de aplicativos em seu ambiente pela primeira vez, defina as regras comoRelatar somente e avalie os efeitos antes de impor. Os usuários não observam bloqueios ou avisos.

Tarefa

1 Nas configurações de Em Comum Em Comum, seção Log de eventos, selecione Aviso, crítico e alerta na listasuspensa Eventos da Proteção adaptável contra ameaças a serem registrados em log.

Essa etapa é necessária para enviar eventos Bloquearia do Confinamento dinâmico de aplicativos aoMcAfee ePO.

2 Imponha a política McAfee Default do Confinamento dinâmico de aplicativos.

Esta política define regras de Relatar somente e gera eventos de "Violação permitida do Confinamentodinâmico de aplicativos" (ID do evento 37280).

3 Monitore os logs e os relatórios e determine se definirá regras de bloqueio.

4 Após coletar eventos de Violação permitida do Confinamento dinâmico de aplicativos (ID de evento 37280),defina Reputações em nível empresarial ou exclusões do Confinamento dinâmico de aplicativos.

5 Imponha a política do Confinamento dinâmico de aplicativos McAfee Default Equilibrado.




Consulte também Dashboards, monitores e Proteção adaptável contra ameaças na página 39Consultas, respostas e Proteção adaptável contra ameaças na página 40Eventos, respostas e Proteção adaptável contra ameaças na página 44Configurar regras de confinamento definidas pela McAfee na página 30

Exibir aplicativos confinados no McAfee ePOO McAfee Agent envia a lista de aplicativos confinados para o McAfee ePO nas propriedades do cliente. Useessa lista para excluir aplicativos do Confinamento dinâmico de aplicativos.

Tarefa1 Na Árvore de sistemas, selecione o sistema e clique em Ativar agentes.

A chamada de ativação do agente coleta as propriedades do cliente, incluindo os aplicativos confinados, nocliente.

Para obter informações sobre a página Ativar McAfee Agent, consulte a Ajuda do McAfee ePO.

2 Na Árvore de sistemas, clique no nome do sistema.

3 Clique em Produtos e em Proteção adaptável contra ameaças do Endpoint Security.

4 Role para baixo até a seção Confinamento dinâmico de aplicativos para visualizar os aplicativos confinados nosistema cliente.

5 Verifique se a lista apresenta algum aplicativo confiável a ser excluído.

Consulte também Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31

Impedir que o Confinamento dinâmico de aplicativos confine programasconfiáveisSe um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamento dinâmico deaplicativos.

As exclusões criadas com o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente. Essas exclusõesnão são enviadas ao McAfee ePO e não são exibidas na seção Exclusões das configurações do Confinamentodinâmico de aplicativos.

Crie exclusões globais nas configurações do Confinamento dinâmico de aplicativos no McAfee ePO.

Tarefa1 Identifique aplicativos confiáveis para excluir: exiba a lista de aplicativos confinados, enviada dos sistemas

gerenciados para o McAfee ePO.

2 Selecione Menu | Política | Catálogo de políticas e selecione Proteção adaptável contra ameaças do EndpointSecurity na lista Produto.

3 Na lista Categoria, selecione Confinamento dinâmico de aplicativos.


5 Clique em Mostrar opções avançadas.

6 Na seção Exclusões, clique em Adicionar para adicionar processos a serem excluídos de todas as regras.

Configurar a Prevenção adaptável contra ameaçasConfinamento dinâmico de aplicativos 2


7 Na página Executável, configure as propriedades do executável.

8 Clique duas vezes em Salvar para salvar as configurações de política.

Tarefas• Obter o nome distinto do signatário do McAfee ePO e usá-lo para excluir executáveis na página 32

Quando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados porum signatário de processo especificado, o nome distinto do signatário (SDN) é necessário.

Consulte também Exibir aplicativos confinados no McAfee ePO na página 31

Obter o nome distinto do signatário do McAfee ePO e usá-lo para excluir executáveisQuando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados por um signatáriode processo especificado, o nome distinto do signatário (SDN) é necessário.

Tarefa1 SelecioneMenu | Geração de relatório | Log de eventos de ameaça.

2 Clique no evento do Endpoint Security para exibir os detalhes.

3 Em Endpoint Security , selecione Signatário do processo de origem e copie os detalhes.

4 Ao criar exclusões, copie e cole os detalhes do Signatário do processo de origem como uma única linha detexto para o campo Assinado por.

Por exemplo, o formato exigido para SDN é:

C = US, S = CALIFÓRNIA, L = MOUNTAIN VIEW, O = MOZILLA CORPORATION, OU = ENGENHARIA DELIBERAÇÃO, CN = MOZILLA CORPORATION

Permissão para que aplicativos confinados sejam executadosnormalmenteDepois de determinar que um aplicativo confinado é seguro, você pode permitir que ele seja executadonormalmente em seu ambiente.

• Adicione o aplicativo à lista global de Exclusões nas configurações de Confinamento dinâmico de aplicativos.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentemente dequantas tecnologias tenham solicitado o confinamento.

• Configure a Proteção adaptável contra ameaças para aumentar o limite de reputação e liberá-lo doconfinamento.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

• Se o servidor TIE estiver disponível, altere a reputação do arquivo para um nível que permita sua execução,como Conhecido confiável.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

Consulte o Guia do produto do McAfee Threat Intelligence Exchange.

Consulte também Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31Exibir aplicativos confinados no McAfee ePO na página 31Configurar a Proteção adaptável contra ameaças na página 33Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente napágina 52



Configurar a Proteção adaptável contra ameaçasProteção adaptável contra ameaças determinam quando um arquivo ou um certificado tem permissão deexecução, se está confinado, limpo, bloqueado ou se os usuários são solicitados a executar ações.



2 Na lista Categoria, selecione Opções.



5 Configure as definições na página, depois clique em Salvar.

Consulte também Como as reputações de arquivo e de certificado controlam o acesso na página 13Como a varredura do Real Protect monitora a atividade na página 19

Exclusão de processos da varredura da Proteção adaptável contraameaças

É possível excluir processos da varredura da Proteção adaptável contra ameaças adicionando-os àsconfigurações da Prevenção contra ameaças e da Varredura ao acessar para os tipos de processo Padrão.

Ou se o servidor do TIE estiver disponível, altere a reputação do arquivo para um nível que permita a suaexecução como Confiável e conhecido.

Prática recomendada: para obter informações sobre como solucionar problemas de aplicativos de terceirosbloqueados, consulte KB88482.

Para uma lista de executáveis varridos pela Proteção adaptável contra ameaças, verifique o log de depuração(AdvancedThreatProtection_Debug.log) da Proteção adaptável contra ameaças no sistema cliente.

Tarefa1 Selecione Menu | Política | Catálogo de políticas e, em seguida, selecione Prevenção contra ameaças do Endpoint

Security na lista do Produto.

2 Na lista Categoria, selecione Varredura ao acessar.



5 Selecione Definir configurações diferentes para processos de alto risco e baixo risco.

6 Na seção Tipos de processo, selecione a guia Padrão. Em seguida, na seção Exclusões, insira os processos aserem excluídos da varredura da Proteção adaptável contra ameaças.

Consulte também Configurar a Proteção adaptável contra ameaças na página 33Impedir que o Confinamento dinâmico de aplicativos confine programas confiáveis na página 31

Configurar a Prevenção adaptável contra ameaçasConfigurar a Proteção adaptável contra ameaças 2



2 Configurar a Prevenção adaptável contra ameaçasExclusão de processos da varredura da Proteção adaptável contra ameaças


3 Gerenciamento da Proteção adaptável contraameaças

Como lidar com novos falsos positivos com arquivos Extra.DATQuando a Proteção adaptável contra ameaças determina se uma detecção é um falso positivo, o McAfee Labslibera um arquivo Extra.DAT negativo para suprimir a detecção.

Você pode fazer download dos arquivos Extra.DAT para ameaças específicas na página de Atualizações desegurança do McAfee Labs.

Proteção adaptável contra ameaças oferece suporte ao uso de somente um arquivo Extra.DAT por vez. Em umasituação em que você precisa de um arquivo Extra.DAT negativo e um arquivo Extra.DAT positivo para aPrevenção contra ameaças, você pode solicitar um arquivo combinado do McAfee Labs.

Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado, essa datade expiração é comparada com a data de compilação do conteúdo do AMCore instalado no sistema. Se a datade compilação do conteúdo do AMCore for mais recente que a data de expiração do arquivo Extra.DAT, oarquivo Extra.DAT será considerado expirado. Ele não poderá mais ser carregado nem usado pelo mecanismo.Na atualização seguinte, o Extra.DAT será removido do sistema.

Se a próxima atualização do conteúdo do AMCore incluir informações no arquivo Extra.DAT, esse arquivo seráremovido.

O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\Arquivos de Programas\Arquivos Comuns\McAfee\Engine\content\avengine\extradat.

Consulte também Download e distribuição de um arquivo Extra.DAT em sistemas cliente usando o McAfee ePO na página 35Como os arquivos de conteúdo funcionam na página 18

Download e distribuição de um arquivo Extra.DAT em sistemas clienteusando o McAfee ePOFaça download e instale o arquivo Extra.DAT e, em seguida, distribua-o em sistemas cliente usando uma tarefado cliente de Atualização de produto.

Um arquivo Extra.DAT suprime detecções que são consideradas falsos positivos.

3


https://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx?region=us

https://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx?region=us

Tarefa1 Faça o download do arquivo Extra.DAT.

a Clique no link de download fornecido pelo McAfee Labs, especifique um local para salvar o arquivoExtra.DAT, depois clique em Salvar.

b Se necessário, descompacte o arquivo EXTRA.ZIP.

2 Selecione Menu | Software | Repositório mestre.

3 Selecione Ações | Fazer check-in de pacotes.

4 Selecione Extra DAT (.DAT), navegue até o local em que o arquivo foi baixado e clique em Abrir.

5 Confirme sua seleção e clique em Avançar.

A página Repositório mestre exibe o novo pacote de conteúdo na coluna Nome.

6 Replique o arquivo Extra.DAT para sites de espelho, se for aplicável. Execute uma tarefa do cliente deRepositórios de espelhamento do McAfee Agent.

Prática recomendada: ao terminar de utilizar o arquivo Extra.DAT, remova-o do Repositório mestre eexecute uma tarefa de cliente de Repositórios de espelhamento para removê-lo dos repositórios distribuídos.A remoção do arquivo Extra.DAT impede que o download seja feito por clientes durante uma atualização. Porpadrão, a detecção da nova ameaça no arquivo Extra.DAT é ignorada assim que a nova definição de detecçãoé adicionada aos arquivos de conteúdo diários.

7 Implemente o arquivo Extra.DAT nos sistemas cliente usando uma tarefa do cliente de Atualização deproduto do McAfee Agent.

8 Envie uma chamada de ativação do agente para atualizar os sistemas cliente com o arquivo Extra.DAT.

Consulte também Como os arquivos de conteúdo funcionam na página 18

3 Gerenciamento da Proteção adaptável contra ameaçasComo lidar com novos falsos positivos com arquivos Extra.DAT


4 Monitorar as atividades da Proteção adaptávelcontra ameaças com o McAfee ePO

Conteúdo Verificação de ameaças em eventos recentes Dashboards, monitores e Proteção adaptável contra ameaças Consultas, respostas e Proteção adaptável contra ameaças Tarefas do servidor e Proteção adaptável contra ameaças Eventos, respostas e Proteção adaptável contra ameaças

Verificação de ameaças em eventos recentesVerifica eventos recentes para consultar informações sobre quaisquer ameaças identificadas em seus sistemas.

Você pode exibir eventos impostos ou observados:

• Eventos de imposição: eventos que ocorrem como resultado de uma política de servidor imposta pelaProteção adaptável contra ameaças.

• Eventos de observação: eventos, como Bloquearia, que indicam qual seria a ação se a política fosse imposta.Permite exibir, avaliar e ajustar as definições de configuração e de políticas antes de sua imposição. Épossível ver quais arquivos ou certificados estão causando eventos e alterar suas configurações dereputação para que deixem de gerar um evento.

Você pode exibir eventos de ameaça de várias maneiras e fazer buscas detalhadas para obter maisinformações:

Últimos 30 dias: informações resumidas dos eventos dos últimos 30 dias.

10 principais: os 10 principais eventos por sistema, arquivo ou certificado.

Certificado: o nome do certificado, o valor do hash SHA-1 e o número de certificados que foram limpos,restritos, bloqueados ou geraram aviso.

Hash de arquivo — O nome do arquivo, o valor do hash SHA-1 e o número de arquivos que foram limpos,restritos, bloqueados ou geraram aviso.

Regra — O nome da regra, eventos em que a regra foi aplicada e o número de regras que foram limpas,restritas, bloqueadas ou geraram aviso.

Sistema: o nome do sistema, o total de eventos desse sistema e o número de eventos que foram limpos,contidos, bloqueados ou geraram aviso em um sistema em particular.

4


Exemplos

• Você poderá ver detalhes sobre os arquivos ou os certificados específicos que estão gerando os avisos.Selecione arquivos ou certificados individuais na página Eventos e altere seus níveis de reputação parapermiti-los ou bloqueá-los para que não gerem mais avisos.

• Se um arquivo específico gerar eventos, selecione-o na lista da página Eventos e veja quais sistemastentaram executá-lo e qual ação foi realizada. Você poderá alterar a reputação do arquivo para que ele deixede gerar eventos. Por exemplo, se o arquivo gerar um aviso e você desejar bloqueá-lo, altere sua reputaçãopara ele seja bloqueado e não gere um evento.

Consulte também Criação da prevelência de arquivo por meio do modo de observação na página 22Verifique os detalhes sobre os eventos de ameaça recentes na página 38Responder a eventos na página 38Verificação de atividade recente no Log de eventos na página 55

Verifique os detalhes sobre os eventos de ameaça recentesExiba informações sobre certificados e arquivos vistos recentemente no seu ambiente e as ações realizadas emresposta a uma ameaça identificada.

Tarefa1 Selecione Menu | Geração de relatórios | Eventos da Proteção adaptável contra ameaças.

A página Eventos da Proteção adaptável contra ameaças mostra várias exibições de eventos recentes.

2 Na lista suspensa Selecionar exibição de evento, selecione o tipo de evento a ser mostrado.

• Os Eventos de imposição mostram eventos de política impostos e as ações realizadas.

• Os Eventos de observação mostram os eventos de política observados, como Bloquearia, nos quaisnenhuma ação foi realizada.

3 Selecione um gráfico para ver informações detalhadas.

4 Na lista suspensa Selecionar ponto de tabela dinâmica, selecione como exibir eventos: por sistema, regra, hashde arquivo e certificado. Depois, selecione um item específico na lista para ver mais detalhes.

Consulte também Responder a eventos na página 38

Responder a eventosAjuste as reputações de arquivo e certificado para impedir ameaças e outros eventos. Use as informações napágina Eventos da Proteção adaptável contra ameaças.

Tarefa1 Selecione Menu | Geração de relatórios | Eventos da Proteção adaptável contra ameaças.

A página Eventos da Proteção adaptável contra ameaças mostra os itens que estão gerando eventos.

2 Na página Eventos, você poderá ver os itens que estão gerando eventos. Clique em um evento para verdetalhes.

3 Se você selecionar um arquivo ou certificado que esteja causando um bloqueio ou aviso com base em suareputação, altere a configuração de sua reputação para interromper o evento.

Use as opções do menu Ações para alterar sua reputação.

Consulte também Verifique os detalhes sobre os eventos de ameaça recentes na página 38

4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOVerificação de ameaças em eventos recentes


Dashboards, monitores e Proteção adaptável contra ameaçasVigie o status dos seus sistemas gerenciados e o aparecimento de ameaças no seu ambiente usando o seudashboard personalizável.

Dashboards são coleções de monitoramentos que rastreiam atividades no ambiente do McAfee ePO.

Dashboards padrão e monitores

O módulo fornece dashboards e monitores padrão. Dependendo de suas permissões, você pode usá-los comoestão, modificá-los para adicionar ou remover monitores ou criar dashboards personalizados usando o McAfeeePO.

A Proteção adaptável contra ameaças inclui os dashboards predefinidos a seguir.

Dashboard Monitorar Descrição

Endpoint Security: Eventosimpostos da Proteção adaptávelcontra ameaças

Proteção adaptável contra ameaças doEndpoint Security: Limpar eventos dosúltimos 30 dias

Eventos de ações que foram detectadase impostas com base na política daProteção adaptável contra ameaças.

Proteção adaptável contra ameaças doEndpoint Security: Bloquear eventosdos últimos 30 dias

Proteção adaptável contra ameaças doEndpoint Security: Permitir eventosdos últimos 30 dias

Proteção adaptável contra ameaças doEndpoint Security: Limpar eventos portipo de evento

Proteção adaptável contra ameaças doEndpoint Security: Bloquear eventospor tipo de evento

Proteção adaptável contra ameaças doEndpoint Security: Permitir eventospor tipo de evento

Endpoint Security: Eventosobservados pela Proteçãoadaptável contra ameaças

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação limpos dos últimos 30 dias

Eventos, como Bloquearia, para açõesque seriam executadas se as ações daProteção adaptável contra ameaçasfossem impostas.

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação bloqueados dos últimos 30dias

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação permitidos dos últimos 30dias

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação limpos por tipo de evento

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação bloqueados por tipo deevento

Proteção adaptável contra ameaças doEndpoint Security: Eventos deobservação permitidos por tipo deevento

Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePODashboards, monitores e Proteção adaptável contra ameaças 4


Dashboard Monitorar Descrição

Endpoint Security: Eventos dedetecção do Real Protect daProteção adaptável contraameaças

Proteção adaptável contra ameaças doEndpoint Security: Eventos de detecçãodo Real Protect das últimas 24 horas

Eventos para detecções de ameaças eações executadas pelo mecanismo devarredura do Real Protect.

Proteção adaptável contra ameaças doEndpoint Security: Eventos de detecçãodo Real Protect dos últimos 7 dias

Proteção adaptável contra ameaças doEndpoint Security: Eventos de detecçãodo Real Protect dos últimos 30 dias

Proteção adaptável contra ameaças doEndpoint Security: Eventos de detecçãodo Real Protect do último trimestre

Dashboards personalizados

Dependendo das suas permissões, você pode criar dashboards personalizados e acrescentar monitoresusando consultas do Endpoint Security padrão.

Para obter informações sobre dashboards, consulte a documentação do McAfee ePO.

Consulte também Criação da prevelência de arquivo por meio do modo de observação na página 22Uso de conjuntos de permissões na página 25

Consultas, respostas e Proteção adaptável contra ameaçasUse as consultas para recuperar informações detalhadas sobre o status dos seus sistemas gerenciados e sobreameaças no seu ambiente. Você pode exportar, fazer download, combinar consultas em relatórios e usar asconsultas como monitores de dashboard.

Consultas são perguntas que você faz ao McAfee ePO, que responde na forma de gráficos e tabelas. Relatóriospermitem que você junte uma ou mais consultas em um único documento PDF, para acesso fora do McAfeeePO.

Informações semelhantes estão disponíveis ao acessar os logs de atividades do Cliente do Endpoint Securityem sistemas individuais.

Você pode exibir dados de consultas somente de recursos para os quais têm permissão. Por exemplo, se suaspermissões concederem acesso a uma localização específica na Árvore de sistemas, suas consultas retornarãodados somente dessa localização.

Consultas padrão

O módulo adiciona consultas padrão a Grupos McAfee. Dependendo das suas permissões, você pode usá-lascomo estão, modificá-las ou criar consultas personalizadas com base em eventos e propriedades no banco dedados do McAfee ePO.

• Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos por tipo de evento

• Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos por regra (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Permitir eventos dos últimos 30 dias

• Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos por tipo de evento

• Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos por regra (10 principais)

4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOConsultas, respostas e Proteção adaptável contra ameaças


• Proteção adaptável contra ameaças do Endpoint Security: Bloquear eventos dos últimos 30 dias

• Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos por tipo de evento

• Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos por regra (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Limpar eventos dos últimos 30 dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos por arquivo (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos por sistema (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos por tipo deevento

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos por regra (10principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação permitidos dos últimos 30dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados por tipo deevento

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados por regra (10principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação bloqueados dos últimos30 dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos por tipo de evento

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos por regra (10principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação limpos dos últimos 30dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação por arquivo (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de observação por sistema (10 principais)

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos30 dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect dos últimos7 dias

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect do últimotrimestre

• Proteção adaptável contra ameaças do Endpoint Security: Eventos de detecção do Real Protect das últimas24 horas

Consultas personalizadas

O módulo adiciona propriedades padrão ao grupo de recursos do Endpoint Security. Você pode usar essaspropriedades para criar consultas personalizadas.

Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOConsultas, respostas e Proteção adaptável contra ameaças 4


Grupo derecursos

Tipo de resultado Propriedade (Coluna) Propriedade (Coluna)

EndpointSecurity

Hotfix da ATP Data do conteúdo do RealProtect

Versão de patch da ATP Versão do conteúdo do RealProtect

Status da conexão Data do mecanismo do RealProtect

Aplicativos confinados Versão do mecanismo doReal Protect

É um sistema operacionalcompatível

Assinaturas no Extra.DAT

Status da licença

Propriedades da Inteligênciacontra ameaças do EndpointSecurity

Versão do DAT Versão do produto

Versão Hotfix/Patch

Eventos Eventos da Proteção adaptávelcontra ameaças

Equilibrar a segurança para Hash de MD5 do arquivo

Criador da empresa docertificado

Reputação de arquivos

Hash do certificado Hash de SHA1 do arquivo

Nome do certificado Tipo de objeto

Hash de chave pública docertificado

Nível de sensibilidade davarredura do Real Protect

Versão do conteúdo ID da regra

Tipo de detecção Comentários do aviso para ousuário

Criador da empresa doarquivo

Regras da Proteção adaptávelcontra ameaças

Descrição Nome da regra

Descrição longa

Sistemas da plataforma doEndpoint Security

Registro em log dedepuração da Proteçãoadaptável contra ameaçasativado

Nível de filtro de eventos daProteção adaptável contraameaças

Para obter informações sobre consultas e relatórios, consulte a documentação do McAfee ePO.

Consulte também Criação da prevelência de arquivo por meio do modo de observação na página 22Uso de conjuntos de permissões na página 25

Tarefas do servidor e Proteção adaptável contra ameaçasAutomatize o gerenciamento ou manutenção do servidor usando as tarefas do servidor.

Tarefas do servidor são tarefas de manutenção ou gerenciamento agendadas que você executa no servidorMcAfee ePO. As tarefas do servidor permitem que você agende e automatize tarefas repetitivas. Use tarefas doservidor para monitorar o servidor e o software.

4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOTarefas do servidor e Proteção adaptável contra ameaças


Dependendo de suas permissões, você pode usar tarefas padrão do servidor como estão, editá-las ou criarnovas tarefas do servidor usando o McAfee ePO.

Tarefas do servidor padrão

A Proteção adaptável contra ameaças não fornece tarefas do servidor padrão. É possível usar tarefas padrão doservidor do McAfee ePO para gerenciar a Prevenção contra ameaças.

Tarefas personalizadas do servidor

Para criar uma tarefa personalizada do servidor da Prevenção contra ameaças, execute o Construtor de tarefasdo servidor e selecione na lista suspensa Ação.

Tarefas do servidor Descrição

Pull de repositório Recupera os pacotes do site de origem e os coloca no Repositório mestre.Selecione o Conteúdo AMCore como um tipo de pacote para recuperarautomaticamente as atualizações de conteúdo.

Executar consulta Executa consultas padrão em uma data e um agendamento específicos.

Limpar log de eventos deameaça

Limpa logs de eventos de ameaça com base em uma consulta.

Exportar políticas Baixa um arquivo XML que contém a política associada.

Exportar consultas Cria um arquivo de saída de consulta, que pode ser salvo ou enviado por e-mail.

Acumular dados Acumula dados do sistema ou dos eventos de vários servidores ao mesmo tempo.Selecione Eventos de ameaça acumulados do Endpoint Security como Tipo de dados.

Para obter informações sobre tarefas de servidor, consulte a documentação do McAfee ePO.

Consulte também Uso de conjuntos de permissões na página 25Eventos, respostas e Proteção adaptável contra ameaças na página 44Acumule dados de evento ou sistemas do Endpoint Security na página 43

Acumule dados de evento ou sistemas do Endpoint SecurityCompile dados de vários servidores ao mesmo tempo usando as tarefas de servidor do McAfee ePO Acumulardados.

Tarefa

1 Selecione Menu | Automação | Tarefas do servidor, e clique em Nova tarefa.

2 Na página Descrição, digite um nome e descrição para a tarefa, selecione se deseja ativá-la e clique emAvançar.

3 Clique em Ações e selecione Acumular dados.

4 Na lista suspensa Acumular dados de:, selecione uma opção:

• Todos os servidores registrados

• Servidores registrados selecionados — selecione os servidores que deseja alterar e clique em OK.

5 Para acumular dados do sistema:

a Para Tipo de dados, selecione Sistemas gerenciados.

b Selecione o link Outros tipos: Configurar e os tipos de Endpoint Security que você deseja incluir.

Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOTarefas do servidor e Proteção adaptável contra ameaças 4


6 Para acumular dados de evento:

a Clique no botão + no final do cabeçalho da tabela para adicionar outro tipo de dados. Depois, selecioneEventos de ameaça.

b Clique em Outros tipos: Configurar e selecione os tipos de Endpoint Security que você deseja incluir.

7 Agende a tarefa e clique em Avançar.

8 Revise as configurações e clique em Salvar.

Consulte também Eventos, respostas e Proteção adaptável contra ameaças na página 44

Eventos, respostas e Proteção adaptável contra ameaçasConfigure as Respostas automáticas para responder a eventos de ameaças.

O Log de eventos de ameaça contém todos os eventos de ameaça que o McAfee ePO recebe dos sistemasgerenciados.

No McAfee ePO, você pode definir quais eventos são encaminhados para o servidor do McAfee ePO. Para exibira lista completa de eventos no McAfee ePO, selecioneMenu | Configuração | Configurações do servidor, selecioneFiltragem de Eventos e, em seguida, clique em Editar.

Defina uma tarefa do servidor Limpar log de eventos de ameaça para limpar o Log de eventos de ameaçaperiodicamente.

Para obter mais informações sobre as Respostas automáticas e sobre como trabalhar com o Log de eventos deameaça, consulte a ajuda do McAfee ePO.

Consulte também Criação da prevelência de arquivo por meio do modo de observação na página 22Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças na página 55Tarefas do servidor e Proteção adaptável contra ameaças na página 42

4 Monitorar as atividades da Proteção adaptável contra ameaças com o McAfee ePOEventos, respostas e Proteção adaptável contra ameaças


5 Usar a Proteção adaptável contra ameaças emum sistema cliente

Conteúdo Responder a uma solicitação de reputação de arquivo Desativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee Verificar status da conexão

Responder a uma solicitação de reputação de arquivoQuando um arquivo com uma reputação específica tenta ser executado no sistema, a Proteção adaptávelcontra ameaças pode solicitar sua autorização para continuar. O aviso é exibido somente quando a Proteçãoadaptável contra ameaças está instalada e configurada para solicitar.

Proteção adaptável contra ameaças depende do ícone da bandeja do sistema da McAfee para exibir avisos. Nossistemas acessados somente por RDP, o ícone da bandeja de sistema não inicia e os avisos não são exibidos.Para solucionar esse problema, adicione o UpdaterUI.exe ao script de acesso.

O administrador configura o limite de reputação que determina em qual momento a solicitação deve serexibida. Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicitaráautorização para todos os arquivos com reputação desconhecida ou inferior.

Se você não selecionar uma opção, a Proteção adaptável contra ameaças realizará a ação padrão configuradapelo administrador.

As ações de aviso, tempo limite e padrão dependem da configuração da Proteção adaptável contra ameaças.

No Windows 8 e 10, use as notificações do sistema: mensagens exibidas em pop-up que notificam sobre alertas eavisos. Clique na notificação do sistema para exibir a notificação no modo área de trabalho.

Tarefa

1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador.

Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir ou bloquear oarquivo no sistema.

5


2 Clique em Permitir ou Bloquear.

Permitir Permite o arquivo.

Bloquear Bloqueia o arquivo no sistema.

Para instruir a Proteção adaptável contra ameaças a não solicitar o arquivo no futuro, selecione Lembrar-medesta decisão.

A Proteção adaptável contra ameaças executará ações com base em sua escolha ou na ação padrão e fechará ajanela de aviso.

Consulte também Como a Proteção adaptável contra ameaças funciona na página 10Como a reputação é determinada na página 13Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53Como as reputações de arquivo e de certificado controlam o acesso na página 13

Desativar mecanismos de varredura do Endpoint Security na bandeja dosistema da McAfee

Se configurado, os usuários podem reduzir problemas de desempenho ao desativar os mecanismos devarredura do Endpoint Security temporariamente no ícone da bandeja do sistema da McAfee. Os mecanismosde varredura são reativados na imposição de política seguinte, de acordo com as configurações da política.

Esta opção pode não estar disponível, dependendo da definição das configurações.

Tarefa

1 Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar osmecanismos de varredura do Endpoint Security no menu Configurações rápidas.

2 Para reativar os mecanismos de varredura, faça uma das opções a seguir:

• Aguarde até a próxima imposição de política.

• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Monitor destatus do McAfee Agent. Em Monitor do McAfee Agent, clique em Impor políticas.

Consulte também Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53

Verificar status da conexãoPara determinar se a Proteção adaptável contra ameaças no sistema cliente obtém reputações de arquivos doservidor TIE ou do McAfee GTI, verifique a página Cliente do Endpoint Security do Cliente do Endpoint Security.

Tarefa

1 Abra o Cliente do Endpoint Security.

2 No menu Ação , selecione Sobre.

3 Clique em Proteção adaptável contra ameaças à esquerda.

5 Usar a Proteção adaptável contra ameaças em um sistema clienteDesativar mecanismos de varredura do Endpoint Security na bandeja do sistema da McAfee


O campo Status da conexão indica uma das seguintes opções para Proteção adaptável contra ameaças:

• Conectividade do Threat Intelligence — Conectado ao servidor TIE para informações de reputação em nívelempresarial.

• Conectividade do McAfee GTI somente — Conectado ao McAfee GTI para informações de reputação emnível global.

• Desconectado — Não conectado ao servidor TIE ou ao McAfee GTI. A Proteção adaptável contra ameaçasdetermina a reputação do arquivo usando informações do sistema local.

Consulte também Como a Proteção adaptável contra ameaças funciona na página 10Como a varredura do Real Protect monitora a atividade na página 19Como a reputação é determinada na página 13

Usar a Proteção adaptável contra ameaças em um sistema clienteVerificar status da conexão 5


5 Usar a Proteção adaptável contra ameaças em um sistema clienteVerificar status da conexão


6 Gerenciar a Proteção adaptável contraameaças em um sistema cliente

Conteúdo Carregar um arquivo Extra.DAT em um sistema de cliente Confinamento dinâmico de aplicativos Configurar a Proteção adaptável contra ameaças em um sistema cliente Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente

Carregar um arquivo Extra.DAT em um sistema de clienteFaça download do arquivo Extra.DATA e use o Cliente do Endpoint Security para carregá-lo.

Antes de iniciarConfigure o modo de interface do Cliente do Endpoint Security como Acesso total ou entre comoadministrador.

Tarefa1 Abra o Cliente do Endpoint Security.

2 No menu Ação do , selecione Carregar Extra.DAT.

3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download, depoisclique em Abrir.

4 Clique em Aplicar.

As novas detecções do Extra.DAT são ativadas imediatamente.

Consulte também Como os arquivos de conteúdo funcionam na página 18

Confinamento dinâmico de aplicativosConfinamento dinâmico de aplicativos permite que você determine que aplicativos com reputações específicassejam executados em um contêiner. Os aplicativos confinados não têm permissão para executar certas ações,conforme especificado pelas regras de confinamento.

Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamento dinâmicode aplicativos execute o aplicativo em um contêiner.

6


Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros, permitindoque eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações que eles podem executar.Os usuários podem usar os aplicativos, mas eles poderão não funcionar conforme o esperado se oConfinamento dinâmico de aplicativos bloquear determinadas ações. Quando você determina que umaplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças do Endpoint Security ou oservidor TIE para permitir que ele seja executado normalmente.

Para usar Confinamento dinâmico de aplicativos:

1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar oConfinamento dinâmico de aplicativos nas configurações de Opções.

2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações de Confinamentodinâmico de aplicativos.

Ativar o limite do gatilho do Confinamento dinâmico de aplicativos emum sistema clienteCom o Confinamento dinâmico de aplicativos você pode especificar que os aplicativos com reputaçõesespecíficas sejam executados em um contêiner, limitando as ações que eles podem executar. Ativa a imposiçãode ação do recurso e define o limite de reputação para conter os aplicativos.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou vocêestá conectado como administrador.


2 Clique em Proteção adaptável contra ameaças na página principal de Status.

Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças na páginaConfigurações.


4 Clique em Opções.

5 Verifique se a Proteção adaptável contra ameaças está ativada.

6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir.

7 Especifique o limite de reputação no qual confinar os aplicativos.

• Pode ser confiável

• Desconhecido (Padrão para o grupo de regras Segurança)

• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)

• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)

• Malicioso conhecido

O limite de reputação do Confinamento dinâmico de aplicativos deve ser acima dos limites de bloqueio elimpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite doConfinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou acima.


6 Gerenciar a Proteção adaptável contra ameaças em um sistema clienteConfinamento dinâmico de aplicativos


Consulte também Configurar a Proteção adaptável contra ameaças em um sistema cliente na página 53

Configuração de regras de confinamento definidas pela McAfee em umsistema clienteMcAfee bloqueiam ou registram em log as ações que aplicativos confinados podem executar. Você pode alteraras configurações de bloqueio e relatório, mas não pode alterar nem excluir essas regras.


Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticasrecomendadas para quando definir uma regra para relatar ou bloquear, consulte KB87843.





4 Clique em Confinamento dinâmico de aplicativos.

5 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambas para a regra.

• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.

• Para desativar a regra, desmarque Bloquear e Relatar.

6 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico de aplicativos.

Os processos na lista de Exclusões são executados normalmente (e não confinados).


Consulte também Como a Proteção adaptável contra ameaças funciona na página 10Como funciona o Confinamento dinâmico de aplicativos na página 20

Gerenciar aplicativos confinados em um sistema clienteQuando o Confinamento dinâmico de aplicativos contiver um aplicativo confiável, você poderá excluí-lo doconfinamento usando o Cliente do Endpoint Security.


A exclusão do aplicativo o libera, o remove de Aplicativos confinados e o adiciona a Exclusões, impedindo queele seja confinado no futuro.

Gerenciar a Proteção adaptável contra ameaças em um sistema clienteConfinamento dinâmico de aplicativos 6








5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir.

6 Na página Adicionar executável, configure as propriedades do executável e clique em Salvar.

O aplicativo será exibido na lista Exclusões. Ele permanecerá na lista Aplicativos confinados até que vocêclique em Aplicar. Ao retornar à página Configurações, o aplicativo será exibido somente na lista Exclusões.


Consulte também Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente napágina 52

Impedir o Confinamento dinâmico de aplicativos de confinar programasconfiáveis em um sistema clienteSe um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamento dinâmico deaplicativos.






5 Na seção Exclusões, clique em Adicionar para adicionar processos a serem excluídos de todas as regras.

6 Na página Adicionar executável, configure as propriedades do executável.

7 Clique em Salvar e em Aplicar para salvar as configurações.

Consulte também Configuração de regras de confinamento definidas pela McAfee em um sistema cliente na página 51Gerenciar aplicativos confinados em um sistema cliente na página 51Exclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente napágina 54

6 Gerenciar a Proteção adaptável contra ameaças em um sistema clienteConfinamento dinâmico de aplicativos


Obter o nome distinto do signatário para excluir executáveis em um sistema clienteQuando você ativa uma verificação de assinatura digital e exclui somente arquivos assinados por um signatáriode processo especificado, o nome distinto do signatário (SDN) é necessário.

Tarefa1 Clique com o botão direito do mouse em um executável e selecione Propriedades.

2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.

3 Na guia Geral, clique em Exibir certificado.

4 Na guia Detalhes, selecione o campo Assunto.

O SDN será exibido.

Por exemplo, o Firefox possui este SDN:

CN = Mozilla Corporation

OU = Engenharia de liberação

O = Mozilla Corporation

L = Mountain View

S = Califórnia

C = EUA

Os campos SDN serão exibidos na ordem inversa do formato necessário.

5 Copie o conteúdo do campo Assunto para um local temporário.

6 Edite as informações para reverter a ordem dos elementos, remover quebras de linha e separar oselementos com vírgulas.

Por exemplo, o formato exigido para SDN é:

C = US, S = CALIFÓRNIA, L = MOUNTAIN VIEW, O = MOZILLA CORPORATION, OU = ENGENHARIA DELIBERAÇÃO, CN = MOZILLA CORPORATION

7 Ao criar exclusões, copie e cole os detalhes do certificado como uma única linha de texto no campo Assinadopor.

Consulte também Eventos, respostas e Proteção adaptável contra ameaças na página 44

Configurar a Proteção adaptável contra ameaças em um sistema clienteProteção adaptável contra ameaças determinam quando um arquivo ou um certificado tem permissão deexecução, se está confinado, limpo, bloqueado ou se os usuários são solicitados a executar ações.


As alterações de políticas no McAfee ePO podem sobrescrever as alterações na página Configurações.

Gerenciar a Proteção adaptável contra ameaças em um sistema clienteConfigurar a Proteção adaptável contra ameaças em um sistema cliente 6


Tarefa





4 Clique em Opções.

5 Defina as configurações e clique em Aplicar.

Consulte também Ativar o limite do gatilho do Confinamento dinâmico de aplicativos em um sistema cliente na página 50Como a varredura do Real Protect monitora a atividade na página 19Como as reputações de arquivo e de certificado controlam o acesso na página 13

Exclusão de processos da varredura da Proteção adaptável contraameaças em um sistema cliente

É possível excluir processos da varredura da Proteção adaptável contra ameaças adicionando-os àsconfigurações da Prevenção contra ameaças e da Varredura ao acessar para os tipos de processo Padrão.


Prática recomendada: para obter informações sobre como solucionar problemas de aplicativos de terceirosbloqueados, consulte KB88482.

Para uma lista de executáveis varridos pela Proteção adaptável contra ameaças, verifique o log de depuração(AdvancedThreatProtection_Debug.log) da Proteção adaptável contra ameaças.

Tarefa


2 Clique em Prevenção contra ameaças na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na página Configurações.


4 Clique em Varredura ao acessar.

5 Selecione Definir configurações diferentes para processos de alto risco e baixo risco.

6 Na seção Tipos de processo, selecione a guia Padrão. Em seguida, na seção Exclusões, insira os processos aserem excluídos da varredura da Proteção adaptável contra ameaças.


Consulte também Impedir o Confinamento dinâmico de aplicativos de confinar programas confiáveis em um sistema cliente napágina 52

6 Gerenciar a Proteção adaptável contra ameaças em um sistema clienteExclusão de processos da varredura da Proteção adaptável contra ameaças em um sistema cliente



7 Monitorar as atividades da Proteção adaptávelcontra ameaças em um sistema cliente

Conteúdo Verificação de atividade recente no Log de eventos Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças

Verificação de atividade recente no Log de eventosO Log de eventos no Cliente do Endpoint Security exibe um registro de eventos que ocorrem em sistemasprotegidos pela McAfee.


2 Clique em Log de eventos no lado esquerdo da página.

A página mostra qualquer evento que o Endpoint Security registrou em log no sistema nos últimos 30 dias.

Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá uma mensagemde erro de comunicação. Neste caso, reinicialize o sistema para exibir o Log de eventos.

3 Selecione um evento no painel superior para exibir os detalhes no painel inferior.

Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entre os painéis.

4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos.

5 Navegue pelo Log de eventos.

Por padrão, o Log de eventos exibe 20 eventos por página. Para exibir mais eventos por página, selecioneuma opção na lista suspensa de Eventos por página.

Consulte também Nomes e localização dos arquivos de log da Proteção adaptável contra ameaças na página 55

Nomes e localização dos arquivos de log da Proteção adaptável contraameaças

Os arquivos de log, atividades, erros e depuração registram os eventos ocorridos nos sistemas que tenham oEndpoint Security ativado.

Todos os arquivos do log de atividades e depuração são armazenados no seguinte local padrão:

7


%ProgramData%\McAfee\Endpoint Security\Logs

Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado. Todosos módulos colocam o log de erros em um arquivo, o EndpointSecurityPlatform_Errors.log.

A ativação do log de depuração para qualquer módulo também ativa o log de depuração para os recursos domódulo Em Comum, como a Autoproteção.

Tabela 7-1 Arquivos de log

Módulo Recurso ou tecnologia Nome do arquivo

Proteção adaptável contraameaças

AdvancedThreatProtection_Activity.log

AdvancedThreatProtection_Debug.log

Confinamento dinâmico deaplicativos

DynamicApplicationContainment_Activity.log

DynamicApplicationContainment_Debug.log

Em Comum Erros EndpointSecurityPlatform_Errors.logContém logs de erros para todos os módulos.

Por padrão, os arquivos de log de instalação são armazenados aqui:

TEMP\McAfeeLogs, que é a pasta TEMP do sistema do Windows.

Consulte também Verificação de atividade recente no Log de eventos na página 55

7 Monitorar as atividades da Proteção adaptável contra ameaças em um sistema clienteNomes e localização dos arquivos de log da Proteção adaptável contra ameaças


guia de produto do mcafee endpoint security 10.6.0 ... · o endpoint security permite a...

Documents