Base de conhecimento

Voltar para a visão geral do suporte

O Managed Threat Hunting (MTH) desenvolvido pela ThreatDown é um serviço baseado em nuvem projetado para detectar possíveis ataques correlacionados com inteligência de ameaças, respostas automatizadas e orquestradas e um indicador de resumo de comprometimento e escalonamento por meio de uma equipe de pessoal de segurança.

Este artigo se aplica a todos os clientes MTH.

Recursos da caça gerenciada a ameaças

  • Orientação de busca e correção de ameaças ativas do Malwarebytes Endpoint Detection and Response (EDR) 24x7x365.
  • Pessoal de segurança treinado com experiência em atendimento a clientes de vários tamanhos e verticais.
  • Inteligência artificial de back-end e aprendizado de máquina suportados por um mecanismo de análise proprietário.
  • Plataforma de back-end proprietária baseada em nuvem com fontes de inteligência integradas.
  • Retrospectiva de 31 dias de indicadores críticos de comprometimento (IoCs).
  • Os incidentes são discretamente levantados pelo portal Nebula® ThreatDown.
  • Notificações em camadas orientadas ao cliente com base na gravidade do incidente.

Primeiros passos

O TeamViewer confirmará por meio de um pop-up assim que o serviço for ativado em sua conta. Selecione o botão Configurar MTH para prosseguir para a configuração inicial.

Configure os contatos principais, de backup e alternativos na próxima tela. Selecione o menu suspenso do contato principal e selecione o membro desejado do perfil da sua empresa. Se não for inserido automaticamente, insira o número de telefone principal desse contato.

Observação: Somente o contato principal é obrigatório. Os contatos de backup e alternativos podem ser adicionados de modo opcional.

Depois de concluído, clique em Salvar no canto superior direito da tela. Uma notificação pop-up indicará que a Busca Gerenciada de Ameaças foi ativada com êxito.

Observação: O Endpoint Detection & Response (EDR) deve ser ativado antes de tentar a ativação do MTH. Uma mensagem de erro será exibida se você tentar ativar o complemento MTH antes de ativar o EDR.

Como acessar o Portal MTH

O Portal Managed Threat Hunting (Portal MTH) gerencia todos os aspectos do serviço. Ele pode ser acessado selecionando o botão Nebula, que pode ser encontrado nas configurações ou na guia de detecções. Ao abrir o portal da Nebula, selecione Portal MTH no canto superior direito.

Como acessar o Portal MTH

Portal Managed Threat Hunting (MTH) gerencia todos os aspectos do serviço. Ele pode ser acessado selecionando o botão Nebula, que pode ser encontrado nas configurações ou na aba de detecções. Uma vez no Nebula, selecione Managed Services para ver todos os Cases e Incidents relatados.

Descubra o Portal MTH

O Portal MTH, movido pelo ThreatDown, é o painel de controle para sua licença. Dentro do portal está a aba Managed Services, onde todos os relatórios fornecidos pela MTH podem ser vistos.  

Os Serviços Gerenciados são divididos em duas seções principais:

Visão geral

A guia Visão geral fornece um resumo centralizado e de alto nível dos seus casos de Serviços gerenciados por meio de uma coleção de widgets interativos. Esses widgets são projetados para oferecer insights rápidos sobre a atividade do caso, ajudando os usuários a monitorar e avaliar a postura de segurança do seu ambiente Nebula de forma eficaz. Ao apresentar dados concisos e relevantes, a guia Visão geral serve como um ponto de partida para entender tendências, identificar áreas de preocupação e priorizar ações.

Esta guia é particularmente útil para entender rapidamente a atividade maliciosa no seu ambiente. Ela oferece suporte à filtragem específica de tempo, permitindo que os usuários restrinjam o escopo das informações exibidas a um período específico. Essa funcionalidade facilita a análise de tendências ou a investigação de incidentes dentro de um período de tempo escolhido.

Os seguintes widgets estão disponíveis na guia Visão geral, cada um atendendo a uma finalidade específica:

  1. Casos por Estágio: Este widget fornece uma visão geral da atividade do caso categorizando os casos com base em seu estágio atual no ciclo de vida de resposta a incidentes. Isso ajuda os usuários a rastrear o progresso do caso, como se eles foram abertos recentemente, estão sob investigação ou foram resolvidos.
  2. Casos por Prioridade: Este widget exibe o número de casos abertos agrupados por seu nível de prioridade. Destacar a urgência de cada caso permite que os usuários identifiquem rapidamente casos de alta prioridade que podem exigir atenção imediata, garantindo que problemas críticos sejam resolvidos prontamente.
  3. Principais motivos para fechamento de casos: Este widget identifica os motivos mais comuns para fechamento de casos, conforme determinado por analistas. Resumir essas tendências fornece insights valiosos sobre os fatores recorrentes que impulsionam as resoluções de casos, ajudando as equipes a otimizar suas estratégias de resposta e melhorar os resultados futuros.

Casos

A aba Cases na página Managed Services exibe uma lista de casos abertos e seus detalhes. As seguintes informações estão disponíveis na aba Cases:

  • Alertas: Número de detecções vinculadas ao caso.
  • Analista designado: Analista designado para o caso. 
  • Nome do caso: Detecção (DE) ou Atividade Suspeita (SA) seguido do nome do endpoint e do caminho da detecção.
  • Motivo do encerramento: Motivo pelo qual o analista encerrou o caso.
  • Fechado no momento: O momento em que o caso foi encerrado.
  • Criado em: Hora em que o caso foi aberto.
  • Endpoint: Nome do dispositivo com os alertas.
  • ID: número de identificação do caso.
  • Prioridade: Urgência do caso.
  • Etapa: Fase atual do caso.
  • Status: Caso aberto ou fechado.
  • Atualizado em: Última vez que o caso foi atualizado.

Como visualizar detalhes do caso

Para visualizar os detalhes de qualquer caso MTH, clique no número de ID na coluna ID. Isso produzirá as seguintes informações em uma nova gaveta:

  • Comunicações e História  

A aba Communications & History dentro do slideout de detalhes do caso fornece um registro abrangente de atividades do caso. Isso inclui comunicações entre analistas, instruções detalhadas de remediação e um log de ações tomadas durante a investigação.  

Para refinar as informações exibidas, você pode usar os ícones para filtrar eventos específicos, como comentários, atualizações de status ou outras alterações importantes, garantindo acesso rápido aos detalhes mais relevantes.  

  • Alertas e Artefatos  

Um único caso pode abranger vários alertas, geralmente representando várias atividades maliciosas interconectadas ocorrendo no mesmo endpoint. Esses alertas são agrupados para agilizar a análise e aprimorar o contexto. A guia Alertas e Artefatos permite que você revise os alertas associados e os itens relacionados de um caso. Para uma investigação mais profunda, o botão Ir para detecção ao lado de cada alerta fornece acesso direto à detecção específica ou atividade suspeita vinculada a esse caso. 

Como configurar o MTH para otimizar a proteção de seus endpoints

O MTH requer configurações específicas do EDR para operar com êxito. Essas configurações são encontradas nas configurações de política do Endpoint Protection. Para acessá-lo, navegue até as Configurações do administrador e selecione Políticas em Gerenciamento de dispositivos. Se você já tiver uma política criada, poderá editá-la; caso contrário, você pode criar uma nova política selecionando Endpoint Protection na lista suspensa de políticas. Certifique-se de que as seguintes configurações estejam ativas no sistema operacional apropriado:

  1. Monitoramento de atividades suspeitas.
  2. Monitoramento do sistema operacional do servidor.
  3. Bloquear ponto de extremidade quando isolado.
  4. Reversão de ransomware.

5. Monitoramento de atividades suspeitas.

6. Bloquear endpoint quando isolado.

Como garantir notificações eficientes

Configurar todas as notificações necessárias é importante para garantir que você e sua equipe fiquem alertas sobre possíveis ameaças. As informações a seguir referem-se a notificações especificamente para o MTH.

Observação: As notificações são gerenciadas através do ThreatDown no portal da Nebula.

Ao criar uma nova notificação, selecione Atividade de serviços gerenciados.  

Recomenda-se que algumas condições sejam adicionadas em relação ao momento em que as notificações são enviadas. Isso garante que seus administradores não fiquem sobrecarregados com mensagens que não exigem sua atenção.

Selecione as opções do campo abaixo para ver seus valores disponíveis:

É igual a:

  • Todo
  • Caso criado
  • Caso atualizado
  • Caso encerrado

É igual a:

  • Todo
  • Crítico
  • Alto
  • Média
  • Baixo

É igual a:

  • Verdadeiro
  • Falso

Na próxima seção, selecione como as notificações devem ser enviadas. Além do e-mail, você pode optar por ser notificado via Slack/Microsoft Teams, Webhook ou o aplicativo ThreatDown Admin.

Na etapa final, a agregação pode ser ativada, reduzindo as notificações recebidas e permitindo mais foco. Isso consolida vários alertas em notificações únicas com base no intervalo e na opção de agrupamento selecionados, juntamente com tipos de atividade, condições e métodos de entrega escolhidos anteriormente.

Selecione Concluir no canto inferior direito para salvar a nova notificação.