O Managed Threat Hunting (MTH) desenvolvido pela ThreatDown é um serviço baseado em nuvem projetado para detectar possíveis ataques correlacionados com inteligência de ameaças, respostas automatizadas e orquestradas e um indicador de resumo de comprometimento e escalonamento por meio de uma equipe de pessoal de segurança.
Este artigo se aplica a todos os clientes MTH.
O TeamViewer confirmará por meio de um pop-up assim que o serviço for ativado em sua conta. Selecione o botão Configurar MTH para prosseguir para a configuração inicial.
Configure os contatos principais, de backup e alternativos na próxima tela. Selecione o menu suspenso do contato principal e selecione o membro desejado do perfil da sua empresa. Se não for inserido automaticamente, insira o número de telefone principal desse contato.
Depois de concluído, clique em Salvar no canto superior direito da tela. Uma notificação pop-up indicará que a Busca Gerenciada de Ameaças foi ativada com êxito.
O Portal Managed Threat Hunting (Portal MTH) gerencia todos os aspectos do serviço. Ele pode ser acessado selecionando o botão Nebula, que pode ser encontrado nas configurações ou na guia de detecções. Ao abrir o portal da Nebula, selecione Portal MTH no canto superior direito.
Todos os relatórios sobre ameaças detectadas pelo MTH podem ser vistos no Portal MTH. Para navegar para as outras seções do portal, use o menu no canto superior esquerdo.
O painel contém uma visão geral rápida de todos os dispositivos e ameaças, incluindo uma visão geral dos relatórios que variam de um mês a mais. Isso também fornece um status de todos os casos, alertas e incidentes no Resumo do Ambiente.
A pasta de trabalho é uma visão geral simples de todos os casos em que sua assistência é necessária para ações adicionais. Além disso, os relatórios fornecidos anteriormente sobre todas as ameaças são mostrados aqui.
O MTH requer configurações específicas do EDR para operar com êxito. Essas configurações são encontradas nas configurações de política do Endpoint Protection. Para acessá-lo, navegue até as Configurações do administrador e selecione Políticas em Gerenciamento de dispositivos. Se você já tiver uma política criada, poderá editá-la; caso contrário, você pode criar uma nova política selecionando Endpoint Protection na lista suspensa de políticas. Certifique-se de que as seguintes configurações estejam ativas no sistema operacional apropriado:
5. Monitoramento de atividades suspeitas.
6. Bloquear endpoint quando isolado.
Configurar todas as notificações necessárias é importante para garantir que você e sua equipe fiquem alertas sobre possíveis ameaças. As informações a seguir referem-se a notificações especificamente para o MTH.
Ao criar uma nova notificação, selecione Atividade de serviços gerenciados.
Recomenda-se que algumas condições sejam adicionadas em relação ao momento em que as notificações são enviadas. Isso garante que seus administradores não fiquem sobrecarregados com mensagens que não exigem sua atenção.
Selecione as opções do campo abaixo para ver seus valores disponíveis:
É igual a:
É igual a:
É igual a:
Na próxima seção, selecione como as notificações devem ser enviadas. Além do e-mail, você pode optar por ser notificado via Slack/Microsoft Teams, Webhook ou o aplicativo ThreatDown Admin.
Na etapa final, a agregação pode ser ativada, reduzindo as notificações recebidas e permitindo mais foco. Isso consolida vários alertas em notificações únicas com base no intervalo e na opção de agrupamento selecionados, juntamente com tipos de atividade, condições e métodos de entrega escolhidos anteriormente.
Selecione Concluir no canto inferior direito para salvar a nova notificação.