Escolar Documentos
Profissional Documentos
Cultura Documentos
Objetivos de Aprendizado
Como o próprio nome diz, quer dizer aprendizado de máquina. É a capacidade de poder mudar o seu
comportamento autonomamente com base na sua própria experiencia. Isso é somente possível por conta de um
conjunto de dados já previamente armazenados sobre características ou padrão de alguma coisa, pode ser usado
em diversos vetores da tecnologia. Neste caso, padrões sobre comportamento de vírus ou características deles
ajudam o AV a detectar mesmo os malwares de dia zero.
Como funciona o Machine Learning?
Padrão
comum
Mas por que Machine Learning?
Hoje em dia as ameaças de computadores tem evoluído muito, e simplesmente usar tecnologias que abordam
somente base de assinaturas não vão ser tão efetivas assim, somente 20% a 30% dos virus são detectados pelo
que as fabricantes conhecem.
Proteção por heurística tem seu tempo de validade, ela não procura padrões, ela apenas diz sim ou não baseado
numa característica de um arquivo por si só, mediante a experiencia própria, ela pode não ser suficiente para a
maioria dos vírus de dia zero, porque o padrão ainda não é conhecido.
Machine learning por outro lado usa essa experiência e pode criar novos padrões baseados na predição de um
objeto. Como ele não é estático é mais efetivo na detecção de ameaças novas, nunca antes catalogadas por
nenhum outro parâmetro.
Características do Machine Learning
- Habilidade de extrair características significativas >40,000
- Descompactação – Extrai mais características para a analise do Machine Learning
- Emulação em pré execução – Extraí característica de comportamento
- Reputação de pacote
- Detecção de URL maliciosa – Usa o machine learning para detectar URL maliciosas, ou sites de exploit
quando não há reputação
- Detecção de Phishing e sites fraudulentos
- Proteção contra ameaças elusivas. Detecção de ataques baseado em Script (e.x. PowerShell),
ataques sem arquivo, malware desconhecido
• O monitoramento e a detecção contínuos são facilitados pelo uso de ferramentas analíticas, que identificam
tarefas que podem melhorar o estado geral de segurança desviando ataques comuns e facilitando a
identificação precoce de ataques contínuos - incluindo ameaças internas e externas, além de permitir uma
resposta rápida a ataques detectados.
Como funciona?
O EDR do Bitdefender trabalha com um sensor, que é ativado via politica nas estações de trabalho que
coleta informações constantemente dos Endpoints e as envia para uma analise para a Bitdefender em seus
datacenters, por isso ele somente hoje funciona em Cloud. Feito a analise, ele devolve as informações para
o console de gerenciamento informando incidentes que foram engatilhados por aquele arquivo ou arquivos.
Para que serve?
Através dos incidentes que foram engatilhados, é possível ter uma visão geral de ameaças que tentaram, ou
Que ainda estão execução (por não se tratar de um vírus e sim de um comportamento parecido) e tomar ações
Diferenciadas com o endpoint conforme veremos nos slides a seguir. Para quem deseja saber tudo que se passa
Em sua rede em relação a eventos que não necessariamente desencadearam uma infecção, essa é a ferramenta ideal
Incidentes
Incidentes - EDR
O GravityZone ATS integra a proteção de Endpoint de próxima geração em camadas e a plataforma EDR fácil de usar
para proteger contra as ameaças cibernéticas mais indescritíveis. Ele contém dois componentes principais:
O Sensor EDR, que coleta, processa, e reporta endpoints e dados de comportamento de aplicações.
O Security Analytics, um componente de backend usado para interpretar os metadados coletados pelo sensor EDR.
Incidentes - EDR
A página Incidentes lista eventos de segurança com as seguintes opções de filtragem:
Pontuação de Confiança - Este contexto é baseado nos indicadores de ataque e técnicas MITRE, se aplicável. O intervalo
padrão é definido de 100 a 10.
Status (Aberto, Investigando e Fechado) - Uma vez fechado, um evento de segurança não será mais atualizado.
Indicadores de ataque - Filtre eventos de segurança por indicador de ataque. A opção muda dinamicamente, com base
nos indicadores de ataque encontrados nos eventos de segurança listados.
MITRE Techniques (base de conhecimento MITRE ATT & CK) - Filtre a segurança pela base de conhecimento ATT & CK
do MITRE, se aplicável. As opções mudam dinamicamente, com base nas técnicas encontradas nos eventos de
segurança listados
Filtro de pesquisa - Use o filtro de pesquisa na barra de ação para inserir nomes de arquivos, endereços IP, nomes de
host ou IOCs
Incidentes - EDR
* Clique em Sobre para abrir a Matriz Técnica do MITRE em uma nova guia.
Incidentes - EDR
➢ Ameaças - Este cartão é acionado por pequenos eventos de segurança que podem ser resolvidos facilmente.
➢ Incidentes - Este cartão é acionado por grandes eventos de segurança que exigem sua atenção
Incidentes - EDR
Essa área fornece informações mais detalhadas e ações de correção que você pode executar.
Você pode ver as seguintes informações:
➢ Descrição e tags do evento de segurança.
➢ Mapa de eventos de segurança
➢ Detalhes do Nó
➢ Use as seguintes guias para investigar eventos de segurança:
➢ Resumo
➢ Linha do Tempo
Incidentes - EDR
Resumo
• Na guia Resumo, você pode investigar eventos de segurança e realizar ações. Os eventos de segurança são descritos
resumidamente no início da guia.
• Linha do tempo
• Use a Linha do tempo para visualizar detecções com registro de data e hora em uma ordem cronológica.
• Tomar uma ação
• Reação Rápida - Matar, Quarentena ou instalação de Patch (Se possuir e licença de Gerenciamento de Patch)
• Isolar - isola o terminal da rede, mantendo a comunicação com os serviços do GravityZone.
• Investigar - análise externa através do Virus Total, Sandbox e Google
• Ação de Rede - Adicionar à Lista de Bloqueios e Adicionar Exceção
Incidentes - EDR
➢ Visualizar e editar arquivos bloqueados
➢ Adicione itens à lista de bloqueio com base nos hashes MD5 ou SHA256 para toda a empresa ou destinos específicos.
Incidentes - EDR
A página de pesquisa permite que você passe por eventos passados com base em critérios complexos.
Incidentes - EDR
Para visualizar os eventos em que você está interessado, você deve criar consultas usando a linguagem de consulta
disponível no GravityZone.