O que são incidentes do Netskope?
Resumen: Os incidentes do Netskope podem ser analisados seguindo estas instruções.
Síntomas
Um incidente do Netskope é qualquer ação que não se enquadre nas operações normais, conforme descrito por um administrador do Netskope, seja por meio de perfis personalizados ou pré-criados. O Netskope divide esses incidentes em incidentes de DLP (Data Loss Prevention, Prevenção de Perda de Dados), anomalias, credenciais comprometidas ou arquivos que foram colocados em quarentena ou em um status de retenção legal.
Produtos afetados:
Netskope
Causa
Não aplicável.
Resolución
Para acessar as páginas Incidents:
- Em um navegador da Web, vá até o console da Web do Netskope:
- Data center nos Estados Unidos: https://[TENANT].goskope.com/
- Data center na União Europeia: https://[TENANT].eu.goskope.com/
- Data center em Frankfurt: https://[TENANT].de.goskope.com/
- Faça login no console da Web do Netskope.
- Clique em Incidents.
- Clique na página Incidents apropriada.
Para obter mais informações sobre os incidentes, clique na opção adequada.
A página DLP contém informações sobre incidentes de DLP em seu ambiente.
A página DLP apresenta essas informações sobre cada incidente de DLP:
- Object: Mostra o arquivo ou objeto que acionou a violação. Clicando no objeto abre uma página com mais detalhes, em que é possível alterar o status, atribuir incidentes, alterar a gravidade e executar ações.
- Application: Mostra o aplicativo que acionou a violação.
- Exposure: Mostra arquivos que são categorizados por exposição, como Public — Indexed, Public — Unlisted, Public, Private, Externally Shared, Internally Shared e Enterprise Shared.
- Violation: Mostra o número de violações dentro do arquivo.
- Last Action: Mostra a ação que foi tomada mais recentemente.
- Status: Mostra o estado do evento. Há três categorias de status: New, In Progress e Resolved.
- Assignee: Mostra quem tem a tarefa de monitorar o evento.
- Gravidade: Mostra o nível de severidade. Há quatro níveis: Low, Medium, High e Critical.
- Timestamp: Mostra a data e a hora da violação.
A página Anomalies apresenta informações sobre os vários tipos de anomalias detectadas.
Há três categorias na página Anomalies. Para obter mais informações, clique na categoria adequada.
A página Summary mostra as anomalias totais, anomalias por nível de risco e dimensões anômalas (porcentagem por categoria). Há também tabelas que mostram anomalias por perfis e usuários. Um campo de consulta pode ser usado para pesquisar anomalias específicas. A página Summary também contém filtros para anomalias por nível de risco, todos ou novos ou com base em um perfil específico.
Clique em By Profile para visualizar o número de anomalias detectadas para cada tipo, juntamente com o último registro de data e hora. Somente os perfis de anomalias detectadas são exibidos.
Clique em By User para visualizar quantas anomalias cada usuário tem, juntamente com a distribuição do nível de risco. Clique em um item para abrir a página de detalhes para obter informações específicas sobre perfis ou usuários.
A página Details mostra mais detalhes sobre as anomalias. Todas as anomalias ou anomalias específicas podem ser reconhecidas nesta página. Um campo de consulta pode ser usado para pesquisar anomalias específicas. A página Details também contém filtros para anomalias por nível de risco, todas ou novas anomalias ou anomalias com base em um perfil específico.
As informações encontradas na página Details incluem:
- Nível de risco
- Endereço de e-mail do usuário
- Tipo de perfil
- Descrição
- Dimensão
- Carimbos de data e hora
Clique em um item para visualizar as informações detalhadas de risco, aplicativo e usuário. Para remover uma ou mais anomalias, marque a caixa de seleção ao lado de um item e clique em Acknowledge ou clique em Acknowledge All.
A página Configure permite habilitar ou desabilitar o rastreamento de perfis de anomalia e configurar como as anomalias são monitoradas.
Para configurar um perfil, clique no ícone de lápis na coluna Configuration. Para configurar os aplicativos, clique em Select Applications. Clique em Apply Changes para salvar suas configurações.
Perfis disponíveis:
| Perfis | Uso |
|---|---|
| Aplicações | Configure os aplicativos nos quais deseja executar a detecção de anomalias. |
| Proximity Event | Configure a distância (em milhas) entre dois locais ou o tempo (em horas), para quando a mudança de localização ocorrer. Além disso, você pode permitir a listagem de locais da rede confiáveis, permitindo que você identifique suas redes confiáveis e ajuste a detecção de anomalias de proximidade. |
| Rare Event | Configure um período para um evento raro em número de dias. |
| Failed Logins | Configure a contagem de log-in com falha e o intervalo de tempo. |
| Bulk Download of Files | Configure a contagem de arquivos que são baixados e o intervalo de tempo. |
| Bulk Upload of Files | Configure a contagem de arquivos que são carregados e o intervalo de tempo. |
| Bulk Files Deleted | Configure a contagem de arquivos que são excluídos e o intervalo de tempo. |
| Data Exfiltration | Ative ou desative a transferência ou recuperação de dados de um computador ou servidor. |
| Shared Credentials | Configure a permissão ou não de credenciais compartilhadas usando intervalos de tempo. |
O painel de indicadores Compromised Credentials informa sobre credenciais comprometidas conhecidas para as contas usadas por seus funcionários.
O painel de indicadores Compromised Credentials inclui:
- Número total de usuários com credenciais comprometidas.
- Usuários identificados e detectados.
- Referências de mídia de violações de dados em formato de tabela e gráfico.
- O endereço de e-mail de um usuário comprometido.
- Status da fonte de dados.
- A origem das informações.
- A data em que as credenciais foram comprometidas.
Para remover uma ou mais credenciais comprometidas, habilite a caixa de seleção ao lado de um item e clique em Acknowledge ou Acknowledge All.
A página Malware apresenta informações sobre malware encontrado no ambiente.
A página Malware inclui:
- Malware: O número de ataques de malware detectados pela verificação.
- Users Affected: O número de usuários que têm arquivos afetados por um ataque de malware específico.
- Files Affected: O número de arquivos em quarentena ou que acionaram um alerta.
- Malware Name: O nome do malware detectado.
- Malware Type: O tipo de malware detectado.
- Gravidade: A gravidade atribuída ao malware.
- Last Action Date: A data em que o primeiro arquivo foi detectado pela verificação e uma ação foi tomada com base no perfil de quarentena selecionado.
Clique em um item na página para ver detalhes mais abrangentes ou colocar o arquivo em quarentena, restaurá-lo ou marcá-lo como seguro.
A página Malicious Sites permite que você veja para quais sites potencialmente mal-intencionados os endpoints estão indo.
As informações mostradas nesta página incluem:
- Sites Allowed: Sites que seus usuários visitaram e não foram bloqueados.
- Total Malicious Sites: O número total de sites mal-intencionados visitados.
- Users Allowed: O número de usuários que não estão impedidos de visitar um site mal-intencionado.
- Site: O endereço IP ou URL do site mal-intencionado.
- Gravidade: A classificação de gravidade do site mal-intencionado.
- Categoria: O tipo de site mal-intencionado detectado.
- Site Destination: A localização de onde o malware foi baixado.
A página Quarantine mostra uma lista de arquivos em quarentena.
A página Quarantine contém as seguintes informações sobre o arquivo em quarentena:
- Data: A data em que o arquivo foi colocado em quarentena.
- File Name: O nome do arquivo no momento da quarentena.
- Original File Name: O nome original do arquivo em quarentena.
- Policy Name: O nome da política aplicada que faz com que o arquivo seja colocado em quarentena.
- Violation: A violação da política que faz com que o arquivo seja colocado em quarentena.
- File Owner: O proprietário do arquivo em quarentena.
- Detection Method: O método usado para detectar a violação.
Você pode executar ações em cada um dos arquivos em quarentena. Marque a caixa de seleção ao lado de um arquivo em quarentena e, na parte inferior direita, clique em:
- Contact Owners: Você pode entrar em contato com o proprietário do arquivo em quarentena.
- Download Files: Você pode fazer download do arquivo com marca de exclusão.
- Take Action: Você pode restaurar ou bloquear o arquivo com marca de exclusão.
A página Legal Hold contém uma lista de arquivos que foram colocados em retenção legal.
A página Legal Hold contém as seguintes as informações sobre o arquivo colocado em retenção legal:
- Data: A data em que o arquivo foi colocado em retenção legal.
- File Name: O nome do arquivo no momento em que foi colocado em retenção legal.
- Original File Name: O nome original do arquivo colocado em retenção legal.
- Policy Name: O nome da política aplicada que faz com que o arquivo seja colocado em retenção legal.
- Violation: A violação da política que faz com que o arquivo seja colocado em retenção legal.
- File Owner: O proprietário do arquivo em retenção legal.
- Detection Method: O método usado para detectar a violação.
Você pode executar ações em cada um dos arquivos em retenção legal. Marque a caixa de seleção ao lado de um arquivo em retenção legal e, na parte inferior direita, clique em:
- Contact Owners: Desta forma, o proprietário do arquivo é contatado.
- Download Files: Isso faz o download do arquivo.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.