O que são incidentes Netskope?
Résumé: Aprenda instruções passo a passo sobre como analisar incidentes do Netskope seguindo estas instruções.
Instructions
Um incidente do Netskope é qualquer ação que não se enquadre nas operações normais, conforme descrito por um administrador do Netskope, seja por meio de perfis personalizados ou pré-criados. O Netskope divide esses incidentes em incidentes de DLP (Data Loss Prevention, Prevenção de Perda de Dados), anomalias, credenciais comprometidas ou arquivos que foram colocados em quarentena ou em um status de retenção legal.
Produtos afetados:
- Netskope
- Em um navegador da Web, vá até o console da Web do Netskope:
- Data center nos Estados Unidos: https://[TENANT].goskope.com/
- Data center na União Europeia: https://[TENANT].eu.goskope.com/
- Data center em Frankfurt: https://[TENANT].de.goskope.com/
Nota: [TENANT] = o nome do grupo de usuários em seu ambiente - Faça login no console da Web do Netskope.
- Clique em Incidents.
- Clique na página Incidents apropriada.
Para obter mais informações sobre os incidentes, clique na opção adequada.
A página DLP contém informações sobre incidentes de DLP em seu ambiente.
A página DLP fornece estas informações sobre cada incidente DLP :
- Objeto: Mostra o arquivo ou objeto que acionou a violação. Clicar no objeto abre uma página com mais detalhes na qual você pode alterar o status, atribuir incidentes, alterar a severidade e executar ações.
- Aplicação: Mostra o aplicativo que acionou a violação.
- Exposição: Mostra arquivos categorizados por exposição, como Público - Indexado, Público - Não Listado, Público, Privado, Compartilhado Externamente, Compartilhado Internamente e Compartilhado Corporativo.
- Violação: Mostra o número de violações dentro do arquivo.
- Última ação: Mostra a ação que foi tomada mais recentemente.
- Situação: Mostra o estado do evento. Há três categorias de status: Novo, Em andamento e Resolvido.
- Cessionário: Mostra quem tem a tarefa de monitorar o evento.
- Gravidade: Mostra o nível de severidade. Há quatro níveis: Baixa, Média, Alta e Crítica.
- Carimbo de data/hora: Mostra a data e a hora da violação.
A página Anomalias fornece informações sobre os vários tipos de anomalias detectadas.
Há três categorias de página de anomalias . Para obter mais informações, clique em Summary, Details ou Configure.
Resumo
A página Resumo mostra anomalias totais, anomalias por nível de risco e dimensões anômalas (porcentagem por categoria). Há também tabelas que mostram anomalias por perfis e usuários. Um campo de consulta pode ser usado para pesquisar anomalias específicas. A página Summary também contém filtros para anomalias por nível de risco, todos ou novos ou com base em um perfil específico.
Clique em By Profile para visualizar o número de anomalias detectadas para cada tipo, juntamente com o último registro de data e hora. Somente os perfis de anomalias detectadas são exibidos.
Clique em By User para visualizar quantas anomalias cada usuário tem, juntamente com a distribuição do nível de risco. Clique em um item para abrir a página de detalhes para obter informações específicas sobre perfis ou usuários.
Detalhes
A página Details mostra mais detalhes sobre anomalias. Todas as anomalias ou anomalias específicas podem ser reconhecidas nesta página. Um campo de consulta pode ser usado para pesquisar anomalias específicas. A página Details também contém filtros para anomalias por nível de risco, todas ou novas anomalias ou anomalias com base em um perfil específico.
As informações encontradas na página Details incluem:
- Nível de risco
- Endereço de e-mail do usuário
- Tipo de perfil
- Descrição
- Dimensão
- Carimbos de data e hora
Clique em um item para visualizar informações detalhadas sobre riscos, aplicativos e usuários. Para remover uma ou mais anomalias, marque a caixa de seleção ao lado de um item e clique em Acknowledge ou clique em Acknowledge All.
Configure(Configurar)
A página Configurar permite habilitar ou desabilitar o rastreamento de perfis de anomalia e configurar como as anomalias são monitoradas.
Para configurar um perfil, clique no ícone de lápis na coluna Configuration. Para configurar os aplicativos, clique em Select Applications. Clique em Apply Changes para salvar suas configurações.
| Perfis | Uso |
|---|---|
| Aplicações | Configure os aplicativos nos quais deseja executar a detecção de anomalias. |
| Proximity Event | Configure a distância (em milhas) entre dois locais ou o tempo (em horas), para quando a mudança de localização ocorrer. Além disso, você pode permitir a listagem de locais da rede confiáveis, permitindo que você identifique suas redes confiáveis e ajuste a detecção de anomalias de proximidade. |
| Rare Event | Configure um período para um evento raro em número de dias. |
| Failed Logins | Configure a contagem de log-in com falha e o intervalo de tempo. |
| Bulk Download of Files | Configure a contagem de arquivos que são baixados e o intervalo de tempo. |
| Bulk Upload of Files | Configure a contagem de arquivos que são carregados e o intervalo de tempo. |
| Bulk Files Deleted | Configure a contagem de arquivos que são excluídos e o intervalo de tempo. |
| Data Exfiltration | Habilite ou desabilite a transferência ou a recuperação de dados de um computador ou servidor. |
| Shared Credentials | Configure a permissão ou não de credenciais compartilhadas usando intervalos de tempo. |
O painel de indicadores Compromised Credentials informa sobre credenciais comprovadamente comprometidas para as contas usadas por seus funcionários.
O painel de indicadores Compromised Credentials inclui:
- Número total de usuários com credenciais comprometidas
- Usuários identificados e detectados
- Referências de mídia de violações de dados em formato de tabela e gráfico
- Endereço de e-mail de um usuário comprometido
- Status da fonte de dados
- A fonte da informação
- A data em que as credenciais foram comprometidas
Para remover uma ou mais credenciais comprometidas, habilite a caixa de seleção ao lado de um item e clique em Acknowledge ou Acknowledge All.
A página Malware apresenta informações sobre o malware encontrado no ambiente.
A página Malware inclui:
- Malware: O número de ataques de malware detectados pela varredura
- Usuários afetados: O número de usuários que têm arquivos afetados por um ataque de malware específico
- Arquivos afetados: O número de arquivos colocados em quarentena ou que acionaram um alerta
- Nome do malware: O nome do malware detectado
- Tipo de malware: O tipo de malware detectado
- Gravidade: A severidade atribuída ao malware
- Data da última ação: A data em que o primeiro arquivo foi detectado pela varredura e uma ação foi tomada com base no perfil de quarentena selecionado
Clique em um item na página para ver detalhes mais abrangentes ou colocar o arquivo em quarentena, restaurá-lo ou marcá-lo como seguro.
A página Sites mal-intencionados permite que você veja para quais endpoints de sites potencialmente mal-intencionados estão indo.
As informações mostradas nesta página incluem:
- Locais permitidos: Sites que seus usuários visitaram e não foram bloqueados
- Total de sites mal-intencionados: O número total de sites mal-intencionados que foram visitados
- Usuários permitidos: O número de usuários que não estão impedidos de visitar um site mal-intencionado
- Sítio: O endereço IP ou URL do site mal-intencionado
- Gravidade: A classificação de gravidade do site mal-intencionado
- Categoria: O tipo de site mal-intencionado detectado
- Destino do local: O local de onde o malware foi baixado
A página Quarentena mostra uma lista de arquivos em quarentena.
A página Quarentena tem as seguintes informações sobre o arquivo em quarentena:
- Data: A data em que o arquivo foi colocado em quarentena
- Nome do arquivo: O nome do arquivo no momento da quarentena
- Nome do arquivo original: O nome original do arquivo em quarentena
- Nome da política: O nome da política imposta que faz com que o arquivo seja colocado em quarentena
- Violação: A violação da política fazendo com que o arquivo seja colocado em quarentena
- Proprietário do arquivo: O proprietário do arquivo em quarentena
- Método de detecção: O método usado para detectar a violação
Você pode executar ações em cada um dos arquivos em quarentena. Marque a caixa de seleção ao lado de um arquivo em quarentena e, na parte inferior direita, clique em:
- Entre em contato com os proprietários: Você pode entrar em contato com o proprietário do arquivo em quarentena
- Fazer download de arquivos: Você pode baixar o arquivo de tombstone
- Tome providências: Você pode restaurar ou bloquear o arquivo de exclusão
A página Retenção legal contém uma lista de arquivos que foram colocados em retenção legal.
A página Retenção legal tem as seguintes informações sobre o arquivo que é colocado em retenção legal:
- Data: A data em que o arquivo foi colocado em retenção legal
- Nome do arquivo: O nome do arquivo no momento em que foi colocado em retenção legal
- Nome do arquivo original: O nome original do arquivo que foi colocado em retenção legal
- Nome da política: O nome da política imposta que faz com que o arquivo seja colocado em retenção legal
- Violação: A violação da política fazendo com que o arquivo seja colocado em retenção legal
- Proprietário do arquivo: O proprietário do arquivo que está em retenção legal
- Método de detecção: O método usado para detectar a violação
Você pode executar ações em cada um dos arquivos em retenção legal. Marque a caixa de seleção ao lado de um arquivo em retenção legal e, na parte inferior direita, clique em:
- Entre em contato com os proprietários: Isso entra em contato com o proprietário do arquivo
- Fazer download de arquivos: Isso faz o download do arquivo