Detalhes da política padrão do Endpoint Detection and Response

Esta página mostra os detalhes da política do Gravador de atividades do endpoint. Você também pode editar as configurações de política padrão nessa página, incluindo:
  • Se o Gravador de atividades do endpoint estiver ativado ou desativado por padrão.
  • O tamanho do banco de dados nos endpoints que armazenam dados de eventos. Essa configuração é feita pela primeira vez durante a configuração do Gravador de atividades do endpoint. É possível editar o valor, se necessário, aqui.
  • A frequência com que os dados de eventos do endpoint são enviados para o EDR. Essa configuração é feita pela primeira vez durante a configuração do Gravador de atividades do endpoint. É possível editar o valor, se necessário, aqui.
  • O tipo de dado de evento enviado ao EDR.
  • Os arquivos e caminhos de arquivos que não devem ser registrados.
Eventos a serem enviados ao EDR
Por padrão, as execuções do PowerShell são enviadas automaticamente ao EDR. Você também pode selecionar os seguintes tipos de dado de evento a serem enviados para o EDR:
Alterações do ponto de carga
Esse tipo de evento consiste em todos os eventos associados à capacidade de manter a persistência em um endpoint. Esse tipo de evento inclui, mas não se limita a: chaves do registro de inicialização, serviços, tarefas agendadas, etc.
Atividade suspeita do sistema
Esse evento consiste em regras de especialistas, como o uso suspeito de porta de protocolo por processos do sistema, os arquivos do sistema que são iniciados a partir de locais inesperados, etc.
Detecções heurísticas
Esse tipo de evento consiste nas regras que correspondem a uma sequência de eventos que são frequentemente vistos em atividades maliciosas.
Atividade de início do processo
Envia todos os eventos de início de processos com o relacionamento entre pai e filho e a linha de comando. Muito útil para identificar o que foi executado em seu ambiente, quais argumentos de linha de comando foram usados e em que contexto de usuário. Embora sejam importantes, os eventos de início de processos contabilizam 49% dos eventos que estão sendo enviados para o EDR.
Atividade de encerramento do processo
Esse tipo de evento é menos útil do que os eventos de início de processos, mas indica se um processo ainda está em execução. Esta categoria contabiliza 49% de todos os eventos sendo enviados para o EDR. Se você precisar reduzir a carga, comece desativando essa categoria primeiro.
Atividade do AMSI (Windows Antimalware Scan Interface)
Esse tipo de evento consiste em eventos que envolvem aplicativos e serviços que se integram a qualquer produto antimalware.
Os endpoints devem estar executando o SEP 14.3 RU1 ou posterior para encaminhar esse evento para o EDR.
Atividade do ETW (Rastreamento de Eventos para Windows)
Esse tipo de evento consiste em eventos relacionados ao recurso de rastreamento no nível do kernel que permite registrar eventos definidos pelo kernel ou pelo aplicativo.
Os endpoints devem estar executando o SEP 14.3 RU1 ou posterior para encaminhar esse evento para o EDR.
Você deverá selecionar a opção
Atividade de início do processo
se quiser poder ver os eventos de
Linhagem do processo
na página de detalhes
Incidentes
.
Se você tiver feito alterações na política, clique em
Salvar política
.