Examine seus incidentes de segurança
Primeiro, você olha o painel de gerenciamento de incidentes, que mostra todos os incidentes de segurança em andamento de maneira centralizada, com seu status, gravidade e outros detalhes.
Você percebe um incidente que requer atenção, então clica para abri-lo.
Saiba informações detalhadas do incidente
Na página “Visão geral do incidente”, você reúne fatos adicionais:
![tick]()
A pontuação de gravidade do incidente![tick]()
Ativos comprometidos![tick]()
Fontes de dados para os alertas apresentados![tick]()
Respostas automatizadas já realizadas
A pontuação de gravidade do incidenteSaiba informações detalhadas do incidente
Para gerar esse incidente, o Cortex XDR reuniu eventos de várias fontes para criar registros enriquecidos da atividade, estabelecendo a conexão entre hosts, identidades, tráfego de rede e muito mais para ampliar o contexto do incidente.
Centenas de modelos de aprendizado de máquina procuraram atividades anômalas nos dados reunidos, que geraram novos alertas de detecção.
Em seguida, o Cortex XDR agrupou os alertas relacionados em um único incidente para apresentar um quadro abrangente do ataque e reduzir em 98% o número de alertas que precisam de análise manual.
Identifique ativos comprometidos
No incidente, você percebe que um PC com Windows e um servidor voltado para a internet hospedado na nuvem podem ter sido comprometidos.
Verifique a estrutura MITRE ATT&CK®
Você também vê o ataque classificado na estrutura MITRE ATT&CK®, que oferece uma taxonomia padronizada para categorizar e descrever ameaças cibernéticas e técnicas de ataque. Ao classificar automaticamente um ataque de acordo com essa estrutura, o Cortex XDR oferece uma visão completa de todas as atividades relacionadas.
Investigue com Alertas e Insights
Os alertas críticos confirmam que o PC com Windows foi comprometido.
O final da lista mostra que o servidor hospedado na nuvem tem um alerta de gravidade média. No alerta, você descobre que um houve uma tentativa fracassada de ataque de força bruta.
Agora, você precisa isolar o PC com Windows comprometido para impedir que o progresso do ataque.
Interrompa o ataque enquanto ele está em andamento
Isolar um endpoint ajuda a impedir que o malware e outras ameaças se espalhem.
Desconectar o endpoint comprometido da rede evita que a ameaça se propague para outros dispositivos ou sistemas, limitando o escopo e o impacto do incidente.
Procure e destrua o malware
Agora é hora de procurar e destruir o arquivo de ransomware.
Use o terminal ativo para executar comandos e scripts remotamente nos endpoints. Ele permite que as correções sejam feitas rapidamente, sem precisar acessar fisicamente os dispositivos afetados.
Os bastidores
Por que esse ataque não foi bloqueado pelo agente de endpoint?
Nesta demonstração, definimos a política de endpoint como somente relatório, o que permite o avanço do ataque, enquanto recebemos notificações sobre seu andamento. Esse também é um lembrete para sempre seguir as práticas recomendadas ao configurar políticas.
Agora, vamos definir a política de bloqueio e seguir em frente!
Identifique as falhas de segurança e cumpra as normas regulatórias
Depois de controlar bem esse incidente de ransomware, você se lembra de que um ativo de nuvem já esteve envolvido em uma tentativa de força bruta. Pensando nisso, você começa a trabalhar em algumas medidas de segurança proativas para aumentar a segurança da sua nuvem.
Os recursos de conformidade com a nuvem do Cortex XDR fazem verificações de conformidade de referência do Center for Internet Security (CIS) em recursos de nuvem. Isso ajuda a identificar possíveis falhas de segurança, mitigar riscos e evitar multas ou penalidades regulatórias.
Você percebe que a conformidade é de apenas 74%, que é uma informação importante para ser colocada no seu relatório final.
Avalie as vulnerabilidades em um único painel
Como a investigação revelou que um PC foi comprometido, você usa a avaliação de vulnerabilidades para verificar possíveis vulnerabilidades que podem ter ficado sem correção e serem exploradas.
Você vê que o PC comprometido sinalizado tem várias vulnerabilidades que contribuíram para o ataque de ransomware. Isso fornece as informações de que você precisa para começar a aplicar os patches.
Relatórios concisos e fáceis
Chegou a hora de gerar relatórios para seu gerente em um formato conciso. Há várias opções de modelos predefinidos ou você pode criar relatórios personalizados.
Você gera relatórios sobre sua investigação, incluindo o gerenciamento de incidentes, a conformidade com a nuvem e a avaliação de vulnerabilidades.
Clique em uma linha para gerar um relatório
Hora de surfar!
Parabéns. Você investigou e solucionou o ataque de ransomware. A investigação revelou:
![tick]()
Uma tentativa de ataque de força bruta em um ativo de nuvem![tick]()
Um PC com uma vulnerabilidade não corrigida![tick]()
Uma política de segurança definida como somente relatório, para permitir o progresso do ataque.
Felizmente, você isolou rapidamente o endpoint comprometido e eliminou o arquivo de ransomware sem precisar acessar fisicamente o PC.
Relatórios foram gerados, com detalhes de todo o incidente. Em menos de 1 hora, você estará a caminho da praia.
Tempo nunca é demais
Com o Cortex XDR, os analistas de segurança ficam livres para se concentrarem no que fazem de melhor. A equipe de operações de segurança pode aproveitar o Cortex XDR para:
![tick]()
Evitar ameaças, como ransomware em endpoints e cargas de trabalho na nuvem![tick]()
Acelerar o MTTD (tempo médio de detecção) para a velocidade de máquina![tick]()
Reagir rapidamente à causa-raiz dos ataques
Aumente a segurança com o Cortex XDR.
Redução de alertas de 98%
Investigações 8× mais rápidas
Prevenção e detecção total sem alterações de configuração no MITRE Engenuity 2023