Debugando detecções incorretas através do console de gerenciamento do BitDefender GravityZone

Debugando detecções incorretas através do console de gerenciamento do BitDefender GravityZone

SINTOMA:

Uma aplicação está sendo incorretamente detectada pelo BitDefender Endpoint Security Tools (BEST) e você precisa determinar o que está acontecendo através do console de gerenciamento.

APLICA-SE À:

SOLUÇÃO:

PROCEDIMENTO:

BitDefender possui múltiplos motores de varredura. Quando uma detecção incorreta ocorre, é necessário determinar qual motor realizou a detecção para somente então criar uma regra de exceção apropriada. Para realizar uma investigação, você pode utilizar os relatórios oferecidos pelo console de gerenciamento. Veja abaixo quais relatórios você pode utilizar.

RELATÓRIO DE APLICAÇÕES BLOQUEADAS

Este relatório permite a você verificar bloqueios à aplicações ou arquivos gerados por detecções originadas dos diferentes motores do BitDefender GravityZone. Ele também permite criar regras de exceção facilmente.
1. Efetue login no console de gerenciamento do BitDefender GravityZone.
2. Clique no menu Relatórios.
3. Clique no botão ‘Adicionar’.
4. Na janela ‘Criar Relatório’, selecione na caixa ‘Tipo’ o valor ‘Aplicativos Bloqueados’.
5. Na janela Intervalo entre relatórios selecione o período correspondente as detecções.
6. O relatório trará a você as seguintes informações relevantes:
  • Processo: o nome do processo detectado.
  • Caminho: o caminho completo do processo detectado.
  • Nome do endpoint: o nome do endpoint onde a detecção foi realizada.
  • Usuário: o usuário que estava logado no endpoint durante a detecção.
  • Módulo: o módulo que realizou a detecção.
  • Tentativas: o número de tentativas de execução do processo.
  • Último Bloqueio: a data e hora do último bloqueio realizado.
7. A informação de maior interesse é o item ‘Módulo’. Ele corresponde ao nome do módulo/motor que realizou a detecção. Você também terá o caminho completo do processo que poderá usar em suas regras de exceção.
8. Caso possua um caso de falso positivo e a detecção esteja presente no relatório, basta marcar o item, clicar no botão ‘Adicionar exceção’. Uma janela será aberta e você deverá marcar a política que está aplicada ao endpoint e pressionar o botão ‘Adicionar’.

RELATÓRIO DE SITES BLOQUEADOS

Este relatório permite a você verificar bloqueios de acessos à sites causados por detecções do antimalware, antiphishing ou do controle de acesso a web (filtro de conteúdo). Ele ajudará você a identificar a razão pela qual um site foi bloqueado e qual o motor de varredura (antimalware, antiphishing ou controle de acesso a web) realizou a detecção.

1. Efetue login no console de gerenciamento do BitDefender GravityZone.
2. Clique no menu Relatórios.
3. Clique no botão ‘Adicionar’.
4. Na janela ‘Criar Relatório’, selecione na caixa ‘Tipo’ o valor ‘Sites Bloqueados’.
5. Na janela Intervalo entre relatórios selecione o período correspondente as detecções.
6. O relatório trará a você as seguintes informações relevantes:
  • Nome do endpoint: o nome do endpoint onde a detecção ocorreu.
  • Sites bloqueados: mostra a quantidade de sites bloqueados e permite clicar para visualizar os sites.
  • Nome da empresa: visível somente no console de parceiro BitDefender (somente revendedores tem acesso), este campo mostra quem é o cliente onde a detecção foi registrada.
7. A informação de maior interesse é o item ‘Sites bloqueados’. Quando o contador registra um valor acima de zero, você poderá clicar para investigar quais sites foram bloqueados e qual mecanismo realizou o bloqueio. Você receberá as seguintes informações:
  • URL: a URL bloqueada.
  • Bloqueado por: o módulo/motor que realizou o bloqueio.
  • Razão do bloqueio: mostra uma justificativa para o bloqueio.
  • Usuário: o usuário que estava logado no endpoint durante a detecção.
  • Tentativas: o número de tentativas de execução do processo.
  • Último Bloqueio: a data e hora do último bloqueio realizado.
8. Este relatório não permite criar regras de exceção automaticamente e não apresenta o botão ‘Adicionar Exceção’ como no relatório de ‘Aplicativos bloqueados’. A inserção das regras de exceção deve ser feita em cada política manualmente. Para poder copiar as URLs para inclusão nas regras de exceção você poderá exportar o relatório em formato CSV. Role a tela para o fim e localize o botão ‘Exportar’, clique nele e escolha ‘Exportar detalhes em CSV’ e então abra o relatório em seu editor de texto favorito ou software de planilha eletrônica para copiar a URL.
9. Para acrescentar a regra de acordo com o motor de detecção, siga estes documentos.