How Can We Help?
Debugando localmente detecções incorretas do BitDefender Endpoint Security Tools (BEST)
SINTOMA:
Uma aplicação está sendo incorretamente detectada pelo BitDefender Endpoint Security Tools (BEST) e você precisa determinar o que está acontecendo através da interface do agente.
APLICA-SE À:
- BitDefender GravityZone cloud.
- BitDefender GravityZone on-premise.
SOLUÇÃO:
VISÃO GERAL:
BitDefender possui múltiplos motores de varredura. Quando uma detecção incorreta ocorre, é necessário determinar qual motor realizou a detecção para somente então criar uma regra de exceção apropriada. Para realizar uma investigação, você pode visitar o endpoint afetado e acessar o console local do BitDefender Endpoint Security Tools (BEST) para verificar o que está ocorrendo.
PROCEDIMENTO:
1. Estando em um endpoint com Windows, clique com botão direito sobre o ícone do BitDefender ao lado do relógio do Windows e selecione a opção ‘Mostrar’.
2. A interface do BitDefender Endpoint Security Tools (BEST) é aberta.
3. Os logs do produto são mostrados no centro da tela. Eles mostram o nome do módulo e a mensagem de log emitida pelo mesmo. A partir destas informações você fará o diagnóstico do problema.
4. Acompanhe abaixo, como identificar os diversos tipos de detecções realizados pelo BitDefender e como criar uma regra de exceção.
1. DEBUGANDO DETECÇÕES DO MÓDULO DE ANTIMALWARE:
O módulo de antimalware realiza detecções baseado em assinaturas atualizadas de hora em hora.
Quando uma detecção deste módulo ocorre, você poderá ver a mensagem ‘A análise On-Access detectou uma ameaça’ ou a ‘Análise On-demand detectou uma ameaça’.
Existem dois tipos de detecção por assinatura a saber:
- On-access: é a detecção realizada em tempo real.
- Sob demanda: é uma detecção realizada por uma varredura manual ou agendada.
A criação da regra de exceção consiste em indicar o caminho completo do arquivo detectado ou se forem vários arquivos dentro de uma pasta, o caminho completo desta pasta. Veja como fazer abaixo:
- Criando regras de exceção de antimalware
2. DEBUGANDO DETECÇÕES DO CONSOLE AVANÇADO DE AMEAÇAS:
As detecções do módulo do Controle Avançado de Ameaças (ATC) e detecção de intrusão (IDS), são realizadas por uma inteligência artificial na nuvem. Elas lidam essencialmente com processos em execução analisando e monitorando seu comportamento. Este módulo e responsável pela maior parte das detecções de ameças no BitDefender.
As detecções do módulo ATC/IDS são facilmente identificáveis através da mensagem ‘O controle de ameaças bloqueou um processo que foi detectado como malicioso’.
A regra de exceção para este tipo de detecção é sempre do tipo ‘Processo’ e você deve informar obrigatoriamente o caminho completo do programa. Veja como fazer isto abaixo:
3. DETECÇÕES DO MÓDULO DE CONTROLE DE CONTEÚDO:
O módulo controle de conteúdo possui três tipos de detecções: antimalware, phishing e controle de acesso à web. Veja como identificar cada tipo:
a. DETECÇÃO DE MALWARE NO TRÁFEGO DE INTERNET:
A análise de tráfego consiste em varrer o tráfego de internet nos protocolos HTTP, HTTPS, FTP, SFTP, POP3, SMTP, P2P e outros. Quando você visita um site e é bloqueado, uma mensagem será mostrada na tela do agente:
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção e o tipo de ameaça encontrado:
A criação da regra de exceção é feita através do procedimento abaixo:
B. DETECÇÃO DE PHISHING:
A análise de phishing é baseada em inteligência artificial na nuvem. Quando você visita um site e é bloqueado, uma mensagem será mostrada na tela do agente, mostrando a razão da detecção e as URLs envolvidas:
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção e o tipo de ameaça encontrado, você também verá a palavra phishing que evidencia uma detecção do módulo de antiphishing:
A criação da regra de exceção é feita através do procedimento abaixo:
C. DETECÇÃO DE CATEGORIA BLOQUEADA CONTROLE DE ACESSO À WEB:
O controle de acesso à web permite o bloqueio de sites HTTP e HTTPS por categoria ou URLs avulsas. Quando um site é detectado como membro de uma categoria o BitDefender Endpoint Security Tools mostrará a detecção em seu console.
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção, o tipo de ameaça encontrado e a categoria de filtragem que bloqueou a ameaça:
A criação da regra de exceção é feita através do procedimento abaixo:
NOTA DE COPYRIGHT
A Lnx-IT Informação e Tecnologia não autoriza a cópia, alteração, adaptação, redistribuição, deste artigo sem autorização prévia por escrito. Interessados em utilizar poderão nos contatar através de nossos telefones ou e-mail.