Debugando localmente detecções incorretas do BitDefender Endpoint Security

Debugando localmente detecções incorretas do BitDefender Endpoint Security Tools (BEST)

SINTOMA:

Uma aplicação está sendo incorretamente detectada pelo BitDefender Endpoint Security Tools (BEST) e você precisa determinar o que está acontecendo através da interface do agente.

APLICA-SE À:

SOLUÇÃO:

VISÃO GERAL:

BitDefender possui múltiplos motores de varredura. Quando uma detecção incorreta ocorre, é necessário determinar qual motor realizou a detecção para somente então criar uma regra de exceção apropriada. Para realizar uma investigação, você pode visitar o endpoint afetado e acessar o console local do BitDefender Endpoint Security Tools (BEST) para verificar o que está ocorrendo.

PROCEDIMENTO:

1. Estando em um endpoint com Windows, clique com botão direito sobre o ícone do BitDefender ao lado do relógio do Windows e selecione a opção ‘Mostrar’.
2. A interface do BitDefender Endpoint Security Tools (BEST) é aberta.
BitDefender - Console do EPS
3. Os logs do produto são mostrados no centro da tela. Eles mostram o nome do módulo e a mensagem de log emitida pelo mesmo. A partir destas informações você fará o diagnóstico do problema.

4. Acompanhe abaixo, como identificar os diversos tipos de detecções realizados pelo BitDefender e como criar uma regra de exceção.

1. DEBUGANDO DETECÇÕES DO MÓDULO DE ANTIMALWARE:

O módulo de antimalware realiza detecções baseado em assinaturas atualizadas de hora em hora.
Quando uma detecção deste módulo ocorre, você poderá ver a mensagem ‘A análise On-Access detectou uma ameaça’ ou a ‘Análise On-demand detectou uma ameaça’.
BitDefender - Detecção Agente
Existem dois tipos de detecção por assinatura a saber:
  • On-access: é a detecção realizada em tempo real.
  • Sob demanda: é uma detecção realizada por uma varredura manual ou agendada.
A criação da regra de exceção consiste em indicar o caminho completo do arquivo detectado ou se forem vários arquivos dentro de uma pasta, o caminho completo desta pasta. Veja como fazer abaixo:

2. DEBUGANDO DETECÇÕES DO CONSOLE AVANÇADO DE AMEAÇAS:

As detecções do módulo do Controle Avançado de Ameaças (ATC) e detecção de intrusão (IDS), são realizadas por uma inteligência artificial na nuvem. Elas lidam essencialmente com processos em execução analisando e monitorando seu comportamento. Este módulo e responsável pela maior parte das detecções de ameças no BitDefender.
As detecções do módulo ATC/IDS são facilmente identificáveis através da mensagem ‘O controle de ameaças bloqueou um processo que foi detectado como malicioso’.
BitDefender - Detecção ATC/IDS
A regra de exceção para este tipo de detecção é sempre do tipo ‘Processo’ e você deve informar obrigatoriamente o caminho completo do programa. Veja como fazer isto abaixo:

3. DETECÇÕES DO MÓDULO DE CONTROLE DE CONTEÚDO:

O módulo controle de conteúdo possui três tipos de detecções: antimalware, phishing e controle de acesso à web. Veja como identificar cada tipo:

a. DETECÇÃO DE MALWARE NO TRÁFEGO DE INTERNET:

A análise de tráfego consiste em varrer o tráfego de internet nos protocolos HTTP, HTTPS, FTP, SFTP, POP3, SMTP, P2P e outros. Quando você visita um site e é bloqueado, uma mensagem será mostrada na tela do agente:
BitDefender - Análise de tráfego
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção e o tipo de ameaça encontrado:
BitDefender - Detecção
A criação da regra de exceção é feita através do procedimento abaixo:

B. DETECÇÃO DE PHISHING:

A análise de phishing é baseada em inteligência artificial na nuvem.  Quando você visita um site e é bloqueado, uma mensagem será mostrada na tela do agente, mostrando a razão da detecção e as URLs envolvidas:
BitDefender - Detecção de phishing
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção e o tipo de ameaça encontrado, você também verá a palavra phishing que evidencia uma detecção do módulo de antiphishing:
BitDefender - Detecção de Phishing
A criação da regra de exceção é feita através do procedimento abaixo:

C. DETECÇÃO DE CATEGORIA BLOQUEADA CONTROLE DE ACESSO À WEB:

O controle de acesso à web permite o bloqueio de sites HTTP e HTTPS por categoria ou URLs avulsas. Quando um site é detectado como membro de uma categoria o BitDefender Endpoint Security Tools mostrará a detecção em seu console.
BitDefender - Detecção do controle de acesso à web
É igualmente mostrado ao usuário uma mensagem na tela do navegar informando a detecção, o tipo de ameaça encontrado e a categoria de filtragem que bloqueou a ameaça:
BitDefender - Detecção do console de acesso à web
A criação da regra de exceção é feita através do procedimento abaixo: