Como usar as regras de detecção
Na subguia Regras de detecção do SecurityCoach, você pode criar e gerenciar regras de detecção. As regras de detecção identificam qual atividade arriscada você quer acompanhar usando os dados fornecidos por seus fornecedores integrados. Por exemplo, talvez você queira detectar quando seus usuários visitam sites arriscados ou proibidos, baixam anexos maliciosos ou clicam em links de phishing.
Nós oferecemos regras de detecção do sistema com base nas políticas padrão dos seus fornecedores integrados. Essas regras são habilitadas por padrão e não exigem nenhuma configuração adicional. Você também pode criar regras de detecção personalizadas para políticas personalizadas configuradas nas plataformas dos seus fornecedores.
Quando um usuário dispara uma regra de detecção, um evento é exibido na linha do tempo desse usuário. Você também pode usar as regras de detecção para criar campanhas de coaching em tempo real.
Clique nos links abaixo para aprender a criar e gerenciar regras de detecção. Para obter informações gerais sobre o SecurityCoach, consulte o Manual do produto SecurityCoach.
Acesse:
Como se preparar para as regras de detecção
Como criar uma regra de detecção personalizada
Como gerenciar e editar as regras de detecção
Exemplo de regra de detecção
Como se preparar para as regras de detecção
Antes de começar a trabalhar com suas regras de detecção, recomendamos seguir estas etapas:
- Integre seus fornecedores terceirizados ao SecurityCoach. Para obter mais informações, consulte o Guia de integração com fornecedores.
- Associe seus usuários a identificadores, de modo que eles possam ser vinculados a eventos dos fornecedores integrados. Para obter mais informações, consulte o artigo Como mapear usuários no SecurityCoach.
- Configure o método de entrega de SecurityTips. Para obter mais informações, consulte o Guia de integração com o Microsoft Teams do SecurityCoach ou o Guia de integração com o Slack do SecurityCoach.
Como criar uma regra de detecção personalizada
Se você configurar uma política personalizada para um fornecedor, poderá criar uma regra de detecção personalizada para essa política. Para que isso funcione corretamente, as regras de detecção personalizadas devem corresponder às políticas personalizadas.
Importante: as regras de detecção personalizadas devem ser usadas somente se você tiver configurado uma política personalizada correspondente na plataforma do fornecedor. O suporte da KnowBe4 para regras de detecção personalizadas é limitado e não inclui a criação de regras personalizadas.
Para criar uma regra de detecção personalizada, siga estas etapas:
- Faça login no console do KMSAT e acesse SecurityCoach > Regras de detecção.
- Clique no botão + Criar regra de detecção, no canto superior direito da página.
- Preencha os campos na página Criar nova regra de detecção. Para obter mais informações sobre esses campos, consulte:
-
Nome: insira um nome para sua regra de detecção.
-
Fornecedor: selecione um fornecedor para sua regra de detecção.
Observação: é necessário integrar os fornecedores ao SecurityCoach para que eles apareçam no menu suspenso. Para obter mais informações sobre como integrar os fornecedores, consulte nossos Guias de integração com fornecedores.
-
Categoria: selecione uma categoria para a regra de detecção.
-
Descrição: insira uma descrição da regra de detecção. Por exemplo, você pode descrever a finalidade da regra ou incluir informações sobre ela que possam ser necessárias a outros administradores.
-
Novo critério: crie um critério para sua regra de detecção usando as listas suspensas. Depois, clique em Adicionar critério para adicionar o critério à sua regra de detecção. Se desejar, você pode repetir o processo para adicionar outros critérios à regra de detecção. Para obter mais informações sobre os operadores que podem ser usados para o critério, consulte abaixo a seção Operadores da regra de detecção.
-
Disparar esta regra quando um usuário atender à contagem mínima de eventos de qualificação dentro da duração definida (dias): selecione essa opção para disparar a regra de detecção somente quando o critério for atendido um determinado número de vezes em um número de dias definido. Por exemplo, você pode usar essa configuração para disparar a regra de detecção para qualquer usuário que tenha três eventos qualificados em 30 dias.
Para obter mais informações sobre os campos Contagem mínima e Duração (dias), consulte:
- Contagem mínima: insira o número mínimo de eventos qualificados que um usuário deve ter para disparar essa regra.
- Duração (dias): insira o número de dias que um usuário tem para alcançar o número mínimo para disparar essa regra.
-
Disparar esta regra sempre que um usuário tiver um evento de qualificação: selecione essa opção para disparar esta regra sempre que um evento atender ao critério definido.
-
Habilitar regra de detecção: marque essa caixa de seleção para habilitar esta regra quando ela for criada. As regras de detecção devem ser habilitadas para adicionar eventos às linhas de tempo dos usuários e podem ser usadas para campanhas de coaching em tempo real.
-
-
Clique em Criar regra.
Operadores da regra de detecção
Você pode usar os seguintes operadores ao criar um critério de regra de detecção.
| Operador | Descrição |
| É | Este operador verifica se o campo e o valor correspondem. Você pode digitar apenas um valor com esse operador. |
| Não é | Este operador verifica se o campo e o valor não correspondem. Você pode digitar apenas um valor com esse operador. |
| Contém | Este operador verifica se o campo contém o valor. Você pode digitar apenas um valor com esse operador. |
| Não contém | Este operador verifica se o campo não contém o valor. Você pode digitar apenas um valor com esse operador. |
| Começa com | Este operador verifica se o campo começa com o valor. Você pode digitar apenas um valor com esse operador. |
| Termina com | Este operador verifica se o campo termina com o valor. Você pode digitar apenas um valor com esse operador. |
| Começa com qualquer | Este operador verifica se o campo começa com um dos valores. |
| Termina com qualquer | Este operador verifica se o campo termina com um dos valores. |
| Contém qualquer | Este operador verifica se o campo contém um dos valores. |
| Não contém nenhum | Este operador verifica se o campo não contém nenhum dos valores. |
| É qualquer | Este operador verifica se o campo corresponde a um dos valores. |
| Não é nenhum | Este operador verifica se o campo não corresponde a nenhum dos valores. |
Como gerenciar e editar as regras de detecção
Para gerenciar e editar suas regras de detecção, acesse SecurityCoach > Regras de detecção.
Para saber mais sobre as opções da subguia Regras de detecção, consulte:
- Status: clique nesse menu suspenso para filtrar as regras de detecção por status. É possível selecionar Todas, Ativas ou Inativas.
- Tipo: clique nesse menu suspenso para filtrar as regras de detecção por tipo. Você pode selecionar Todas, Personalizadas ou Sistema.
- Fornecedores: clique nesse menu suspenso para filtrar as regras de detecção por fornecedor.
- Categoria: clique nesse menu suspenso para filtrar as regras de detecção por categoria.
- Pesquisar: digite palavras-chave nesse campo para pesquisar uma regra de detecção específica.
- + Criar regra de detecção: clique nesse botão para criar uma nova regra de detecção.
- Tabela: essa tabela inclui uma lista das suas regras de detecção. Para cada regra de detecção, você pode ver o Nome, a Descrição da regra, o Tipo, o Fornecedor, a Categoria e a Data de modificação.
- Alternar: alterne entre habilitar ou desabilitar uma regra de detecção. Se o botão de alternância for desativado, a regra de detecção será desabilitada. Se o botão de alternância for ativado, a regra de detecção será habilitada.
- Ícone de adição: clique nesse ícone para criar uma campanha de coaching em tempo real para uma regra de detecção. Ao clicar nesse ícone, você acessará a página Criar nova campanha de coaching em tempo real. Para obter mais informações sobre as campanhas de coaching em tempo real, consulte o artigo Como criar e gerenciar campanhas de coaching em tempo real.
-
Ícone de lápis: clique nesse ícone para abrir a página Editar regra de detecção. Nessa página, você pode editar uma regra de detecção personalizada conforme suas necessidades. Não é possível alterar as opções em cinza claro. Depois, para salvar suas alterações, clique no botão Salvar no canto inferior esquerdo da página.
Observação: se a regra de detecção for clonada de uma regra de detecção do sistema, você também poderá clicar no botão Restaurar configurações padrão para que a regra volte às suas configurações padrão.
- Ícone de lixeira: clique nesse ícone para excluir uma regra de detecção personalizada.
- Ícone de olho: clique nesse ícone para exibir uma regra de detecção do sistema. Ao clicar nesse ícone, você acessará a página Exibir regra de detecção, na qual é possível exibir os detalhes da regra de detecção do sistema.
- Ícone de clone: clique nesse ícone para clonar uma regra de detecção do sistema. Ao clicar nesse ícone, você acessará a página Clonar regra de detecção. Nessa página, você poderá fazer alterações na regra e salvá-la como uma regra personalizada.
Exemplo de regra de detecção
A captura de tela a seguir é um exemplo de regra de detecção. Nesse exemplo, o seguinte critério foi adicionado à regra de detecção:
- A categoria da ameaça é PDF malicioso.
- A categoria da ameaça é Documento do Office malicioso.
Essa regra de detecção será disparada quando um dos critérios for atendido. Isso significa que um usuário precisa ter um arquivo PDF ou um documento do Office malicioso no seu dispositivo para disparar essa regra.
Comentários
0 comentário
Artigo fechado para comentários.