Como gerenciar regras de detecção

Compartilhar

Este artigo é útil?

Última atualização:

Guia de regras de detecção

Na subguia Regras de detecção do SecurityCoach, você pode criar e gerenciar regras de detecção. As regras de detecção identificam qual atividade arriscada você quer acompanhar usando os dados fornecidos por seus fornecedores integrados. Por exemplo, talvez você queira detectar quando seus usuários visitam sites arriscados ou proibidos, baixam anexos maliciosos ou clicam em links de phishing.

Nós oferecemos regras de detecção do sistema com base nas políticas padrão dos seus fornecedores integrados. Essas regras são habilitadas por padrão e não exigem nenhuma configuração adicional. Para visualizar as regras de detecção do sistema disponíveis, consulte o artigo Regras de detecção do sistema por fornecedor. Você também pode criar regras de detecção personalizadas para políticas personalizadas configuradas nas plataformas dos seus fornecedores.

Quando um usuário dispara uma regra de detecção, um evento é exibido na linha do tempo desse usuário. Você também pode usar as regras de detecção para criar campanhas de coaching em tempo real.

Para obter informações gerais sobre o SecurityCoach, consulte o Manual do produto SecurityCoach.

Como se preparar para as regras de detecção

Antes de começar a trabalhar com suas regras de detecção, recomendamos seguir estas etapas:

  1. Integre seus fornecedores terceirizados ao SecurityCoach. Para obter mais informações, consulte a seção Como configurar integrações.
  2. Adicione um método de entrega para seu SecurityTips Para obter mais informações, consulte nossos Guias de integração com fornecedores listados abaixo:

Como criar uma regra de detecção personalizada

Para usar regras de detecção personalizadas no SecurityCoach, primeiramente configure uma política personalizada correspondente na plataforma do fornecedor de segurança. Para que isso funcione corretamente, as regras de detecção personalizadas devem corresponder às políticas personalizadas do fornecedor de segurança.

Observação: o suporte da KnowBe4 para regras de detecção personalizadas é limitado e não inclui a criação de regras personalizadas.

Para criar uma regra de detecção personalizada, siga estas etapas:

  1. Faça login no console do Treinamento de conscientização em segurança da KnowBe4 (KnowBe4 Security Awareness Training, KSAT) e vá até a guia SecurityCoach > subguia Regras de detecção .
  2. Clique no botão + Criar regra de detecção, no canto superior direito da página.
  3. Preencha os campos na página Criar nova regra de detecção. Para obter mais informações sobre esses campos, veja a captura de tela e a lista abaixo:
    1. Nome: insira um nome para sua regra de detecção.
    2. Habilitar regra de detecção: marque essa caixa de seleção para habilitar esta regra quando ela for criada. As regras de detecção devem ser habilitadas para adicionar eventos às linhas do tempo dos usuários e para serem usadas em campanhas de coaching em tempo real.

    3. Fornecedor: selecione um fornecedor para sua regra de detecção.

      Observação: é necessário integrar os fornecedores ao SecurityCoach para que eles possam ser exibidos no menu suspenso. O fornecedor do KSAT é integrado por padrão. Para obter mais informações sobre como integrar os fornecedores, consulte a seção Como configurar integrações.
    4. Categoria: selecione uma categoria para a regra de detecção.
    5. Grau de risco: selecione um grau de risco para a regra de detecção.
    6. Descrição: insira uma descrição da regra de detecção. Por exemplo, você pode descrever a finalidade da regra ou incluir informações sobre ela que possam ser necessárias a outros administradores.
    7. Novo critério: crie um critério para sua regra de detecção usando as três listas suspensas. Depois, clique em Adicionar critério para adicionar o critério à sua regra de detecção. Se desejar, você pode repetir o processo para adicionar outros critérios à regra de detecção. Para obter mais informações sobre os operadores que podem ser usados para o critério, consulte abaixo a seção Operadores da regra de detecção.
    8. Disparar esta regra sempre que um usuário tiver um evento de qualificação: selecione essa opção para disparar esta regra sempre que um evento atender ao critério definido.

    9. Disparar esta regra quando um usuário atender à contagem mínima de eventos de qualificação dentro da duração definida (dias): selecione essa opção para disparar a regra de detecção somente quando o critério tiver sido atendido um determinado número de vezes em um número de dias definido. Por exemplo, você pode usar essa configuração para disparar a regra de detecção para qualquer usuário que tenha três eventos qualificados em 30 dias.

      Para obter mais informações sobre os campos Contagem mínima e Duração (dias), consulte:

      • Contagem mínima: insira o número mínimo de eventos qualificados que um usuário deve ter para disparar essa regra.
      • Duração (dias): insira o número de dias que um usuário tem para alcançar o número mínimo para disparar essa regra.
    10. Criar regra: confirme suas configurações e crie a regra de detecção.
    11. Cancelar: cancele a criação da regra de detecção e retorne à página anterior.
  4. Clique em Criar regra.

Operadores da regra de detecção

Você pode usar os seguintes operadores ao criar um critério de regra de detecção.

Operador Descrição
É Este operador verifica se o campo e o valor correspondem. Você pode digitar apenas um valor com esse operador.
Não é Este operador verifica se o campo e o valor não correspondem. Você pode digitar apenas um valor com esse operador.
Contém Este operador verifica se o campo contém o valor. Você pode digitar apenas um valor com esse operador.
Não contém Este operador verifica se o campo não contém o valor. Você pode digitar apenas um valor com esse operador.
Começa com Este operador verifica se o campo começa com o valor. Você pode digitar apenas um valor com esse operador.
Termina com Este operador verifica se o campo termina com o valor. Você pode digitar apenas um valor com esse operador.
Começa com qualquer Este operador verifica se o campo começa com um dos valores.
Termina com qualquer Este operador verifica se o campo termina com um dos valores.
Contém qualquer Este operador verifica se o campo contém um dos valores.
Não contém nenhum Este operador verifica se o campo não contém nenhum dos valores.
É qualquer Este operador verifica se o campo corresponde a um dos valores.
Não é nenhum Este operador verifica se o campo não corresponde a nenhum dos valores.

Como gerenciar e editar as regras de detecção

Para gerenciar e editar suas regras de detecção, acesse a guia SecurityCoach > subguia Regras de detecção.

Para saber mais sobre as opções na subguia Regras de detecção, veja a captura de tela e a lista abaixo:

  1. Status: clique nesse menu suspenso para filtrar as regras de detecção por status. É possível selecionar Todas, Ativas, Inativas ou Manutenção.
  2. Tipo: clique nesse menu suspenso para filtrar as regras de detecção por tipo. Você pode selecionar Todas, Personalizadas ou Sistema.
  3. Fornecedores: clique nesse menu suspenso para filtrar as regras de detecção por fornecedor.
  4. Categoria: clique nesse menu suspenso para filtrar as regras de detecção por categoria.
  5. Pesquisar: digite palavras-chave nesse campo para pesquisar uma regra de detecção específica.
  6. Tabela: essa tabela inclui uma lista das suas regras de detecção. Para cada regra de detecção, você pode ver o Nome, a Descrição da regra, o Tipo, o Fornecedor, a Categoria, a Data de modificação e as Ações que podem ser executadas.
  7. Alternar: alterne entre habilitar ou desabilitar uma regra de detecção. Se a alternância for desligada, a regra de detecção será desabilitada. Se a alternância for ligada, a regra de detecção será habilitada.
  8. Ícone de olho: clique nesse ícone para visualizar a regra de detecção do sistema. Ao clicar nesse ícone, você acessará a página Exibir regra de detecção, na qual é possível ver os detalhes da regra de detecção do sistema.
  9. Ícone de adição: clique nesse ícone para criar uma campanha de coaching em tempo real para a regra de detecção. Ao clicar nesse ícone, você será levado à página Criar nova campanha de coaching em tempo real. Para obter mais informações sobre campanhas de coaching em tempo real, consulte o Guia de campanhas de coaching em tempo real.
  10. Ícone de três pontos: clique nesse ícone para abrir um menu suspenso com as seguintes opções:

    • Editar: clique nesse ícone para abrir a página Editar regra de detecção. Nessa página, você pode editar uma regra de detecção personalizada conforme suas necessidades. Não é possível alterar as opções em cinza claro. Depois, para salvar suas alterações, clique no botão Salvar no canto inferior esquerdo da página.

      Observação: se a regra de detecção for clonada de uma regra de detecção do sistema, você também poderá clicar no botão Restaurar configurações padrão para que a regra volte às suas configurações padrão.
    • Clonar: clique nesse ícone para clonar uma regra de detecção do sistema. Ao clicar nesse ícone, você acessará a página Clonar regra de detecção. Nessa página, você poderá fazer alterações na regra e salvá-la como uma regra personalizada.
    • Excluir: clique nesse ícone para excluir uma regra de detecção personalizada.
  11. + Criar regra de detecção: clique nesse botão para criar uma nova regra de detecção.

Exemplo de regra de detecção

A captura de tela a seguir é um exemplo de regra de detecção:

Nesse exemplo, o seguinte critério foi adicionado à regra de detecção:

  • Categoria de ameaça é encaminhamento em massa pelo usuário.
  • Categoria de ameaça é Atividade suspeita de encaminhamento de e-mails.

Essa regra de detecção será disparada quando um dos critérios for atendido. Com essa configuração, um usuário precisaria ter atividade suspeita de encaminhamento de e‑mails ou encaminhar e-mails em massa para disparar essa regra.

Este artigo foi útil?

Usuários que acharam isso útil: 4 de 5

Não encontrou o que estava procurando?

Fale com o suporte