Pular para o conteúdo principal

EDRi - É possível criar alertas do EDRi no painel RMM?

Caio Gutierri

Dúvida

É possível criar ou customizar alertas do EDRi (EDR integrado ao RMM) no painel RMM?

 

 

Última modificação

  • 19/08/2021

 

Solução

O EDRi (EDR Integrado), assim que é habilitado para um dispositivo no painel RMM, cria automaticamente duas verificações:

  • Verificação de script - Endpoint Detection & Response
  • Verificação de serviço do Windows - Sentinel Agent

Ele se comunicará com o painel RMM somente através destas duas verificações automáticas, não sendo possível ou necessário criar novas verificações, tarefas ou alertas para o EDRi.

 

A verificação de script se encarrega de analisar os logs gerados pelo EDRi, e reportará o MSP, através de um alerta de falha, qualquer situação encontrada que precise de sua atenção ou intervenção.

 

No link More Informations, da verificação de script, você tem acesso a algumas informações básicas sobre o status atual do EDRi:

 

Script Checks: Passed -> Informa o status geral do EDR.

Summary Information Details

 

Self-Protection Status is Enabled -> Informa o status da proteção ativa.

Sentinel Agent Status is Running Normally -> Informa o status do agente.

Build of the Monitor Agent is 4.6.13.298 -> Informa a versão atual do agente instalado.

Dynamic Engine Status is Enabled -> Informa o status do Motor Dinâmico

Is EDR Installed Yes -> Informa se o EDRi está instalado.

Enforced Security Status is Enabled -> Informa o status da Segurança Forçada.

Infected Status is Clean -> Informa o status de infecção.

 

OBS 1: Toda e qualquer ação de correção ou análise mais profunda da situação deve ser realizada diretamente no painel do EDRi. A verificação de script do painel RMM apenas te informa a situação do EDRi sobre aquele dispositivo, não sendo possível tomar nenhuma ação através dela.

 

OBS 2: Se o dispositivo for infectado por alguma ameaça, seja ela real ou falso positivo, e no EDRi estiver configurado para desconectar o dispositivo da rede de forma automática o alerta da ameaça não aparecerá no painel RMM.

Isto ocorre porque o agente de comunicação do EDRi é separado do agente de comunicação do RMM. Assim que o EDRi desconecta o dispositivo da rede, o agente do RMM perde a comunicação (por falta da internet) com o painel (mas o agente do EDRi continua ativo, e permite realizar qualquer ação relacionada ao EDRi). Como o RMM trabalha com ciclos de verificações e precisa da comunicação com a internet sempre ativa para reportar, o device vai aparecer como desconectado.

Neste caso recomendamos que não se utilize a opção Disconnected from Network de forma automática, devendo ser aplicada manualmente para cada tipo de situação. E desta forma você poderá ser alertado pelo painel RMM.

Artigos relacionados

Comentários

0 comentário

Por favor, entre para comentar.