Etapas necessárias quando ocorre uma ameaça

1. Um usuário ou processo tenta realizar uma ação.
2. Esta ação é examinada pela proteção de acesso de acordo com as regras definidas.
3. Quando uma regra é quebrada, a ação solicitada pelo usuário ou processo é gerenciada com as informações nas regras configuradas. Por exemplo, a ação não tem consequências, é bloqueada ou é bloqueada e um relatório é enviado.
4. O arquivo de registro de proteção de acesso é atualizado e um evento é gerado para o Administrador global do ePolicy Orchestrator.

Exemplos de uma ameaça de acesso

1. Um usuário baixa um programa, MyProgram.exe, da Internet.
   Nota: Neste exemplo, MyProgram.exe não é um malware.
2. O usuário inicia o programa, que aparentemente funciona como esperado.
3. MyProgram.exe, em seguida, inicia um processo filho chamado AnnoyMe.exe que tenta modificar o sistema operacional para garantir que sempre seja carregado na inicialização.
4. A proteção de acesso processa a solicitação e a compara com uma regra existente configurada para bloquear e gerar relatórios.
5. AnnoyMe.exe tem o acesso negado ao tentar modificar o sistema operacional, a proteção de acesso registra os detalhes da tentativa e gera um alerta para o Administrador global do ePolicy Orchestrator.

Relatório de registros e alertas gerados

Este é um exemplo de entrada de registro de proteção de acesso.

  2/10/2010 11:00AM Bloqueado pela regra de proteção de acesso TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Impede o registro de programas para execução automática  

Informações similares estão disponíveis com as consultas do ePolicy Orchestrator. Para obter detalhes, consulte Acesso a consultas e dashboards.