A ferramenta SIEM da Rapid7, especialmente o InsightIDR, não possui uma funcionalidade direta para “exceções” de pastas ou programas como um antivírus tradicional. No entanto, se você está tentando evitar que certos arquivos, pastas ou processos sejam sinalizados como suspeitos ou incluídos em alertas, há algumas abordagens que você pode seguir:
Como configurar exceções no Rapid7 InsightIDR #
Usar regras de supressão (Suppression Rules) #
Essas regras permitem que você filtre eventos ou alertas com base em critérios específicos.
Em relação ao Agente Master Remote, dependendo da versão utilizada, poderão ser encontrados dois caminhos de pastas, conforme descrito a seguir:
- C:\Program Files (x86)\MasterRemote\
- C:\Program Files (x86)\Master Remote Sistemas LTDA\Master Remote\
Para os exemplos, utilizaremos apenas o caminho mais curto, com finalidade ilustrativa.
- Acesse o painel do InsightIDR.
- Vá para Detection Rules.
- Selecione a regra que está gerando alertas indesejados.
- Clique em Suppressions.
- Crie uma nova regra de supressão como por exemplo:
- Nome do processo : MasterRemote.exe
- Caminho da pasta C:\Program Files (x86)\Master Remote Sistemas LTDA\Master Remote
- Usuário ou host específico
- Opcional: Hash do arquivo: copie o informado no alerta
Customizar regras de detecção #
Você pode editar ou criar regras personalizadas para ignorar certos comportamentos que normalmente seriam considerados suspeitos.
- Vá em Custom Detection Rules.
- Crie uma nova regra ou edite uma existente.
- Adicione condições para ignorar eventos que envolvam o caminho da pasta ou o nome do programa, como por exemplo:
- O nome do processo seja:
MasterRemote.exe - O caminho contenha
C:\Program Files (x86)\Master Remote Sistemas LTDA\Master Remote
- O nome do processo seja:
Utilizar listas de permissões (Allow Lists) #
Alguns módulos, como o Endpoint Detection, permitem configurar listas de arquivos confiáveis.
- Acesse a seção de Endpoint Agents.
- Vá para configurações de File Integrity Monitoring (FIM) ou Process Monitoring.
- Adicione os caminhos ou processos à lista de arquivos confiáveis.
Se você estiver usando o InsightVM (para gerenciamento de vulnerabilidades), o conceito de exceção é diferente — você pode marcar vulnerabilidades como “aceitas” ou “não aplicáveis”, mas não há exclusão de arquivos ou pastas.
Gostou do artigo? Veja então as novidades em nosso SITE, compartilhe o artigo com seus amigos e siga a Master Remote no LinkedIn, Youtube, Instagram e Facebook. Além disso, aproveite para explorar outros artigos ao lado e fique por dentro das últimas novidades sobre tecnologia para atendimento ao cliente e cibersegurança.
Gostou do artigo? Veja então as novidades em nosso SITE, compartilhe o artigo com seus amigos e siga a Master Remote no LinkedIn, Youtube, Instagram e Facebook. Além disso, aproveite para explorar outros artigos ao lado e fique por dentro das últimas novidades sobre tecnologia para atendimento ao cliente e cibersegurança.
