Quarentena (Endpoint)
O que é Quarentena (Endpoint)?
Quarentena (Endpoint)Acao de seguranca de endpoint que move um ficheiro suspeito do local original para um armazenamento controlado e neutralizado, impedindo execucao mas mantendo a possibilidade de analise.
A quarentena e a acao de resposta historica de AV, NGAV e EDR quando um ficheiro e classificado como malicioso. O agente retira o ficheiro do disco (ou nega acesso), cifra-o com uma chave conhecida apenas por si e armazena-o num diretorio protegido — por exemplo ProgramData\Microsoft\Windows Defender\Quarantine no Windows ou /Library/Application Support/CrowdStrike no macOS — com metadados da detecao. Defender, ESET, CrowdStrike, SentinelOne e Sophos disponibilizam consolas centrais onde o administrador pode rever, libertar apos triage ou submeter amostras ao laboratorio na cloud. A quarentena difere do isolamento de endpoint: neutraliza um ficheiro, enquanto o isolamento corta a maquina inteira. Ambas costumam ser orquestradas por playbooks SOAR.
● Exemplos
- 01
Microsoft Defender poe em quarentena um documento Word com macros descarregado e guarda a copia cifrada para revisao posterior.
- 02
ESET Inspect liberta um PDF em quarentena erroneamente assinalado como Bredolab apos triage.
● Perguntas frequentes
O que é Quarentena (Endpoint)?
Acao de seguranca de endpoint que move um ficheiro suspeito do local original para um armazenamento controlado e neutralizado, impedindo execucao mas mantendo a possibilidade de analise. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Quarentena (Endpoint)?
Acao de seguranca de endpoint que move um ficheiro suspeito do local original para um armazenamento controlado e neutralizado, impedindo execucao mas mantendo a possibilidade de analise.
Como funciona Quarentena (Endpoint)?
A quarentena e a acao de resposta historica de AV, NGAV e EDR quando um ficheiro e classificado como malicioso. O agente retira o ficheiro do disco (ou nega acesso), cifra-o com uma chave conhecida apenas por si e armazena-o num diretorio protegido — por exemplo ProgramData\Microsoft\Windows Defender\Quarantine no Windows ou /Library/Application Support/CrowdStrike no macOS — com metadados da detecao. Defender, ESET, CrowdStrike, SentinelOne e Sophos disponibilizam consolas centrais onde o administrador pode rever, libertar apos triage ou submeter amostras ao laboratorio na cloud. A quarentena difere do isolamento de endpoint: neutraliza um ficheiro, enquanto o isolamento corta a maquina inteira. Ambas costumam ser orquestradas por playbooks SOAR.
Como se defender contra Quarentena (Endpoint)?
As defesas contra Quarentena (Endpoint) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Quarentena (Endpoint)?
Nomes alternativos comuns: Quarentena de ficheiro, Quarentena de malware, Quarentena de endpoint.
● Termos relacionados
- defense-ops№ 050
Antivirus (AV)
Software de endpoint que deteta e remove ficheiros maliciosos atraves de bases de assinaturas, varrimento de ficheiros e heuristicas basicas; e a base historica da seguranca de endpoint.
- defense-ops№ 725
Antivirus de Proxima Geracao (NGAV)
Protecao de endpoint que complementa a deteccao por assinaturas com modelos de ML, analitica comportamental e prevencao de exploits para parar ameacas desconhecidas e fileless.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 381
Isolamento de Endpoint
Acao de resposta de EDR que corta a conectividade de rede de um host comprometido excepto para a plataforma de seguranca, evitando movimento lateral durante a investigacao.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- forensics-ir№ 650
Análise de malware
Estudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.