Por mais informação que a maioria das ferramentas de segurança corporativa colete sobre o endpoint, no fim ela apenas reporta. Durante um incident, a equipe de TI pega o telefone, liga para o usuário e pede que ele desligue o dispositivo. Horas se passam, e o atacante ainda está na rede.
O mesmo problema existe na operação distribuída. Quando uma nova política precisa ser aplicada a todo o inventário de dispositivos, as ferramentas clássicas enviam um arquivo, esperam que o usuário reinicie e levam dias para descobrir em qual dispositivo a tarefa foi concluída.
Essa lacuna é o abismo entre o monitoramento passivo e a gestão ativa. As capacidades de ação remota do ETM fecham esse abismo: o comando é transmitido ao dispositivo por um canal seguro através do agente, o resultado retorna ao vivo e a trilha de auditoria é mantida.
Do monitoramento à gestão do dispositivo, o TR7 ETM funciona a partir de um único agente; a ação está sempre sob política e auditoria.
O operador ou analista de SOC executa uma consulta estruturada para consultar o estado atual do inventário: 'esse software está instalado em quais dispositivos?', 'quem está conectado a esse IP?', 'em quais dispositivos o Endpoint Threat Protection (EDR) foi reiniciado nos últimos 5 minutos?'. A resposta é reunida em segundos.
O operador autorizado pode transmitir comandos a dispositivos específicos ou a todo o inventário de dispositivos: reiniciar serviço, instalar patch de software, alterar configuração, recuperar arquivo, depositar arquivo. Todas as ações são registradas na trilha de auditoria.
Em um incident ou na detecção de alto risco, o dispositivo pode ser desconectado da rede — o acesso à internet é bloqueado e apenas o canal de gestão do ETM é mantido aberto. A área de movimento lateral do atacante é fechada; o dispositivo continua disponível para inspeção remota.
Para cada comando, a identidade do usuário autorizado, o motivo da ação e a seleção do alvo são auditados. Para ações de alto risco pode-se definir uma cadeia de aprovação; a solicitação de um operador pode não ser executada sem a aprovação de outro operador.
A ação remota é a camada de gestão ativa do ETM para as equipes de incident response, operações e compliance.
Com uma linguagem de consulta estruturada, milhares de dispositivos são consultados de uma só vez. Consultas do tipo 'em quais dispositivos a criptografia de disco está desligada?', 'quais dispositivos usam o driver desta versão?', 'há dispositivos em que uma nova conta admin foi criada nas últimas 24 horas?' retornam resposta em segundos.
Com a aprovação do operador, pode-se executar no dispositivo um script predefinido ou um comando de sistema controlado. Operações de rotina como reinício de serviço, coleta de logs, aplicação de correção temporária e alteração de registry/plist são feitas remotamente.
Pacotes de patch, arquivos de configuração ou arquivos de log/dump necessários para forense podem ser carregados no dispositivo e recuperados. Toda a transferência é feita pelo canal seguro do ETM; não é necessário configurar compartilhamento direto de arquivos.
O analista de SOC ou a automação de política pode encerrar um processo específico em um único dispositivo ou em todo o inventário de dispositivos. A propagação de um software suspeito, a execução de um serviço inesperado ou um processo de alto consumo de recursos podem ser impedidos imediatamente.
Um dispositivo pode ser isolado da rede por causa de um incident, alarme de Endpoint Threat Protection (EDR) ou violação de política. Durante o isolamento, o acesso à internet, os recursos de rede internos e as conexões de serviço são bloqueados; apenas o canal de gestão do ETM permanece aberto. O SOC continua a inspeção remota do dispositivo.
Uma nova regra de firewall, uma nova confiabilidade de certificado ou uma política de auditoria alterada são transmitidas a todo o inventário de dispositivos a partir de uma única definição central. O estado de aplicação em cada dispositivo é monitorado ao vivo; aplicações falhas podem ser repetidas automaticamente ou reportadas ao operador.
Os dispositivos sobre os quais a ação será aplicada podem ser selecionados por critérios dinâmicos, não por grupos estáticos. Resultados de consulta ao vivo como 'todos os dispositivos Linux', 'dispositivos da equipe financeira', 'dispositivos em que foi detectada não conformidade na última hora' tornam-se diretamente a lista de alvos.
Para ações de alto risco — exclusão de arquivo em todo o inventário de dispositivos, reinício de serviço de núcleo, isolamento de rede — pode-se definir uma cadeia de aprovação dupla ou múltipla. A solicitação de um operador não é executada sem a aprovação de outro operador autorizado.
Após o comando ser enviado, a resposta de cada dispositivo é exibida ao vivo: bem-sucedido, falho, offline, pendente. O operador vê em segundos em qual dispositivo a tarefa foi concluída; para tarefas não concluídas, é direcionada uma nova tentativa ou intervenção manual.
Quem, quando, a qual dispositivo, qual comando, com qual justificativa enviou — cada ação é gravada na trilha de auditoria. A saída do comando e a resposta do dispositivo são armazenadas de forma correlacionada. O registro de auditoria pode ser exportado ao SIEM e usado como evidência nos processos de auditoria.
A ação remota integra-se aos fluxos de trabalho diários das equipes de segurança e operações — incluindo paleta de comandos, automação, auditoria e relatórios.
Pode-se definir qual operador pode aplicar quais ações a qual grupo de dispositivos. O analista de SOC pode acessar as ações de incident response; o operador de TI pode acessar as ações de patch e configuração; operadores restritos podem apenas executar consultas.
Ações que se repetem com frequência podem ser armazenadas como playbook: 'quando o agente de Endpoint Threat Protection (EDR) parar → isolar o dispositivo + notificar o SOC + recuperar dump de log das últimas 24 horas'. O playbook pode ser vinculado como gatilho aos eventos do ETM.
Para um dispositivo que esteja offline no momento do comando, a ação é colocada em fila. Quando o dispositivo se reconecta, os comandos pendentes são aplicados automaticamente; o resultado é reportado ao operador. O tempo de espera na fila pode ser limitado por política.
As ações são divididas em níveis de risco conforme a superfície de impacto. Consultas de baixo risco podem ser executadas por um único operador; ações em massa de alto risco exigem uma segunda aprovação. Os níveis de risco podem ser configurados com a política da organização.
Cada registro de auditoria de ação remota pode ser exportado ao SIEM. As equipes de compliance podem usar as ações do ETM para relatórios regulatórios; é crítico especialmente nos setores financeiro e de saúde para a auditoria de intervenção insider.
A arquitetura de envio de comandos, seleção de alvo e coleta de resultados suporta a aplicação de comando a dezenas de milhares de dispositivos de uma só vez. O tempo de resposta por dispositivo é independente da linha paralela.
Quando o analista de SOC recebe um alarme de Endpoint Threat Protection (EDR), desconecta da rede o dispositivo afetado com um clique. A área de movimento lateral do atacante é fechada; o dispositivo permanece disponível para forense remota. Processos manuais por telefone e horas de atraso desaparecem.
Quando um novo CVE é divulgado, a equipe de TI executa o playbook de patch; os dispositivos afetados são encontrados por consulta ao vivo, o arquivo de patch é transmitido e o estado de instalação é reportado. O trabalho manual de horas reduz-se a minutos.
Para a investigação, um arquivo de log, memory dump ou snapshot de configuração é recuperado remotamente do dispositivo. O material da investigação chega pelo canal seguro sem que o dispositivo saia das mãos do usuário e sem interromper seu fluxo de trabalho.
Durante a auditoria, perguntas como 'a criptografia de disco está ativa em todos os dispositivos?' ou 'o agente de Endpoint Threat Protection (EDR) está em execução em todos os dispositivos?' são respondidas em segundos. Em vez de relatórios manuais de inventário, é apresentada uma cadeia de evidências ao vivo.
Vamos ver a ETM Ação Remota ao vivo no seu próprio ambiente — vamos planejar uma sessão de implantação que inclua o design de playbook.