Dell Endpoint Security Suite Enterprise Guía de inicio rápido de Advanced Threat Prevention v2.9 December 2020 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una ADVERTENCIA indica un potencial daño al hardware o pérdida de datos y le informa cómo evitar el problema. AVISO: Una señal de PRECAUCIÓN indica la posibilidad de sufrir daño a la propiedad, heridas personales o la muerte. © 2012-2020 Dell Inc. All rights reserved. Dell, EMC, y otras marcas comerciales son marcas comerciales de Dell Inc. o de sus filiales.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................4 Cómo ponerse en contacto con Dell ProSupport..............................................................................................................4 Capítulo 2: Introducción.................................................................................................................. 5 Aprovisionamiento de un inquilino......................
1 Introducción Antes de llevar a cabo tareas que se explican en esta guía, se deben instalar los siguientes componentes: ● Endpoint Security Suite Enterprise: consulte la Guía de instalación avanzada de Endpoint Security Suite Enterprise o la Guía de instalación básica de Endpoint Security Suite Enterprise ● Servidor Security Management Server o Security Management Server Virtual: consulte Security Management Server Installation and Migration Guide (Guía de instalación y migración de Security Management Ser
2 Introducción En este capítulo se detallan los pasos recomendados para comenzar a administrar Advanced Threat Prevention.
Comunicación de agentes y aprovisionamiento Los siguientes diagramas muestran el proceso de aprovisionamiento del servicio de Advanced Threat Prevention.
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention. El siguiente diagrama ilustra la arquitectura y la comunicación del servidor Dell.
Activar la verificación de la integridad de la imagen del BIOS La política de verificación de la integridad de la imagen del BIOS está activada de forma predeterminada cuando el conmutador principal para Advanced Threat Prevention está activado. Para obtener una descripción general del proceso de verificación de la integridad de la imagen del BIOS, consulte Proceso de verificación de la integridad de la imagen del BIOS.
Si la política Habilitar la garantía de BIOS se selecciona en la consola de administración, el grupo de usuarios de Cylance valida un hash del BIOS en computadoras de terminales para asegurarse de que el BIOS no ha sido modificado desde la versión de fábrica de Dell, que es un posible vector de ataque. Si se detecta una amenaza, se pasa una notificación al Dell Server y el administrador de TI recibe un mensaje de alerta en la Remote Management Console.
Modelos de equipos de Dell compatibles con la verificación de la integridad de la imagen del BIOS ● ● ● ● ● ● ● ● ● ● Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● Estación de trabajo Precision 5510 Estación de trabajo Precision 3620 Estación de trabajo Precision 7510 Estación de trabajo Precision 7710 Estación de trabajo Precision T3420 Venue 10 pro 5056 Ven
● Realizar copias de seguridad y descargar certificados existentes de Advanced Threat Prevention NOTA: Se requiere el rol de administrador de seguridad para ver, modificar o confirmar políticas. Para ver o modificar los privilegios de administrador existentes, siga estos pasos: 1. 2. 3. 4. En el panel izquierdo, haga clic en Poblaciones> Administradores. Busque o seleccione la fila que muestra el nombre de usuario del administrador correspondiente para mostrar detalles del usuario.
Seleccione Borrar elementos seleccionados para restablecer las selecciones de esta lista. Niveles de prioridad NOTA: Los niveles de prioridad de notificación no están relacionados con los niveles de prioridad mostrados en el tablero que no sea el del área de notificaciones. Las prioridades son Crítica, Alta, Media y Baja. Estos niveles de prioridad están relacionados entre sí dentro de un tipo de notificación.
3 Políticas En este capítulo se detalla la administración de políticas de Advanced Threat Prevention. ● Habilitar Advanced Threat Prevention ● Configuración de la política recomendada ● Confirmar modificaciones de la política Para ver una lista con todas las políticas de Advanced Threat Prevention y sus correspondientes descripciones, consulte AdminHelp, disponible en la consola de administración.
4 Amenazas En este capítulo se explica cómo identificar y administrar las amenazas que se hayan encontrado en un entorno empresarial después de la instalación de Advanced Threat Prevention.
Etiqueta Gravedad Detalle Transgresión eliminada de la memoria Aviso Indica que se detectó un archivo ejecutable o un script que estaba activamente en ejecución y en trasgresión con la política de protección de la memoria o de control de scripts. Luego, se eliminó el archivo ejecutable o el script. Normalmente, esto indica que la política descrita de protección de la memoria o de control de scripts se estableció en Eliminar.
● Protección: muestra los archivos y las secuencias posiblemente perjudiciales y los detalles respectivos, incluidos los dispositivos en los que se encuentran los archivos y las secuencias de comandos. ● Agentes: proporciona información acerca de los dispositivos que ejecutan el cliente de Advanced Threat Prevention, así como la opción para exportar la información o quitar dispositivos de la lista.
En las situaciones descritas anteriormente, la recomendación es incluir en la lista de seguridad los archivos que desea permitir en su organización. Identificar clasificaciones Para identificar las clasificaciones que pueden influir en su organización, Dell recomienda el siguiente enfoque: 1. Aplicar un filtro a la columna Estado nuevo para mostrar todos los archivos con los estados Seguro, Anómalo y Cuarentena. 2.
Para ver información adicional sobre una amenaza específica, haga clic en el vínculo del nombre de amenaza para ver los detalles en una nueva página o haga clic en cualquier sitio de la fila de la amenaza para ver los detalles en la parte inferior de la página. Para ver más información sobre las amenazas de la tabla, haga clic en la flecha desplegable en un encabezado de columna para seleccionar y agregar columnas.
5 Modo desconectado El modo desconectado permite que un Dell Server gestione extremos de Advanced Threat Prevention sin conexión de cliente a Internet ni a una red externa. El modo desconectado también permite que el Dell Server administre sin conexión a Internet ni a un servicio de Advanced Threat Prevention aprovisionado y alojado. El Dell Server captura todos los eventos y datos de amenazas en Modo desconectado.
Identificar y administrar las amenazas en modo desconectado Para administrar las amenazas en modo desconectado, en primer lugar debe establecer las siguientes políticas de Advanced Threat Prevention que se aplican a su organización: ● Permisión global ● Lista de cuarentena ● Lista de seguridad Estas políticas se envían al cliente de Advanced Threat Prevention, solamente si el Dell Server detecta un token de instalación en Modo desconectado, el cual tiene el prefijo "DELLAG".
6 Solución de problemas Recuperar Advanced Threat Prevention Servicio de recuperación Necesitará su certificado, del que ha hecho una copia de seguridad, para recuperar el servicio de Advanced Threat Prevention. 1. En el panel izquierdo de la consola de administración, haga clic en Administración > Administración de servicios. 2. Haga clic en Recuperar el servicio de Advanced Threat Prevention. 3.
Debug 15 El valor de registro se comprueba cuando se inicia el servicio Advanced Threat Prevention o cuando el valor cambia. Si el valor de registro no existe, no se produce ningún cambio a nivel de registro. Utilice este ajuste del registro solo para realizar pruebas u operaciones de depuración, ya que este ajuste controla el nivel de detalle de registro de otros componentes, incluido el cliente Encryption y Encryption Management Agent.