Dell Endpoint Security Suite Enterprise Guía de inicio rápido de Advanced Threat Prevention v3.0 Mayo 2021 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2012-2021 Dell Inc. All rights reserved.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................4 Cómo ponerse en contacto con Dell ProSupport..............................................................................................................4 Capítulo 2: Introducción.................................................................................................................. 5 Aprovisionamiento de un inquilino......................
1 Introducción Antes de llevar a cabo tareas que se explican en esta guía, se deben instalar los siguientes componentes: ● Endpoint Security Suite Enterprise: consulte la Guía de instalación avanzada de Endpoint Security Suite Enterprise o la Guía de instalación básica de Endpoint Security Suite Enterprise ● Servidor Security Management Server o Security Management Server Virtual: consulte Security Management Server Installation and Migration Guide (Guía de instalación y migración de Security Management Ser
2 Introducción En este capítulo se detallan los pasos recomendados para comenzar a administrar Advanced Threat Prevention.
Comunicación de agentes y aprovisionamiento Los siguientes diagramas muestran el proceso de aprovisionamiento del servicio de Advanced Threat Prevention.
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention. El siguiente diagrama ilustra la arquitectura y la comunicación del servidor Dell.
Activar la verificación de la integridad de la imagen del BIOS La política de verificación de la integridad de la imagen del BIOS está activada de forma predeterminada cuando el conmutador principal para Advanced Threat Prevention está activado. Para obtener una descripción general del proceso de verificación de la integridad de la imagen del BIOS, consulte Proceso de verificación de la integridad de la imagen del BIOS.
Si la política Habilitar la garantía de BIOS se selecciona en la consola de administración, el grupo de usuarios de Cylance valida un hash del BIOS en computadoras de terminales para asegurarse de que el BIOS no ha sido modificado desde la versión de fábrica de Dell, que es un posible vector de ataque. Si se detecta una amenaza, se pasa una notificación al Dell Server y el administrador de TI recibe un mensaje de alerta en la Remote Management Console.
Modelos de equipos de Dell compatibles con la verificación de la integridad de la imagen del BIOS ● ● ● ● ● ● ● ● ● ● Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● Estación de trabajo Precision 5510 Estación de trabajo Precision 3620 Estación de trabajo Precision 7510 Estación de trabajo Precision 7710 Estación de trabajo Precision T3420 Venue 10 pro 5056 Ven
NOTA: Se requiere el rol de administrador de seguridad para ver, modificar o confirmar políticas. Para ver o modificar los privilegios de administrador existentes, siga estos pasos: 1. En el panel izquierdo, haga clic en Poblaciones> Administradores. 2. Busque o seleccione la fila que muestra el nombre de usuario del administrador correspondiente para mostrar detalles del usuario. 3. Consulte o modifique roles de administrador en el panel de la derecha. 4. Haga clic en Guardar.
NOTA: Los niveles de prioridad de notificación no están relacionados con los niveles de prioridad mostrados en el tablero que no sea el del área de notificaciones. Las prioridades son Crítica, Alta, Media y Baja. Estos niveles de prioridad están relacionados entre sí dentro de un tipo de notificación. Puede seleccionar los niveles de prioridad de las notificaciones para incluir en el área de notificaciones del tablero o de las listas de notificaciones por correo electrónico.
3 Políticas En este capítulo se detalla la administración de políticas de Advanced Threat Prevention. ● Habilitar Advanced Threat Prevention ● Configuración de la política recomendada ● Confirmar modificaciones de la política Para ver una lista con todas las políticas de Advanced Threat Prevention y sus correspondientes descripciones, consulte AdminHelp, disponible en la consola de administración.
4 Amenazas En este capítulo se explica cómo identificar y administrar las amenazas que se hayan encontrado en un entorno empresarial después de la instalación de Advanced Threat Prevention.
Etiqueta Gravedad Detalle de la memoria o de control de scripts. Luego, se eliminó el archivo ejecutable o el script. Normalmente, esto indica que la política descrita de protección de la memoria o de control de scripts se estableció en Eliminar. Trasgresión de la memoria Aviso Indica que se encontró un archivo ejecutable o un script que estaba en trasgresión con la política de protección de la memoria o de control de scripts.
● Agentes: proporciona información acerca de los dispositivos que ejecutan el cliente de Advanced Threat Prevention, así como la opción para exportar la información o quitar dispositivos de la lista. ● Lista global: muestra los archivos en Cuarentena global y en Lista de seguridad y ofrece la opción de mover archivos a estas listas. ● Opciones: permite integrarse con el software de Security Information Event Management (SIEM). ● Certificado: permite cargar certificados.
Para identificar las clasificaciones que pueden influir en su organización, Dell recomienda el siguiente enfoque: 1. Aplicar un filtro a la columna Estado nuevo para mostrar todos los archivos con los estados Seguro, Anómalo y Cuarentena. 2. Aplicar un filtro a la columna Estado de producción para mostrar todos los archivos con el estado Seguro. 3. Aplicar un filtro a la columna Clasificación para mostrar solo las amenazas locales de confianza.
de confianza), convicción de la industria de AV (vínculos a VirusTotal.com para su comparación con otros proveedores), fecha de primera detección, SHA256, MD5, información del archivo (autor, descripción, versión) y detalles de la firma. Comandos ● Exportar: exporte los datos de la amenaza a un archivo .CSV. Seleccione las filas que desea exportar y haga clic en Exportar. ● Cuarentena global: agregue un archivo a la lista de cuarentena global.
5 Modo desconectado El modo desconectado permite que un Dell Server gestione extremos de Advanced Threat Prevention sin conexión de cliente a Internet ni a una red externa. El modo desconectado también permite que el Dell Server administre sin conexión a Internet ni a un servicio de Advanced Threat Prevention aprovisionado y alojado. El Dell Server captura todos los eventos y datos de amenazas en Modo desconectado.
● Permisión global ● Lista de cuarentena ● Lista de seguridad Estas políticas se envían al cliente de Advanced Threat Prevention, solamente si el Dell Server detecta un token de instalación en Modo desconectado, el cual tiene el prefijo "DELLAG". Consulte AdminHelp para ver ejemplos de estas políticas. Para ver los archivos que Advanced Threat Prevention identifica como las posibles amenazas, vaya a la pestaña Empresa > Eventos de amenazas avanzadas.
6 Solución de problemas Recuperar Advanced Threat Prevention Servicio de recuperación Necesitará su certificado, del que ha hecho una copia de seguridad, para recuperar el servicio de Advanced Threat Prevention. 1. En el panel izquierdo de la consola de administración, haga clic en Administración > Administración de servicios. 2. Haga clic en Recuperar el servicio de Advanced Threat Prevention. 3.
El valor de registro se comprueba cuando se inicia el servicio Advanced Threat Prevention o cuando el valor cambia. Si el valor de registro no existe, no se produce ningún cambio a nivel de registro. Utilice esta configuración de registro solo para realizar pruebas o depuraciones, ya que este ajuste controla el nivel de detalle de registro de otros componentes, incluidos Encryption y Encryption Management Agent.