McAfee Endpoint Security 10.6.0 - Guía de producto de ... · • Integración con el análisis de...

McAfee Endpoint Security 10.6.0 - Guía deproducto de Protección adaptable frente aamenazas(McAfee ePolicy Orchestrator)

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUCIONES DE MARCAS COMERCIALESMcAfee y el logotipo de McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA

Acuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SEESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DELICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LALICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALESCOMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DESOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO AMCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

2 McAfee Endpoint Security 10.6.0 - Guía de producto de Protección adaptable frente a amenazas

Contenido

1 Descripción general del producto 5Descripción general de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 5Cómo funciona Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Descripción general de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . 8Funciones clave de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . 9Cómo funciona Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . . 10Descripción general de las funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Cómo controlan el acceso las reputaciones de archivo y de certificado . . . . . . . . . . . . 14Cómo se determina una reputación . . . . . . . . . . . . . . . . . . . . . . . . 14Cómo funcionan los archivos de contenido . . . . . . . . . . . . . . . . . . . . . . 19Cómo el análisis de Real Protect supervisa la actividad . . . . . . . . . . . . . . . . . . 20Cómo funciona la Contención dinámica de aplicaciones . . . . . . . . . . . . . . . . . 21

Utilizar Protección adaptable frente a amenazas en su entorno . . . . . . . . . . . . . . . . . 23Creación de la prevalencia de un archivo mediante el modo de evaluación . . . . . . . . . . 23Supervisión y realización de ajustes . . . . . . . . . . . . . . . . . . . . . . . . . 24Envío de archivos para un análisis más detallado . . . . . . . . . . . . . . . . . . . . 24

Protección adaptable frente a amenazas añade a McAfee ePO . . . . . . . . . . . . . . . . . . 25Uso de los conjuntos de permisos . . . . . . . . . . . . . . . . . . . . . . . . . 26Configuración del servidor y Protección adaptable frente a amenazas . . . . . . . . . . . . 27

2 Configuración de Prevención adaptable frente a amenazas 29Directivas y Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . . . 29Contención de aplicaciones de forma dinámica . . . . . . . . . . . . . . . . . . . . . . . 31

Activar el umbral de activación de Contención dinámica de aplicaciones . . . . . . . . . . . 31Configuración de reglas de contención definidas por McAfee . . . . . . . . . . . . . . . 32Procedimiento recomendado: Ajuste de Contención dinámica de aplicaciones . . . . . . . . . 32Visualización de aplicaciones contenidas en McAfee ePO . . . . . . . . . . . . . . . . . 33Impedir que la Contención dinámica de aplicaciones contenga programas de confianza . . . . . 33Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad . . . . 35

Configure Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . . . . 35Excluir procesos del análisis de Protección adaptable frente a amenazas . . . . . . . . . . . . . . 36

3 Administración de Protección adaptable frente a amenazas 37Controlar nuevos falsos positivos con archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . 37

Descargue y despliegue un archivo Extra.DAT en los sistemas cliente de McAfee ePO . . . . . . 37

4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePO 39Comprobación de eventos recientes en busca de amenazas . . . . . . . . . . . . . . . . . . . 39

Comprobar los detalles sobre eventos de amenaza recientes . . . . . . . . . . . . . . . 40Responder a los eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Paneles, monitores y Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . 41Consultas, informes y Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . 42Tareas servidor y Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . 45

Acumulación de datos de sistemas o eventos para Endpoint Security . . . . . . . . . . . . 46Eventos, respuestas y Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . 46

McAfee Endpoint Security 10.6.0 - Guía de producto de Protección adaptable frente a amenazas 3

5 Uso de Protección adaptable frente a amenazas en un sistema cliente 49Responder a un aviso de reputación de archivos . . . . . . . . . . . . . . . . . . . . . . . 49Desactivar los analizadores de Endpoint Security de la bandeja del sistema McAfee . . . . . . . . . . 50Comprobación del estado de la conexión . . . . . . . . . . . . . . . . . . . . . . . . . 50

6 Administración de Protección adaptable frente a amenazas en un sistema cliente 53Cargue un archivo Extra.DAT en un sistema cliente . . . . . . . . . . . . . . . . . . . . . . 53Contención de aplicaciones de forma dinámica . . . . . . . . . . . . . . . . . . . . . . . 53

Activar el umbral de activación de Contención dinámica de aplicaciones en un sistema cliente . . . 54Configurar las reglas de contención definidas por McAfee en un sistema cliente . . . . . . . . 55Administrar las aplicaciones contenidas en un sistema cliente . . . . . . . . . . . . . . . 55Impedir que contención dinámica de aplicaciones contenga los programas de confianza en un sistemacliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Configurar Protección adaptable frente a amenazas en un sistema cliente . . . . . . . . . . . . . 58Excluir procesos del análisis de Protección adaptable frente a amenazas en un sistema cliente . . . . . . 58

7 Supervisión de Protección adaptable frente a amenazas en un sistema cliente 61Consulte el Registro de eventos para ver la actividad reciente . . . . . . . . . . . . . . . . . . 61Nombres y ubicaciones de los archivos de registro de Protección adaptable frente a amenazas . . . . . . 62

Contenido


1 Descripción general del producto

Contenido Descripción general de Endpoint Security Cómo funciona Endpoint Security Descripción general de Protección adaptable frente a amenazas Funciones clave de Protección adaptable frente a amenazas Cómo funciona Protección adaptable frente a amenazas Descripción general de las funciones Utilizar Protección adaptable frente a amenazas en su entorno Protección adaptable frente a amenazas añade a McAfee ePO

Descripción general de Endpoint SecurityMcAfee

®

Endpoint Security es una solución de seguridad integrada y ampliable que protege servidores,sistemas de equipos, portátiles y tabletas contra amenazas conocidas y desconocidas. Las posibles amenazasincluyen malware, comunicaciones sospechosas, sitios web no seguros y archivos descargados.

Endpoint Security facilita que múltiples tecnologías de defensa se comuniquen en tiempo real para analizar yproteger contra amenazas.

Endpoint Security consiste en estos módulos de seguridad:

• Prevención de amenazas: evita que la amenazas accedan a los sistemas, analiza los archivosautomáticamente cuando se accede a ellos y ejecuta análisis dirigidos en busca de malware en los sistemascliente.

• Firewall: supervisa la comunicación entre el equipo y los recursos de la red e Internet. Intercepta lascomunicaciones sospechosas.

• Control web: supervisa las búsquedas web y la actividad de navegación en los sistemas cliente y bloquealos sitios web y descargas según las calificaciones de seguridad y el contenido.

• Protección adaptable frente a amenazas: analiza el contenido de su empresa y decide cómo responderen función de la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptablefrente a amenazas es un módulo opcional de Endpoint Security.

El módulo Ajustes generales proporciona la configuración para las funciones comunes, tales como la seguridadde interfaz y el registro. Este módulo se instala automáticamente si se instala cualquier otro módulo.

Todos los módulos se integran en una única interfaz de Endpoint Security en el sistema cliente. Cada módulofunciona conjuntamente e independiente para proporcionar varios niveles de seguridad.

Véase también Cómo funciona Endpoint Security en la página 6Descripción general de Protección adaptable frente a amenazas en la página 8

1


Cómo funciona Endpoint SecurityEndpoint Security intercepta las amenazas, supervisa el mantenimiento general del sistema y proporcionainformación sobre el estado y detecciones. El software cliente se instala en cada sistema para realizar estastareas.

Normalmente, instala uno o más módulos Endpoint Security en sistemas cliente, gestiona las detecciones yconfigura los ajustes que determinan cómo se comportan las funciones del producto.

McAfee ePO

Utiliza McAfee®

ePolicy Orchestrator®

(McAfee®

ePO™

) para desplegar y gestionar los módulos de EndpointSecurity en sistemas cliente. Cada módulo incluye una extensión y un paquete de software que se instalan en elservidor de McAfee ePO. A continuación, McAfee ePO despliega el software en los sistemas cliente.

Con McAfee®

Agent, el software cliente se comunica con McAfee ePO para obtener la configuración eimplementación de directivas, actualizaciones de productos y generación de informes.

Módulos de cliente

El software cliente protege los sistemas mediante actualizaciones regulares, supervisión continua y generaciónde informes detallados.

Envía datos sobre detecciones en sus equipos al servidor McAfee ePO. Estos datos se emplean para generarinformes sobre las detecciones y los problemas de seguridad en sus equipos.

Servidor de TIE y Data Exchange Layer

El marco de trabajo de Endpoint Security se integra con McAfee®

Threat Intelligence Exchange (TIE) y McAfee®

Data Exchange Layer (DXL) cuando utiliza la Protección adaptable frente a amenazas. Estos productosopcionales le permiten controlar localmente la reputación de archivos y compartir la informacióninmediatamente en su entorno.

Si el servidor de TIE no está disponible, Protección adaptable frente a amenazas consulta a McAfee®

GlobalThreat Intelligence

™

(McAfee GTI) la información de reputación.

McAfee GTI

Prevención de amenazas, Firewall, Control web y Protección adaptable frente a amenazas consultan a McAfeeGTI la información de reputación para determinar cómo gestionar los archivos en el sistema cliente.

1 Descripción general del productoCómo funciona Endpoint Security


McAfee Labs

El software cliente se comunica con McAfee Labs para obtener actualizaciones de motor y archivos decontenido. McAfee Labs publica regularmente paquetes de contenido actualizado.

Figura 1-1 Cómo funciona

Cómo se mantiene actualizada su protección

Las actualizaciones regulares de Endpoint Security protegen sus equipos frente las amenazas más recientes.

Para realizar las actualizaciones, el software cliente se conecta con un servidor McAfee ePO local o remoto odirectamente al sitio web Internet. Endpoint Security comprueba si:

• Actualizaciones de los archivos de contenido que detectan amenazas. Los archivos de contenido incluyendefiniciones de amenazas tales como virus y spyware, y estas definiciones se actualizan a medida que sedescubren nuevas amenazas.

• Ampliaciones de los componentes de software, como parches y hotfixes.

Véase también Descripción general de Protección adaptable frente a amenazas en la página 8

Descripción general del productoCómo funciona Endpoint Security 1


Descripción general de Protección adaptable frente a amenazasProtección adaptable frente a amenazas (ATP) de McAfee

®

Endpoint Security Endpoint Security es un móduloopcional de Endpoint Security que examina el contenido de su empresa y decide qué hacer en función de lareputación de los archivos, las reglas y los umbrales de reputación.

Protección adaptable frente a amenazas ofrece las siguientes ventajas:

• Detección rápida y protección frente a las amenazas de seguridad y el malware.

• La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagado laamenaza por el entorno.

• La capacidad de contener, bloquear o limpiar inmediatamente determinados archivos y certificados enfunción de sus reputaciones de amenaza y los criterios de riesgo.

• Integración con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados en lanube y en los sistemas cliente.

• Integración en tiempo real con McAfee® Advanced Threat Defense y McAfee GTI para proporcionarevaluaciones y datos detallados sobre la clasificación del malware. Esta integración permite responder a lasamenazas y compartir la información en todo el entorno.

Para disponer de más fuentes de inteligencia de amenazas y funciones, despliegue el servidor de McAfee®

Threat Intelligence Exchange (TIE). Para obtener información, póngase en contacto con su reseller orepresentante de ventas.

Componentes opcionales

Protección adaptable frente a amenazas se puede integrar con estos componentes opcionales:

• Servidor de TIE: servidor que almacena información sobre reputaciones de archivos y certificados;información que después transmite a otros sistemas.

• Data Exchange Layer: clientes y brókeres que permiten la comunicación bidireccional entre el móduloProtección adaptable frente a amenazas del sistema gestionado y el servidor de TIE.

Data Exchange Layer es opcional, pero es necesario para la comunicación con el servidor de TIE.

Estos componentes incluyen extensiones de McAfee ePO que incorporan diversos informes y funciones nuevos.

Véase también Descripción general de Endpoint Security en la página 5

1 Descripción general del productoDescripción general de Protección adaptable frente a amenazas


Funciones clave de Protección adaptable frente a amenazasLas características clave de Protección adaptable frente a amenazas protegen su empresa de los archivos dereputación desconocida, detectan patrones maliciosos y corrigen falsos positivos.

Protección

Proteja su empresa bloqueando o conteniendo archivos de reputación desconocida con estas funciones deProtección adaptable frente a amenazas:

• Control de archivos basado en la reputación: Protección adaptable frente a amenazas avisa cuando unarchivo desconocido entra en el entorno.

En lugar de enviar la información del archivo a McAfee para su análisis, Protección adaptable frente aamenazas puede bloquear el archivo de inmediato.

• Integración con el servidor de TIE: si está disponible, el servidor de TIE proporciona información sobrecómo se ha ejecutado el archivo en varios sistemas. Advanced Threat Defense ayuda a determinar si elarchivo es una amenaza.

• Contención dinámica de aplicaciones: permite que los archivos desconocidos se ejecuten en uncontenedor, por lo que se limitan las acciones que estos pueden realizar.

La primera vez que una empresa utiliza un archivo cuya reputación se desconoce, Protección adaptablefrente a amenazas puede ejecutarlo en un contenedor. Las reglas de contención definen las acciones queno puede realizar la aplicación contenida. La Contención dinámica de aplicaciones también contieneprocesos cuando estos cargan archivos PE (ejecutables de tipo portable) y DLL (bibliotecas de enlacedinámico) que reduzcan la reputación del proceso.

Detección

Detecte patrones maliciosos y malware en la memoria utilizando estas funciones de Protección adaptablefrente a amenazas:

• Análisis de Real Protect: realiza un análisis de reputación automatizado.

Real Protect inspecciona archivos y actividades sospechosos en sistemas cliente para detectar patronesmaliciosos mediante técnicas de aprendizaje automático. Los análisis de Real Protect basados en cliente yen la nube incluyen el análisis de archivos DLL para evitar que los procesos de confianza carguen archivosPE y DLL que no sean de confianza.

Corrección

Limpie archivos y elimine falsos positivos con estas funciones de Protección adaptable frente a amenazas:

• Limpieza de archivos: Protección adaptable frente a amenazas puede limpiar archivos cuando lareputación de estos alcance un umbral determinado.

• Exclusión de archivos personalizados: si un archivo personalizado es de confianza, pero tiene reputaciónde archivo malicioso de forma predeterminada, este queda bloqueado. Puede excluirlo del análisis ocambiar la reputación del archivo para que sea de confianza y permitir que se ejecute en la organización sinsolicitar un archivo DAT actualizado de McAfee.

• Paneles e informes de McAfee ePO: se muestran detecciones y actividad, que puede utilizar para ajustar laconfiguración de Protección adaptable frente a amenazas.

Descripción general del productoFunciones clave de Protección adaptable frente a amenazas 1


Cómo funciona Protección adaptable frente a amenazasProtección adaptable frente a amenazas utiliza la caché local de reputación, el servidor de TIE y McAfee GTIpara obtener información sobre la reputación y determinar cómo utilizar los archivos en el sistema cliente.

1 El administrador configura Protección adaptable frente a amenazas en McAfee ePO y se implementa en elsistema cliente.

2 Un usuario abre un archivo en el sistema cliente.

Protección adaptable frente a amenazas busca el archivo en la caché local de reputación.

3 Si el archivo no está en la caché local de reputación: Protección adaptable frente a amenazas envía unasolicitud al servidor de TIE, si está disponible, para obtener la reputación.

4 Si el servidor de TIE no está disponible o el archivo no está en la base de datos del servidor de TIE,Protección adaptable frente a amenazas envía una solicitud a McAfee GTI para obtener la reputación.

5 En función de la reputación del archivo y de la configuración de Protección adaptable frente a amenazas:

• Se podrá abrir el archivo. • Se podrá ejecutar el archivo en uncontenedor.

• El archivo estará bloqueado. • Se preguntará al usuario qué acción realizar.

6 McAfee GTI devuelve la información de reputación de archivos más reciente al servidor de TIE.

1 Descripción general del productoCómo funciona Protección adaptable frente a amenazas


7 El servidor de TIE actualiza la base de datos y envía la información de reputación actualizada a todos lossistemas con Protección adaptable frente a amenazas activado a fin de proteger su entorno de formainmediata.

8 Protección adaptable frente a amenazas registra los detalles y, a continuación, genera un evento y lo envía aMcAfee ePO.

Figura 1-2 Cómo funciona

Protección adaptable frente a amenazas funciona de forma diferente en función de si se comunica con elservidor de TIE y si hay conexión a Internet.

Si el servidor de TIE y Data Exchange Layer están presentes

Si el servidor de TIE está presente, Protección adaptable frente a amenazas utiliza el marco de Data ExchangeLayer para compartir la información sobre los archivos y las amenazas instantáneamente en toda la empresa.Es posible ver el sistema concreto donde se detectó una amenaza por primera vez, a qué ubicaciones se dirigiódesde allí y detenerla inmediatamente.

Protección adaptable frente a amenazas, con el servidor de TIE, le permite controlar de forma local lareputación de los archivos en su entorno. Debe decidir qué archivos se pueden ejecutar y cuáles se bloquean, yData Exchange Layer compartirá la información de manera inmediata en su entorno.

Descripción general del productoCómo funciona Protección adaptable frente a amenazas 1


Protección adaptable frente a amenazas y el servidor comunican la información de reputación del archivo. Elmarco de Data Exchange Layer transmite inmediatamente esa información a los endpoints gestionados.Además, también comparte información con otros productos de McAfee que acceden a Data Exchange Layer,tales como McAfee

®

Enterprise Security Manager (McAfee ESM) y McAfee®

Network Security Platform.

Figura 1-3 Protección adaptable frente a amenazas con Servidor de TIE y Data Exchange Layer

1 Descripción general del productoCómo funciona Protección adaptable frente a amenazas


Si el servidor de TIE y Data Exchange Layer no están presentes

Protección adaptable frente a amenazas se comunica con McAfee GTI para obtener la información dereputación del archivo.

Figura 1-4 Protección adaptable frente a amenazas con McAfee GTI

Si el servidor de TIE no está presente y el sistema no está conectado a Internet, Protección adaptable frente aamenazas determina la reputación de los archivos sirviéndose de la información del sistema local.

Véase también Cómo controlan el acceso las reputaciones de archivo y de certificado en la página 14Cómo el análisis de Real Protect supervisa la actividad en la página 20Cómo se determina una reputación en la página 14Cómo funciona la Contención dinámica de aplicaciones en la página 21Responder a un aviso de reputación de archivos en la página 49

Descripción general de las funciones

Contenido Cómo controlan el acceso las reputaciones de archivo y de certificado Cómo se determina una reputación Cómo funcionan los archivos de contenido Cómo el análisis de Real Protect supervisa la actividad Cómo funciona la Contención dinámica de aplicaciones

Descripción general del productoDescripción general de las funciones 1


Cómo controlan el acceso las reputaciones de archivo y de certificadoEl archivo y el certificado tienen reputaciones basadas en su contenido y sus propiedades. La configuración deProtección adaptable frente a amenazas determina si los elementos se bloquean o permiten en su entorno enfunción de los niveles de reputación.

Elija entre tres niveles de seguridad en función de cómo se deseen equilibrar las reglas correspondientes atipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los archivos ycertificados sospechosos y maliciosos.

• Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones deprogramas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de sistemas son losequipos que se utilizan en los entornos de desarrollo. Para esta configuración se emplean menos reglas. Losusuarios ven escasos bloqueos y solicitudes de confirmación cuando se detectan nuevos archivos.

• Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan cambioscon poca frecuencia. Para esta configuración se emplean más reglas. Los usuarios experimentan másbloqueos y solicitudes de confirmación.

• Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios.Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entornofinanciero o gubernamental. Esta configuración también se usa para los servidores. Para esta configuraciónse emplea el número máximo de reglas. Los usuarios experimentan aún más bloqueos y solicitudes deconfirmación.

A la hora de determinar qué nivel de seguridad asignar, tenga en cuenta el tipo de sistema y qué cantidad debloqueos y solicitudes quiere que experimente el usuario.

Véase también Configure Protección adaptable frente a amenazas en la página 35

Cómo se determina una reputaciónAl determinar la reputación de un archivo o un certificado, Protección adaptable frente a amenazas realizaanálisis previos a la ejecución y supervisión posterior a la ejecución.

Análisis del proceso antes de la ejecución

1 Descripción general del productoDescripción general de las funciones


1 Se carga un archivo ejecutable de tipo portable (PE) para su ejecución en un proceso.

2 Endpoint Security comprueba las exclusiones para determinar si debe inspeccionar o no el archivo.

3 Protección adaptable frente a amenazas inspecciona el archivo y recopila las propiedades del archivo y delsistema local.



4 Protección adaptable frente a amenazas busca el hash del archivo en la caché local de reputación.

• Si el hash del archivo se encuentra en la caché local de reputación, Protección adaptable frente aamenazas obtiene de la caché los datos de prevalencia y reputación del archivo y lleva a cabo la accióncorrespondiente.

• Si el hash del archivo no se encuentra en la caché, Protección adaptable frente a amenazas obtiene delservidor de TIE los datos de prevalencia y reputación del archivo.

Para obtener más información, consulte la documentación del servidor de TIE.

• Si Advanced Threat Defense está presente y activado, consulte el apartado Si el espacio aislado estáactivado (Advanced Threat Defense) que encontrará más abajo.

5 Si las reglas de Protección adaptable frente a amenazas determinan la reputación final, Protecciónadaptable frente a amenazas actualiza el servidor de TIE con la información de reputación más reciente ylleva a cabo la acción correspondiente.

6 Si Protección adaptable frente a amenazas no tiene la reputación final, el analizador cliente Real Protectanaliza el archivo.

• Si el analizador cliente Real Protect determina la reputación final, Protección adaptable frente aamenazas actualiza el servidor de TIE con la información de reputación más reciente y lleva a cabo laacción correspondiente.

• Si el analizador cliente Real Protect no determina la reputación final, esta pasa a ser Desconocida.Protección adaptable frente a amenazas permite iniciar el proceso y realizar una supervisión después dela ejecución.

Supervisión del proceso después de la ejecución



1 Se inicia el proceso.

• Si se conoce la reputación de archivos, Protección adaptable frente a amenazas lleva a cabo la acciónconfigurada (Contener, Bloquear o Limpiar).

• Si la reputación es Desconocida, Protección adaptable frente a amenazas permite iniciar el proceso.



2 Si está activado el analizador en la nube Real Protect, este supervisa el proceso en ejecución.

Si se detecta un comportamiento malicioso en el proceso, el analizador en la nube Real Protect lo corrige. Encaso contrario, continúa supervisando el proceso.

3 Si está activada la Contención dinámica de aplicaciones, el proceso se ejecuta en un contenedor.

Las reglas de contención determinan las acciones que puede realizar el proceso. Si el proceso activasuficientes reglas de contención de bloqueo y presenta un comportamiento sospechoso, la Contencióndinámica de aplicaciones reduce la reputación, lo que podría conllevar la limpieza del proceso.

Si el espacio aislado está activado (Advanced Threat Defense)

Si Advanced Threat Defense está presente y activado, se lleva a cabo el proceso siguiente.

1 Si el archivo es nuevo en el entorno y el sistema donde se ejecuta el archivo tiene acceso a Advanced ThreatDefense, el servidor de TIE envía el archivo a Advanced Threat Defense para su análisis. A continuación, elservidor de TIE sigue sondeando en busca de informes de análisis hasta que están disponibles.

Puede activar uno de los proveedores de reputación desde la página Catálogo de directivas de McAfee ePO.

2 Advanced Threat Defense analiza el archivo y envía los resultados de reputación de archivos al servidor deTIE mediante Data Exchange Layer. El servidor también actualiza la base de datos y envía la información dereputación actualizada a todos los sistemas con Protección adaptable frente a amenazas activado a fin deproteger su entorno de forma inmediata. Protección adaptable frente a amenazas o cualquier otro productode McAfee pueden iniciar este proceso. El Servidor de TIE procesa la reputación y la guarda en la base dedatos.

Si McAfee Web Gateway está presente

Si McAfee Web Gateway está presente, ocurre lo siguiente.

• Al descargar archivos, McAfee Web Gateway envía un informe al servidor de TIE, el cual guarda la calificaciónde reputación en la base de datos.

• Cuando el servidor recibe una solicitud de reputación de archivos del módulo, devuelve la reputaciónrecibida de McAfee Web Gateway y otros proveedores de reputación.

Si está presente Control web de Endpoint Security

• Cuando se descarga un archivo, Control web envía un mensaje al servidor de TIE con la URL de la ubicaciónde descarga, la reputación de la URL de McAfee GTI y el valor de hash del archivo.

La información está disponible en la ficha URL asociada de la página de información del hash.

• Cuando el servidor de TIE recibe una solicitud de reputación de archivos, devuelve esta información comoparte de su respuesta.

Véase también ¿Cuándo se vacía la caché? en la página 19Cómo funciona Protección adaptable frente a amenazas en la página 10Cómo funciona la Contención dinámica de aplicaciones en la página 21Cómo el análisis de Real Protect supervisa la actividad en la página 20



¿Cuándo se vacía la caché?La configuración de la regla indica cuándo vaciar la caché completa. La fecha de caducidad, la reputación o elestado de objeto definen cuándo vaciar objetos individuales de la caché.

Toda la caché de Protección adaptable frente a amenazas se vacía cuando cambia la configuración de las reglas:

• El estado de una o varias reglas ha cambiado; por ejemplo, de Activada a Desactivada.

• La asignación del conjunto de reglas ha cambiado; por ejemplo, de Equilibrado a Seguridad.

Se vacía la caché de un archivo o certificado individual cuando:

• El archivo ha cambiado en el disco.

• El servidor de TIE publica un evento de cambio de reputación.

• El objeto caduca.

De forma predeterminada, los elementos en la caché se vacían entre 1 hora y 1 semana, en función del tipo.

En ocasiones, el tiempo de caducidad de un elemento puede diferir del valor predeterminado.

• La caché está llena.

Los elementos de la caché a los que se ha accedido recientemente se conservan; los elementos másantiguos caducan y se eliminan.

• El tiempo de vida se establece en el archivo de contenido de AMCore o lo hace el proveedor de lareputación.

• El estado de la conexión estaba en vigor cuando el objeto se agregó a la caché.

Si se ha agregado un objeto cuando el proveedor de la reputación no estaba conectado al servidor de TIEo McAfee GTI, la reputación se actualiza cuando se restaure la conectividad.

Una vez que se vacía el elemento de la caché, se volverá a calcular la reputación la siguiente vez que Protecciónadaptable frente a amenazas reciba un aviso sobre el archivo.

Cómo funcionan los archivos de contenidoLos archivos de contenido de AMCore incluyen actualizaciones para analizar los motores, las firmas y las reglasque utiliza Protección adaptable frente a amenazas para calcular de forma dinámica la reputación de losarchivos y los procesos en sistemas cliente.

McAfee Labs descubre y agrega información sobre amenazas conocidas (firmas) a los archivos de contenido.Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y reparación del dañoque el malware detectado pueda causar. Surgen nuevas amenazas, y McAfee Labs publica archivos decontenido actualizados con frecuencia.

Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor de análisis nopuede detectarla, lo que provoca que el sistema sea vulnerable a los ataques.

Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores en lacarpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede restaurar a unaversión anterior.

Cuando Protección adaptable frente a amenazas determina que una detección es un falso positivo, McAfeeLabs libera un archivo Extra.DAT negativo para suprimir la detección.



Paquete de contenido de AMCore

McAfee Labs publica paquetes de contenido de AMCore diariamente a las 7:00 de la tarde. (GMT/UTC). Si laaparición de una nueva amenaza así lo requiere, es posible que los archivos de contenido de AMCore diarios sepubliquen antes y, a veces, que se retrase la publicación.

Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de notificaciones desoporte (SNS). Consulte el artículo KB67828.

El paquete de contenido de AMCore incluye estos componentes de Protección adaptable frente a amenazas:

• Protección adaptable frente a amenazas: analizador y reglas

Contiene reglas para calcular dinámicamente la reputación de los archivos y los procesos de los sistemascliente.

McAfee publica nuevos archivos de contenido de Protección adaptable frente a amenazas cada dos meses.

• Real Protect: motor y contenido

Contiene actualizaciones del motor de análisis y las firmas de Real Protect basadas en los resultados de lacontinua investigación sobre amenazas.

Real Protect es un componente del módulo opcional Protección adaptable frente a amenazas.

Para cerciorarse de que Endpoint Security utilice los archivos de contenido y el motor más recientes,obtenga estos archivos de McAfee y actualice sus sistemas a diario.

Si gestiona clientes que ejecutan Protección adaptable frente a amenazas y el módulo Threat IntelligenceExchange para Endpoint Security o Prevención de amenazas desde el mismo servidor de McAfee ePO, las reglasmostradas en la página Configuración del servidor dependen del contenido comprobado en el Repositorioprincipal. Si está incorporado el Paquete de contenido de AMCore, Protección adaptable frente a amenazasmuestra las reglas de ese paquete. De lo contrario, Protección adaptable frente a amenazas muestra las reglascorrespondientes al contenido del módulo de Threat Intelligence Exchange. Si no está presente ninguno deellos en el Repositorio principal, la página Configuración del servidor de Protección adaptable frente aamenazas estará en blanco. Protección adaptable frente a amenazas muestra las reglas de un único origen decontenido.

Si una actualización del untrustedcontenido del módulo de Threat Intelligence Exchange incluye cambios en lasreglas, los cambios no aparecen en Configuración del servidor (y no se puede editar) hasta que se actualiza elPaquete de contenido de AMCore con esos cambios.

Véase también Controlar nuevos falsos positivos con archivos Extra.DAT en la página 37

Cómo el análisis de Real Protect supervisa la actividadEl analizador de Real Protect inspecciona archivos y actividades sospechosos en sistemas cliente para detectarpatrones maliciosos mediante técnicas de aprendizaje automático. El analizador utiliza esta información paradetectar malware de tipo zero-day.

La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. Consulte el artículoKB82761 para obtener más información.

El analizador de Real Protect ofrece dos opciones para realizar análisis automatizados:

• En el sistema cliente

• En la nube

Procedimiento recomendado: active las opciones de cliente y en la nube de Real Protect, a menos que elservicio de soporte técnico le aconseje lo contrario.



https://kc.mcafee.com/corporate/index?page=content&id=KB67828


No se envía información de identificación personal a la nube.

Análisis basado en cliente

Real Protect basado en cliente utiliza el aprendizaje automático en el sistema cliente para determinar si elarchivo contiene malware conocido. Si el sistema cliente está conectado a Internet, Real Protect envíainformación de telemetría a la nube, pero no utiliza la nube para su análisis.

Los niveles de sensibilidad del análisis basado en cliente, basados en fórmulas matemáticas, asignan"tolerancia" a la actividad sospechosa para determinar si el archivo contiene malware conocido. Cuanto mayorsea el nivel de sensibilidad, mayor será el número de detecciones de malware. Sin embargo, al permitir másdetecciones también puede que se obtengan más falsos positivos.

Nivel de sensibilidad Uso recomendado

Bajo Sistemas, como servidores, que rara vez se conectan a Internet o solo a sitios web deconfianza (menor riesgo de infección); el impacto de falsos positivos es alto.

Medio Sistemas que no cumplen los otros criterios. (Opción predeterminada)

Alto Sistemas con varios usuarios acceso de red sin filtrar (mayor riesgo de infección); elimpacto de falsos positivos es bajo.

El análisis basado en el cliente requiere de conectividad con el servidor de McAfee GTI o TIE, a menos que sehaya activado el análisis sin conexión.

Procedimiento recomendado: debido a que el análisis offline podría provocar un mayor número de falsospositivos, active esta opción solo en sistemas sin conexión a McAfee GTI o al servidor de TIE.

Análisis basado en la nube

Real Protect basado en la nube recopila y envía los atributos y la información relacionada con elcomportamiento del archivo al sistema de aprendizaje automático de la nube para realizar un análisis en buscade malware.

El análisis basado en la nube requiere de una conexión con realprotect1.mcafee.com. Consulte KB79640.

Procedimiento recomendado: desactive Real Protect basado en la nube en los sistemas que no esténconectados a Internet.

Véase también Cómo se determina una reputación en la página 14Configure Protección adaptable frente a amenazas en la página 35Comprobación del estado de la conexión en la página 50

Cómo funciona la Contención dinámica de aplicacionesProtección adaptable frente a amenazas utiliza la reputación de una aplicación para determinar si laContención dinámica de aplicaciones debe ejecutar la aplicación con restricciones. La Contención dinámica deaplicaciones bloquea o registra acciones de la aplicación que no son seguras en función de las reglas decontención.

Cuando las aplicaciones activan reglas de bloqueo de contención, la Contención dinámica de aplicaciones utilizaesta información para contribuir a la reputación general de las aplicaciones contenidas.

Otras tecnologías, tales como McAfee®

Active Response, pueden solicitar la contención. Si varias tecnologíasregistradas con la Contención dinámica de aplicaciones solicitan que se contenga una aplicación, cada solicitudes acumulativa. La aplicación continúa como contenida hasta que todas las tecnologías la liberen. Si sedesactiva o quita una tecnología que ha solicitado la contención, la Contención dinámica de aplicaciones liberaesas aplicaciones.




Flujo de trabajo de Contención de aplicación dinámica

1 Se inicia el proceso.

2 Si la reputación de la aplicación coincide con el umbral de reputación de contención o se encuentra pordebajo de él, Protección adaptable frente a amenazas notifica a la Contención dinámica de aplicaciones queel proceso se ha iniciado y solicita la contención.

3 La Contención dinámica de aplicaciones contiene el proceso.

Si se ha configurado, la Contención dinámica de aplicaciones actualiza el Registro de eventos en el Clientede Endpoint Security y envía un evento a McAfee ePO para notificarle cuando:

• Se ha contenido una aplicación.

• Una aplicación contenida intenta infringir las reglas de contención.

Puede ver los eventos de la Contención dinámica de aplicaciones en el Registro de eventos de amenaza deMcAfee ePO.

4 Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad (sincontención).



Véase también Cómo funciona Protección adaptable frente a amenazas en la página 10Contención de aplicaciones de forma dinámica en la página 53Cómo se determina una reputación en la página 14

Utilizar Protección adaptable frente a amenazas en su entornoConfigure los ajustes y ejecute Protección adaptable frente a amenazas en el modo de evaluación paradeterminar con qué frecuencia se observa un archivo en su entorno. Ajuste la configuración o la reputación,según sea necesario.

1 Configure los ajustes de Protección adaptable frente a amenazas para determinar qué se bloquea, permiteo contiene.

2 Ejecute Protección adaptable frente a amenazas en el modo de evaluación para crear la prevalencia dearchivos y observar lo que Protección adaptable frente a amenazas detecta en el entorno. Protecciónadaptable frente a amenazas genera eventos Bloquearía, Limpiaría y Contendría para mostrar qué accionesrealizaría. La prevalencia de un archivo indica la frecuencia con la que se detecta en su entorno.

El modo de evaluación se aplica a todas las funciones de Protección adaptable frente a amenazas, incluidasReal Protect y Contención dinámica de aplicaciones.

Dado que activar este modo provoca que Protección adaptable frente a amenazas genere eventos pero noimplemente ninguna acción, los sistemas podrían ser vulnerables a las amenazas.

3 Supervise y ajuste la configuración o las reputaciones de archivos o certificados individuales a fin decontrolar lo que se permite en el entorno.

Creación de la prevalencia de un archivo mediante el modo deevaluaciónCree la prevalencia de un archivo para determinar la frecuencia con la que se visualizan los archivos en suentorno.

Puede ver qué se está ejecutando en su entorno y agregar información de reputación de archivos y certificadosa la base de datos del Servidor de TIE. Esta información también rellena los gráficos y paneles disponibles en elmódulo donde se visualiza la información de reputación detallada sobre los archivos y los certificados.

Para empezar, cree una o varias directivas de Protección adaptable frente a amenazas a fin de ejecutarlas enunos pocos sistemas de su entorno. Las directivas determinan lo siguiente:

• Cuándo se permite que un archivo o certificado con una reputación concreta se ejecute en un sistema

• Cuándo se bloquea un archivo o certificado

• Cuándo se contiene una aplicación

• Cuándo se solicita confirmación al usuario sobre qué hacer

• Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis

Al crear la prevalencia de un archivo, puede activar el modo de evaluación en los sistemas cliente. Se agreganlas reputaciones de archivos y certificados a la base de datos, y se generan eventos Bloquearía, Limpiaría yContendría, pero no se realiza ninguna acción. Puede ver lo que Protección adaptable frente a amenazasbloquea, permite o contiene si se implementa la configuración.

Véase también Configure Protección adaptable frente a amenazas en la página 35

Descripción general del productoUtilizar Protección adaptable frente a amenazas en su entorno 1


Supervisión y realización de ajustesPara ver los archivos y los certificados que están bloqueados, permitidos o contenidos en función de lasdirectivas, utilice las vistas de panel y evento de McAfee ePO.

Puede visualizar información detallada por endpoint, archivo, regla o certificado, además de ver con rapidez elnúmero de elementos identificados y las acciones realizadas. Puede acceder a información detallada haciendoclic en un elemento, así como ajustar la configuración de reputación para archivos o certificados concretos demanera que se realice la acción adecuada.

Por ejemplo, si la reputación predeterminada de un archivo es sospechosa o desconocida, pero sabe que es unarchivo de confianza, puede cambiar su reputación para que sea de confianza. A continuación, se permite quela aplicación se ejecute en el entorno sin bloquearla ni solicitar al usuario que realice una acción. Puedecambiar la reputación de archivos personalizados o internos de su entorno.

• Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificado específicos. Puedever detalles sobre el archivo o certificado, como el nombre de la empresa, valores de hash SHA-1 y SHA-256,MD5, descripción e información de McAfee GTI. En el caso de los archivos, también puede acceder a losdatos de VirusTotal directamente desde la página de detalles de Reputaciones de TIE para ver másinformación (consulte Acerca de VirusTotal).

• Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a la vez. Puedever el número de archivos nuevos detectados en su entorno en la última semana, los archivos porreputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que han ejecutadorecientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel, aparece información detallada.

• Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han ejecutadoy podrían estar comprometidos.

• Importe las reputaciones de archivos y certificados a la base de datos para permitir o bloquear archivos ocertificados concretos en función de otros orígenes de reputación. Esto permite utilizar la configuraciónimportada para archivos y certificados concretos sin tener que establecerla individualmente en el servidor.

• La columna Reputación compuesta de la página Reputaciones de TIE muestra la reputación con mayorprevalencia y su proveedor (servidor TIE 2.0 o versiones posteriores).

• La columna Regla aplicada más reciente de la página Reputaciones de TIE muestra y rastrea la informaciónde reputación basándose en la regla de detección más reciente aplicada para cada archivo en el endpoint.

Puede personalizar esta página seleccionando Acciones | Elegir columnas.

Véase también Comprobación de eventos recientes en busca de amenazas en la página 39Paneles, monitores y Protección adaptable frente a amenazas en la página 41Consultas, informes y Protección adaptable frente a amenazas en la página 42Eventos, respuestas y Protección adaptable frente a amenazas en la página 46

Envío de archivos para un análisis más detalladoSi la reputación de un archivo es desconocida, puede enviarlo a Advanced Threat Defense para que se realiceun análisis más detenido. Utilice la configuración del servidor de TIE para especificar qué archivos envía.

Advanced Threat Defense detecta malware de tipo zero-day y combina defensas de firmas antivirus, reputacióny emulación en tiempo real. Puede enviar archivos automáticamente de Protección adaptable frente aamenazas a Advanced Threat Defense según el nivel de reputación y el tamaño del archivo. La información dereputación de archivos enviada desde Advanced Threat Defense se agrega a la base de datos del Servidor deTIE.

1 Descripción general del productoUtilizar Protección adaptable frente a amenazas en su entorno


https://www.virustotal.com/en/about/

Información de telemetría de McAfee GTI

La información sobre archivos y certificados que se envía a McAfee GTI se utiliza para comprender y mejorar lainformación sobre reputación. Consulte la tabla para obtener detalles sobre la información que proporcionaMcAfee GTI para los archivos y certificados, solo para los archivos o solo para los certificados.

Categoría Descripción

Archivos ycertificados

• Versiones del módulo y del servidor de TIE

• Configuración de omisión de reputación realizada con el servidor de TIE

• Información de reputación externa, por ejemplo, de Advanced Threat Defense

Solo archivos • Nombre, tipo, ruta, tamaño, producto, publicador y prevalencia del archivo

• Información sobre SHA-1, SHA-256 y MD5

• Versión del sistema operativo del equipo que ha informado del archivo

• Reputación máxima, mínima y promedio del archivo

• Si el módulo de generación de informes está en el modo de evaluación

• Si el archivo se ha permitido, bloqueado, contenido o limpiado

• El producto que detectó el archivo, por ejemplo, Advanced Threat Defense o Prevenciónde amenazas

Solo certificados • Información sobre SHA-1

• El nombre del emisor del certificado y el sujeto

• La fecha en el que certificado era válido y su fecha de caducidad

McAfee no recopila información de identificación personal ni comparte la información fuera de McAfee.

Véase también Cómo se determina una reputación en la página 14

Protección adaptable frente a amenazas añade a McAfee ePOEste producto gestionado incrementa las posibilidades de protección de la red con estas funciones y mejoras.

Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.

Función de McAfeeePO

Elementos agregados

Paneles Paneles y monitores que puede usar para realizar un seguimiento de su entorno.

Eventos y respuestas • Eventos para los que se pueden configurar respuestas automáticas.

• Grupos de evento y tipos de evento que puede usar para personalizar lasrespuestas automáticas.

Propiedades de sistemagestionado

Propiedades que puede revisar en el Árbol de sistemas o utilizar para personalizarlas consultas.

Conjuntos de permisos Las categorías de permiso de Protección adaptable frente a amenazas de EndpointSecurity y Consulta de Protección adaptable frente a amenazas de EndpointSecurity, están disponibles en todos los conjuntos de permisos existentes.

Descripción general del productoProtección adaptable frente a amenazas añade a McAfee ePO 1


Función de McAfeeePO

Elementos agregados

Directivas Las categorías de directiva de Contención dinámica de aplicaciones y Opciones enel grupo de productos Protección adaptable frente a amenazas de EndpointSecurity.

Consultas e informes • Consultas predeterminadas que puede usar para ejecutar informes.

• Grupos de propiedades personalizados basados en propiedades de sistemasgestionados que puede usar para crear sus propios informes y consultas.

Configuración delservidor

Configuración del servidor de Protección adaptable frente a amenazas que puedeutilizar para personalizar los ajustes de su servidor de productos gestionado.

Eventos de Protecciónadaptable frente aamenazas

Los Eventos de Protección adaptable frente a amenazas en Generación de informesmuestra los eventos recientes y pasados de los sistemas (dispositivos), archivos,reglas y certificados.

Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.

Véase también Eventos, respuestas y Protección adaptable frente a amenazas en la página 46Uso de los conjuntos de permisos en la página 26Directivas y Protección adaptable frente a amenazas en la página 29Paneles, monitores y Protección adaptable frente a amenazas en la página 41Consultas, informes y Protección adaptable frente a amenazas en la página 42Tareas servidor y Protección adaptable frente a amenazas en la página 45

Uso de los conjuntos de permisosLos conjuntos de permisos definen derechos para funciones de producto gestionadas en McAfee ePO.

Protección adaptable frente a amenazas añade los grupos de permisos Protección adaptable frente aamenazas y consulta de Protección adaptable frente a amenazas a cada conjunto de permisos.

Los grupos de permisos definen los derechos de acceso a las funciones. McAfee ePO otorga a losadministradores globales todos los permisos para todos los productos y las funciones. Los administradoresasignan entonces funciones de usuario a conjuntos de permisos existentes, o crean otros.

Su producto gestionado añade estos controles de permiso a McAfee ePO.

Conjuntos de permisos Permisos predeterminados

Revisor responsableProtección adaptable frente a amenazas de Endpoint Security y Consulta deProtección adaptable frente a amenazas de Endpoint Security

Ningún permiso

Revisor globalProtección adaptable frente a amenazas de Endpoint Security

Visualiza funciones, ejecutaconsultas.

Revisor globalConsulta de Protección adaptable frente a amenazas de Endpoint Security

Ningún permiso

Administrador de grupoProtección adaptable frente a amenazas de Endpoint Security y Consulta deProtección adaptable frente a amenazas de Endpoint Security

Ningún permiso

Revisor de grupoProtección adaptable frente a amenazas de Endpoint Security y Consulta deProtección adaptable frente a amenazas de Endpoint Security

Ningún permiso

1 Descripción general del productoProtección adaptable frente a amenazas añade a McAfee ePO


Este producto gestionado concede Ningún permiso de forma predeterminada.

Deben otorgarse permisos para permitir a los usuarios utilizar o acceder a las funciones controladas mediantepermisos.

Tabla 1-1 Permisos requeridos por función

Función Permisos requeridos

Respuestas automáticas Respuestas automáticas, Notificaciones de eventos y permisos específicossegún la función utilizada (como Árbol de sistemas o consultas).

Paneles y monitores Paneles, Consultas

Directivas Directiva de Protección adaptable frente a amenazas

Consultas Consultas e informes

Tareas servidor Tareas de servidor

Árbol de sistemas Sistemas, acceso al Árbol de sistemas

Registro de eventos de amenaza Sistemas, acceso al Árbol de sistemas, Registro de eventos de amenaza

Para obtener información sobre la administración de conjuntos de permisos, consulte la documentación deMcAfee ePO.

Véase también Eventos, respuestas y Protección adaptable frente a amenazas en la página 46Directivas y Protección adaptable frente a amenazas en la página 29Paneles, monitores y Protección adaptable frente a amenazas en la página 41Consultas, informes y Protección adaptable frente a amenazas en la página 42Tareas servidor y Protección adaptable frente a amenazas en la página 45

Configuración del servidor y Protección adaptable frente a amenazasLa configuración del servidor proporciona opciones para configurar y personalizar este producto gestionado.

Su producto gestionado añade esta configuración del servidor al servidor de McAfee ePO.

Configuración del servidor Descripción

Protección adaptable frente aamenazas

Muestra las reglas y el orden en que se ejecutan, para cada nivel deseguridad: productividad, equilibrado y seguridad.Puede establecer reglas individuales para Enabled, Disabled u Observe.

Descripción general del productoProtección adaptable frente a amenazas añade a McAfee ePO 1


1 Descripción general del productoProtección adaptable frente a amenazas añade a McAfee ePO


2 Configuración de Prevención adaptable frentea amenazas

Contenido Directivas y Protección adaptable frente a amenazas Contención de aplicaciones de forma dinámica Configure Protección adaptable frente a amenazas Excluir procesos del análisis de Protección adaptable frente a amenazas

Directivas y Protección adaptable frente a amenazasLas directivas le permiten configurar, aplicar e implementar opciones de configuración para los sistemasgestionados de su entorno.Las directivas son colecciones de parámetros que se crean, configuran y aplican antes de su implementación. Lamayoría de las configuraciones de directivas corresponden a parámetros que se configuran en el Cliente deEndpoint Security. Otras configuraciones de directivas son la interfaz principal para la configuración delsoftware.

Su producto gestionado añade estas categorías al Catálogo de directivas. Las opciones de configuracióndisponibles dependen de la categoría.

Tabla 2-1 Categorías de Protección adaptable frente a amenazas

Categoría Descripción

Contención dinámicade aplicaciones

Ejecuta aplicaciones con reputaciones específicas en un contenedor, lo que bloquealas acciones según las reglas de contención. Utiliza el Servidor de TIE, si estádisponible, o McAfee GTI para la reputación de aplicaciones.

Opciones Especifica las opciones de Protección adaptable frente a amenazas, incluidas lassiguientes:• Activar y desactivar Protección adaptable frente a amenazas.

• Seleccionar el grupo de reglas (Productividad, Equilibrado o Seguridad), que contienelas reglas que utiliza Protección adaptable frente a amenazas para calcular lareputación.

• Activar y desactivar el análisis basado en cliente y basado en nube de Real Protect.

• Establecer umbrales de reputación.

• Configurar mensajería de usuario.

• Especificar opciones para enviar archivos a Advanced Threat Defense.

Personalización de directivasCada categoría de directiva incluye directivas predeterminadas.

2


Puede usar las directivas predeterminadas sin modificaciones, editar las directivas predeterminadas My Defaulto crear otras.

Tabla 2-2 Directivas predeterminadas de Protección adaptable frente a amenazas

Directiva Descripción

McAfee Default Define la directiva predeterminada que estará vigente si no se aplica ninguna otra.La directiva McAfee Default Contención dinámica de aplicaciones establece las reglassolamente para Informar. Los usuarios no experimentan bloqueos ni solicitudes.

Para enviar eventos Bloquearía de Contención dinámica de aplicaciones a McAfee ePO,en la configuración de Opciones de Ajustes generales, configure Eventos de Protecciónadaptable frente a amenazas que registrar como Advertencia, crítico y alerta.

Esta directiva se puede duplicar, pero no eliminar ni cambiar.

My Default Define parámetros predeterminados para la categoría.

McAfee DefaultEquilibrado

Define una directiva de Contención dinámica de aplicaciones con reglas para Bloquearestablecidas a fin de proporcionar un nivel básico de protección, a la vez que seminimizan los falsos positivos para los instaladores y las aplicaciones comunes nofirmados.Utilice esta directiva para sistemas empresariales típicos en los que se instalanprogramas nuevos y se realizan cambios con poca frecuencia. Los usuariosexperimentan algunos bloqueos y solicitudes.

McAfee DefaultSeguridad

Define una directiva de Contención dinámica de aplicaciones con reglas para Bloquear afin de proporcionar una protección agresiva. Esta directiva podría provocar falsospositivos con más frecuencia en los instaladores y las aplicaciones no firmados.

Las directivas de Contención dinámica de aplicaciones, McAfee Default Equilibrado y McAfee Default Seguridad,especifican únicamente la configuración de las reglas de Contención dinámica de aplicaciones. Estas directivasson distintas de los grupos de reglas Productividad, Equilibrado o Seguridad que utiliza Protección adaptable frentea amenazas para calcular la reputación y no afectan a dichos grupos de reglas.

Procedimiento recomendado

Evalúe el impacto de las reglas de Contención dinámica de aplicaciones implementando la directiva McAfeeDefault. Para determinar si configurar o no las reglas para bloqueo, supervise los registros e informes deeventos "Infracción de Contención de aplicación dinámica permitida" (ID de evento 37280). A continuación,configure reputaciones en el nivel de la empresa o exclusiones de Contención dinámica de aplicaciones eimplemente la directiva McAfee Default Equilibrado.

Comparación de directivas

En McAfee ePO 5.0 y las versiones posteriores, puede comparar las directivas dentro de la misma categoría dedirectivas mediante Comparación de directivas.

Para obtener información sobre las directivas y el Catálogo de directivas, consulte la documentación de McAfeeePO.

Véase también Contención de aplicaciones de forma dinámica en la página 31Configure Protección adaptable frente a amenazas en la página 35

2 Configuración de Prevención adaptable frente a amenazasDirectivas y Protección adaptable frente a amenazas


Contención de aplicaciones de forma dinámicaContención dinámica de aplicaciones le permite especificar las aplicaciones con una reputación concreta que seejecutan en un contenedor. Las aplicaciones contenidas no pueden ejecutar determinadas acciones, según seespecifique en las reglas de contención.

Según el umbral de reputación, Protección adaptable frente a amenazas solicita que la Contención dinámica deaplicaciones ejecute la aplicación en un contenedor.

Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguras permitiendo suejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Los usuarios pueden utilizarlas aplicaciones, pero su funcionamiento podría no ser el esperado si la Contención dinámica de aplicacionesbloquea determinadas acciones. Una vez haya determinado que la aplicación es segura, puede configurarProtección adaptable frente a amenazas de Endpoint Security o el servidor de TIE para permitir su ejecucióncon normalidad.

Para utilizar la Contención dinámica de aplicaciones:

1 Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activar laContención dinámica de aplicaciones en Opciones.

2 Configure las reglas y las exclusiones de contención definidas por McAfee en la configuración de Contencióndinámica de aplicaciones.

Véase también Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la página 35Activar el umbral de activación de Contención dinámica de aplicaciones en la página 31Configuración de reglas de contención definidas por McAfee en la página 32Procedimiento recomendado: Ajuste de Contención dinámica de aplicaciones en la página 32Impedir que la Contención dinámica de aplicaciones contenga programas de confianza en la página 33Visualización de aplicaciones contenidas en McAfee ePO en la página 33

Activar el umbral de activación de Contención dinámica de aplicacionesCon la Contención dinámica de aplicaciones, puede especificar que las aplicaciones con reputaciones específicasse ejecuten en un contenedor, lo que limita las acciones que pueden llevar a cabo. Permita que se implementela acción de la función y defina el umbral de reputación para contener aplicaciones.

Procedimiento1 Seleccione Menú | Directiva | Catálogo de directivas y, a continuación, seleccione Protección adaptable frente a

amenazas de Endpoint Security en la lista Producto.

2 En la lista Categoría, seleccione Opciones.

3 Haga clic en el nombre de una directiva editable.

4 Verifique que la Protección adaptable frente a amenazas está activada.

5 Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.

6 Especifique el umbral de reputación en el que se deben contener las aplicaciones.

• Posiblemente de confianza

• Desconocido (valor predeterminado para el grupo de reglas Seguridad)

• Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado)

Configuración de Prevención adaptable frente a amenazasContención de aplicaciones de forma dinámica 2


• Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad)

• Conocido malicioso

El umbral de reputación de la Contención dinámica de aplicaciones debe ser mayor que el de bloqueo ylimpieza. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la Contencióndinámica de aplicaciones debe ser Probablemente malicioso o superior.

7 Haga clic en Guardar.

Configuración de reglas de contención definidas por McAfeeLas reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicaciones contenidaspueden ejecutar. Puede modificar la configuración de bloqueo e informes, pero, por lo demás, no es posiblemodificar ni eliminar estas reglas.

Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos losprocedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, consulte elartículo KB87843.

Procedimiento

1 Seleccione Menú | Directiva | Catálogo de directivas y, a continuación, seleccione Protección adaptable frente aamenazas de Endpoint Security en la lista Producto.

2 En la lista Categoría, seleccione Contención dinámica de aplicaciones.


4 En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.

• Para seleccionar o anular la selección de todas las reglas bajo Bloquear o Informar, haga clic en Bloqueartodo o Informar de todo.

• Para desactivar la regla, anule la selección de Bloquear e Informar.

5 En la sección Exclusiones, configure los ejecutables que excluir de Contención dinámica de aplicaciones.

Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).

6 Haga clic en Guardar.

Véase también Impedir que la Contención dinámica de aplicaciones contenga programas de confianza en la página 33Procedimiento recomendado: Ajuste de Contención dinámica de aplicaciones en la página 32

Procedimiento recomendado: Ajuste de Contención dinámica deaplicacionesCuando active por primera vez Contención dinámica de aplicaciones en su entorno, configure las reglas comoInformar únicamente y evalúe los efectos antes de implementarlas. Los usuarios no experimentan bloqueos nisolicitudes.

Procedimiento

1 En la configuración Ajustes generales Opciones, en la sección Registro de eventos, seleccione Advertencia,crítico y alerta en la lista desplegable Eventos de Protección adaptable frente a amenazas que registrar.

Este paso es necesario para enviar eventos Bloquearía de Contención dinámica de aplicaciones a McAfeeePO.

2 Configuración de Prevención adaptable frente a amenazasContención de aplicaciones de forma dinámica



2 Implemente la directiva McAfee Default de Contención dinámica de aplicaciones.

Esta directiva configura las reglas como Informar únicamente y genera eventos "Infracción de Contención deaplicación dinámica permitida" (ID de evento 37280).

3 Supervise los registros e informes y determine si se deben configurar reglas para bloquear.

4 Tras recopilar eventos de tipo "Infracción de Contención de aplicación dinámica permitida" (ID de evento37280), configure reputaciones en el nivel de la empresa o exclusiones de Contención dinámica deaplicaciones.

5 Implemente la directiva McAfee Default Equilibrio de Contención dinámica de aplicaciones.

Véase también Paneles, monitores y Protección adaptable frente a amenazas en la página 41Consultas, informes y Protección adaptable frente a amenazas en la página 42Eventos, respuestas y Protección adaptable frente a amenazas en la página 46Configuración de reglas de contención definidas por McAfee en la página 32

Visualización de aplicaciones contenidas en McAfee ePOMcAfee Agent envía la lista de aplicaciones contenidas a McAfee ePO en las propiedades de cliente. Utilice estalista para excluir aplicaciones de la Contención dinámica de aplicaciones.

Procedimiento1 En el Árbol de sistemas, seleccione el sistema y haga clic en Activar agentes.

Mediante la llamada de activación del agente, se recopilan las propiedades del cliente, incluidas lasaplicaciones contenidas, desde el propio cliente.

Para obtener información sobre la página Activar McAfee Agent, consulte la ayuda de McAfee ePO.

2 En el Árbol de sistemas, haga clic en el nombre del sistema.

3 Haga clic en Productos y, a continuación, en Protección adaptable frente a amenazas de Endpoint Security.

4 Desplácese hacia abajo, hasta la sección Contención de aplicación dinámica para ver las aplicacionescontenidas en el sistema cliente.

5 Revise la lista para excluir las aplicaciones de confianza.

Véase también Impedir que la Contención dinámica de aplicaciones contenga programas de confianza en la página 33

Impedir que la Contención dinámica de aplicaciones contengaprogramas de confianzaSi un programa de confianza está contenido, exclúyalo creando una exclusión de Contención dinámica deaplicaciones.

Las exclusiones creadas mediante el Cliente de Endpoint Security solo se aplican al sistema cliente. Estasexclusiones no se envían a McAfee ePO ni aparecen en la sección Exclusiones de la configuración de Contencióndinámica de aplicaciones.

Cree exclusiones globales en la configuración de la Contención dinámica de aplicaciones de McAfee ePO.

Configuración de Prevención adaptable frente a amenazasContención de aplicaciones de forma dinámica 2


Procedimiento1 Identifique las aplicaciones de confianza que se deben excluir: observe la lista de aplicaciones contenidas

enviadas desde los sistemas gestionados a McAfee ePO.

2 Seleccione Menú | Directiva | Catálogo de directivas y, a continuación, seleccione Protección adaptable frente aamenazas de Endpoint Security en la lista Producto.

3 En la lista Categoría, seleccione Contención dinámica de aplicaciones.


5 Haga clic en Mostrar opciones avanzadas.

6 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.

7 En la página Ejecutable, configure las propiedades del ejecutable.

8 Haga clic en Guardar dos veces para guardar la configuración de la directiva.

Procedimientos• Usar el nombre distintivo del firmante de McAfee ePO para excluir ejecutables en la página 34

El nombre distintivo del firmante (SDN) es necesario al activar la comprobación de una firma digitaly excluir solo los archivos firmados por un firmante del proceso especificado.

Véase también Visualización de aplicaciones contenidas en McAfee ePO en la página 33

Usar el nombre distintivo del firmante de McAfee ePO para excluir ejecutablesEl nombre distintivo del firmante (SDN) es necesario al activar la comprobación de una firma digital y excluirsolo los archivos firmados por un firmante del proceso especificado.

Procedimiento1 Seleccione Menú | Informes | Registro de eventos de amenaza.

2 Haga clic en el evento de Endpoint Security para mostrar los detalles.

3 En Endpoint Security, seleccione Firmante del proceso de origen y copie los datos.

4 Cuando cree exclusiones, copie y pegue los detalles del Firmante del proceso de origen como una sola línea detexto en el campo Firmado por.

Por ejemplo, el formato requerido de nombre distintivo del firmante es:

C=US, S=CALIFORNIA, L=MOUNTAIN VIEW, O=MOZILLA CORPORATION, OU=RELEASE ENGINEERING,CN=MOZILLA CORPORATION

2 Configuración de Prevención adaptable frente a amenazasContención de aplicaciones de forma dinámica


Concesión de permiso a las aplicaciones contenidas para que seejecuten con normalidadUna vez que determine que una aplicación contenida es segura, puede permitir que se ejecute en el entornocon normalidad.

• Agregue la aplicación a la lista de Exclusiones globales de la configuración de Contención dinámica deaplicaciones.

En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, independientemente delnúmero de tecnologías que solicitaron su contención.

• Configure Protección adaptable frente a amenazas para aumentar el umbral de reputación y liberarla de lacontención.

En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que otratecnología haya solicitado la contención de esta aplicación.

• Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita su ejecución,como Conocido de confianza.

En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que otratecnología haya solicitado la contención de esta aplicación.

Consulte la Guía del producto de McAfee Threat Intelligence Exchange.

Véase también Impedir que la Contención dinámica de aplicaciones contenga programas de confianza en la página 33Visualización de aplicaciones contenidas en McAfee ePO en la página 33Configure Protección adaptable frente a amenazas en la página 35Impedir que contención dinámica de aplicaciones contenga los programas de confianza en un sistemacliente en la página 56

Configure Protección adaptable frente a amenazasLa configuración de Protección adaptable frente a amenazas determina cuándo se permite ejecutar un archivoo un certificado y si estos se contienen, se limpian o se bloquean, o bien si se pregunta qué hacer a losusuarios.

Procedimiento1 Seleccione Menú | Directiva | Catálogo de directivas y, a continuación, seleccione Protección adaptable frente a

amenazas de Endpoint Security en la lista Producto.

2 En la lista Categoría, seleccione Opciones.



5 Configure los parámetros en la página y haga clic en Guardar.

Véase también Cómo controlan el acceso las reputaciones de archivo y de certificado en la página 14Cómo el análisis de Real Protect supervisa la actividad en la página 20

Configuración de Prevención adaptable frente a amenazasConfigure Protección adaptable frente a amenazas 2


Excluir procesos del análisis de Protección adaptable frente a amenazasSe pueden excluir los procesos del análisis de Protección adaptable frente a amenazas agregándolos a laconfiguración de Prevención de amenazas Análisis en tiempo real cuando se trate de tipos de proceso Estándar.

O bien, si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita suejecución, como Conocido de confianza.

Procedimiento recomendado: para obtener más información acerca de la solución de problemas conaplicaciones de terceros bloqueadas, consulte KB88482.

Para obtener una lista de los archivos ejecutables analizados por Protección adaptable frente a amenazas,compruebe el registro de depuración de Protección adaptable frente a amenazas(AdvancedThreatProtection_Debug.log) en el sistema cliente.

Procedimiento1 Seleccione Menú | Directiva | Catálogo de directivas y, a continuación, Prevención de amenazas de Endpoint

Security en la lista Producto.

2 En la lista Categoría, seleccione Análisis en tiempo real.



5 Seleccione Configurar opciones distintas para procesos de riesgo alto y de riesgo bajo.

6 En la sección Tipos de proceso, seleccione la ficha Estándar. A continuación, en la sección Exclusiones,especifique los procesos que se excluirán del análisis de Protección adaptable frente a amenazas.

Véase también Configure Protección adaptable frente a amenazas en la página 35Impedir que la Contención dinámica de aplicaciones contenga programas de confianza en la página 33

2 Configuración de Prevención adaptable frente a amenazasExcluir procesos del análisis de Protección adaptable frente a amenazas



3 Administración de Protección adaptable frentea amenazas

Controlar nuevos falsos positivos con archivos Extra.DATCuando Protección adaptable frente a amenazas determina que una detección es un falso positivo, McAfeeLabs libera un archivo Extra.DAT negativo para suprimir la detección.

Puede descargar archivos Extra.DAT para amenazas específicas desde la página Actualizaciones de seguridad deMcAfee Labs.

Protección adaptable frente a amenazas solo admite el uso de un archivo Extra.DAT a la vez. En una situaciónen la que necesite dos archivos Extra.DAT, uno negativo y otro positivo, para Prevención de amenazas, puedesolicitar un archivo combinado de McAfee Labs.

Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo Extra.DAT, lafecha de caducidad se compara con la fecha de compilación del contenido de AMCore instalado en el sistema.Si la fecha de compilación del contenido de AMCore es más reciente que la fecha de caducidad del archivoExtra.DAT, el archivo Extra.DAT se considera caducado. El motor ya no lo cargará ni utilizará. El Extra.DAT seelimina del sistema en la siguiente actualización.

Si la siguiente actualización del contenido de AMCore incluye información en el Extra.DAT, se elimina elExtra.DAT.

Endpoint Security almacena archivos Extra.DAT en la carpeta C:\Archivos de programa\Common Files\McAfee\Engine\content\avengine\extradat.

Véase también Descargue y despliegue un archivo Extra.DAT en los sistemas cliente de McAfee ePO en la página 37Cómo funcionan los archivos de contenido en la página 19

Descargue y despliegue un archivo Extra.DAT en los sistemas cliente deMcAfee ePODescargue e instale el archivo Extra.DAT, a continuación, despliéguelo en los sistemas cliente utilizando unatarea cliente Actualizar producto.

Un archivo Extra.DAT elimina las detecciones que se consideran falsos positivos.

3


https://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx?region=us

https://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx?region=us

Procedimiento1 Descargue el archivo Extra.DAT.

a Haga clic en el vínculo de descarga que proporciona McAfee Labs, especifique una ubicación dondeguardar el archivo Extra.DAT y haga clic en Guardar.

b Si es necesario, descomprima el archivo EXTRA.ZIP.

2 Seleccione Menú | Software | Repositorio principal.

3 Seleccione Acciones | Incorporar paquetes.

4 Seleccione Extra DAT (.DAT), abra la ubicación en la que descargar el archivo y haga clic en Abrir.

5 Confirme la selección y haga clic en Siguiente.

La página Repositorio principal muestra el paquete de contenido nuevo en la columna Nombre.

6 Replique el archivo Extra.DAT para duplicar sitios, si procede. Ejecute una tarea cliente Repositorios deduplicación de McAfee Agent.

Procedimiento recomendado: cuando termine de usar el archivo Extra.DAT, quítelo del Repositorio principaly ejecute una tarea cliente Repositorios de duplicación para quitarlo de los repositorios distribuidos. Quitar elarchivo Extra.DAT impide que los clientes lo descarguen durante una actualización. De formapredeterminada, la detección de la nueva amenaza en el archivo Extra.DAT se omite una vez que se agrega lanueva definición de detección a los archivos de contenido diarios.

7 Despliegue el archivo Extra.DAT en los sistemas cliente mediante una tarea cliente Actualización deproducto de McAfee Agent.

8 Envíe una llamada de activación del agente para actualizar los sistemas cliente con el archivo Extra.DAT.

Véase también Cómo funcionan los archivos de contenido en la página 19

3 Administración de Protección adaptable frente a amenazasControlar nuevos falsos positivos con archivos Extra.DAT


4 Supervisión de la actividad de Protecciónadaptable frente a amenazas con McAfee ePO

Contenido Comprobación de eventos recientes en busca de amenazas Paneles, monitores y Protección adaptable frente a amenazas Consultas, informes y Protección adaptable frente a amenazas Tareas servidor y Protección adaptable frente a amenazas Eventos, respuestas y Protección adaptable frente a amenazas

Comprobación de eventos recientes en busca de amenazasObserve los eventos recientes para ver información acerca de las amenazas identificadas en su sistema.

Puede ver los eventos de implementación o los eventos de observación:

• Eventos de implementación: eventos que se producen como resultado de la implementación de una directivadel servidor de Protección adaptable frente a amenazas.

• Eventos de observación: eventos, tales como Bloquearía, que indican cuál sería la acción si se implementara ladirectiva. Esto permite ver, evaluar y ajustar la directiva y las opciones de configuración antes deimplementarlas. Puede ver qué archivos o certificados están provocando eventos y cambiar suconfiguración de reputación para que dejen de generarlos.

Puede ver los eventos de amenaza de varias formas y acceder a información detallada:

Últimos 30 días: información de resumen de los eventos de los últimos treinta días.

10 principales: los diez eventos principales por sistema, archivo o certificado.

Certificado: nombre del certificado, su valor de hash SHA-1 y número de certificados que se han limpiado,contenido o bloqueado, o sobre los que se ha mostrado un aviso.

Hash de archivo: nombre y valor de hash SHA-1 del archivo y número de archivos que se han limpiado,contenido o bloqueado o sobre los que se ha mostrado un aviso.

Regla: nombre de la regla, eventos en los que se ha aplicado la regla y número de reglas que se han limpiado,contenido o bloqueado o sobre las que se ha mostrado un aviso.

Sistema: nombre del sistema, total de eventos para ese sistema y número de eventos que se han limpiado,contenido o bloqueado, o sobre los que se ha mostrado un aviso en un sistema en particular.

4


Ejemplos

• A continuación, puede ver detalles sobre los archivos o certificados concretos que están provocando losavisos. Seleccione archivos o certificados individuales en la página Eventos y cambie sus niveles dereputación para permitirlos o bloquearlos de manera que vuelvan a generar avisos.

• Si un archivo específico genera eventos, selecciónelo en la lista de la página Eventos y vea qué sistemas hanintentado ejecutarlo y la acción realizada. Después, puede cambiar la reputación del archivo para que dejede generar eventos. Por ejemplo, si el archivo genera una solicitud y desea bloquearlo, cambie sureputación de forma que se bloquee y no genere un evento.

Véase también Creación de la prevalencia de un archivo mediante el modo de evaluación en la página 23Comprobar los detalles sobre eventos de amenaza recientes en la página 40Responder a los eventos en la página 40Consulte el Registro de eventos para ver la actividad reciente en la página 61

Comprobar los detalles sobre eventos de amenaza recientesEs posible ver información sobre los archivos y los certificados recientes detectados en el entorno, así como lasacciones realizadas en respuesta a amenaza identificada.

Procedimiento

1 Seleccione Menú | Informes | Eventos de Protección adaptable frente a amenazas.

La página Eventos de Protección adaptable frente a amenazas muestra varias vistas de eventos recientes.

2 En la lista desplegable Seleccionar vista de eventos, seleccione el tipo de eventos que se debe mostrar.

• Eventos de implementación muestra los eventos de implementación de directivas y las acciones realizadas.

• Eventos de observación muestra los eventos de directiva observados, tales como Bloquearía, para los queno se ha realizado ninguna acción.

3 Seleccione un gráfico para ver información detallada.

4 En la lista desplegable Seleccionar punto de pivote, seleccione cómo ver los eventos: por certificado, por hashde archivo, por regla o por sistema. A continuación, seleccione un elemento concreto de la lista para vermás detalles.

Véase también Responder a los eventos en la página 40

Responder a los eventosAjuste la reputación de archivos y certificados para evitar las amenazas y los otros eventos. Utilice lainformación en la página de Eventos de Protección adaptable frente a amenazas.

Procedimiento

1 Seleccione Menú | Informes | Eventos de Protección adaptable frente a amenazas.

La página Eventos de Protección adaptable frente a amenazas muestra los elementos que están generandoeventos.

2 En la página Eventos, puede ver los elementos que generan eventos. Haga clic en un evento para ver susdetalles.

3 Si ha seleccionado un archivo o certificado que está provocando un bloqueo o una solicitud de confirmaciónen función de su reputación, cambie la configuración de reputación para detener el evento.

Utilice las opciones del menú Acciones para cambiar la reputación.

4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOComprobación de eventos recientes en busca de amenazas


Véase también Comprobar los detalles sobre eventos de amenaza recientes en la página 40

Paneles, monitores y Protección adaptable frente a amenazasUtilice su panel personalizable para controlar el estado de los sistemas gestionados y cualquier amenaza quepudiera haber en el entorno.

Los paneles son conjuntos de monitores que rastrean la actividad en su entorno de McAfee ePO.

Paneles y monitores predeterminados

El módulo proporciona paneles y monitores predefinidos. Según los permisos con los que cuente, podrá utilizarpaneles predefinidos sin modificaciones, editarlos para agregar o quitar monitores, o crear panelespersonalizados mediante McAfee ePO.

Protección adaptable frente a amenazas incluye los siguientes paneles predefinidos.

Panel Monitor Descripción

Endpoint Security: Eventosimplementados de Protecciónadaptable frente a amenazas

Protección adaptable frente aamenazas de Endpoint Security:Eventos de limpieza de los últimos 30días

Eventos correspondientes a acciones quese detectaron e implementaron según ladirectiva Protección adaptable frente aamenazas.

Protección adaptable frente aamenazas de Endpoint Security:Eventos de bloqueo de los últimos 30días

Protección adaptable frente aamenazas de Endpoint Security:Eventos de permiso de los últimos 30días

Protección adaptable frente aamenazas de Endpoint Security:Eventos de limpieza por tipo deevento

Protección adaptable frente aamenazas de Endpoint Security:Eventos de bloqueo por tipo deevento

Protección adaptable frente aamenazas de Endpoint Security:Eventos de permiso por tipo deevento

Endpoint Security: Eventosobservados de Protecciónadaptable frente a amenazas

Protección adaptable frente aamenazas de Endpoint Security:Eventos de limpieza de observaciónde los últimos 30 días

Eventos, tales como Bloquearía,correspondientes a acciones que sehabrían realizado si se hubieranimplementado las acciones de Protecciónadaptable frente a amenazas.

Protección adaptable frente aamenazas de Endpoint Security:Eventos de bloqueo de observaciónde los últimos 30 días

Protección adaptable frente aamenazas de Endpoint Security:Eventos de permiso de observaciónde los últimos 30 días

Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOPaneles, monitores y Protección adaptable frente a amenazas 4


Panel Monitor Descripción

Protección adaptable frente aamenazas de Endpoint Security:Eventos de limpieza de observaciónpor tipo de evento

Protección adaptable frente aamenazas de Endpoint Security:Eventos de bloqueo de observaciónpor tipo de evento

Protección adaptable frente aamenazas de Endpoint Security:Eventos de permiso de observaciónpor tipo de evento

Endpoint Security: Eventos dedetección de Real Protect deProtección adaptable frente aamenazas

Protección adaptable frente aamenazas de Endpoint Security:Eventos de detección de Real Protectde las últimas 24 horas

Eventos correspondientes a detecciones deamenazas y acciones realizadas por elanalizador de Real Protect.

Protección adaptable frente aamenazas de Endpoint Security:Eventos de detección de Real Protectde los últimos 7 días

Protección adaptable frente aamenazas de Endpoint Security:Eventos de detección de Real Protectde los últimos 30 días

Protección adaptable frente aamenazas de Endpoint Security:Eventos de detección de Real Protectdel último trimestre

Paneles personalizados

Según los permisos con los que cuente, podrá crear paneles personalizados y agregar monitores medianteconsultas predeterminadas de Endpoint Security.

Para obtener más información sobre los paneles, consulte la documentación de McAfee ePO.

Véase también Creación de la prevalencia de un archivo mediante el modo de evaluación en la página 23Uso de los conjuntos de permisos en la página 26

Consultas, informes y Protección adaptable frente a amenazasUtilice las consultas para obtener información detallada sobre el estado de los sistemas gestionados y cualquieramenaza que pudiera haber en el entorno. Puede exportar, descargar o combinar consultas en informes, yutilizar las consultas como monitores de panel.

Las consultas son las preguntas que se hacen a McAfee ePO, que devuelve respuestas en forma de gráficos ytablas. Los informes permiten empaquetar una o varias consultas en un solo documento PDF para acceder aellas fuera de McAfee ePO.

Hay disponible información similar si se accede a los registros de actividades desde los sistemas individualesdel Cliente de Endpoint Security.

4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOConsultas, informes y Protección adaptable frente a amenazas


Solo podrá ver datos de consultas correspondientes a recursos en los cuales disponga de permisos. Porejemplo, si sus permisos le otorgan acceso a una ubicación específica del Árbol de sistemas, las consultas solodevolverán datos para dicha ubicación.

Consultas predeterminadas

El módulo agrega consultas predeterminadas a los Grupos de McAfee. Según los permisos con los que cuente,podrá usarlas sin modificaciones, editarlas o crear consultas personalizadas a partir de eventos y propiedadesen la base de datos de McAfee ePO.

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso por tipo de evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso por regla (10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso de los últimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo por tipo de evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo por regla (10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo de los últimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza por tipo de evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza por regla (10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza de los últimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos por archivo (10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos por sistema (10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso de observación por tipode evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso de observación por regla(10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de permiso de observación de losúltimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo de observación por tipode evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo de observación por regla(10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de bloqueo de observación de losúltimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza de observación por tipode evento

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza de observación por regla(10 principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de limpieza de observación de losúltimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de observación por archivo (10principales)

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de observación por sistema (10principales)

Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOConsultas, informes y Protección adaptable frente a amenazas 4


• Protección adaptable frente a amenazas de Endpoint Security: Eventos de detección de Real Protect de losúltimos 30 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de detección de Real Protect de losúltimos 7 días

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de detección de Real Protect delúltimo trimestre

• Protección adaptable frente a amenazas de Endpoint Security: Eventos de detección de Real Protect de lasúltimas 24 horas

Consultas personalizadas

El módulo agrega propiedades predeterminadas al grupo de funciones de Endpoint Security. Puede utilizarestas propiedades para crear consultas personalizadas.

Grupo defunciones

Tipo de resultado Propiedad (columna) Propiedad (columna)

EndpointSecurity

Hotfix de ATP Fecha de contenido de RealProtect

Versión de parche de ATP Versión de contenido deReal Protect

Estado de la conexión Fecha del motor de RealProtect

Aplicaciones contenidas Versión del motor de RealProtect

Es un SO admitido Firmas en Extra.DAT

Estado de licencia

Propiedades de inteligenciafrente a amenazas de EndpointSecurity

Versión de archivos DAT Versión del producto

Versión de hotfix/parche

Eventos Eventos de Protecciónadaptable frente a amenazas

Equilibrar seguridad para Hash MD5 del archivo

Creador de la empresa delcertificado

Reputación de archivos

Hash del certificado Hash SHA1 del archivo

Nombre del certificado Tipo de objeto

Hash de la clave pública delcertificado

Nivel de sensibilidad delanálisis de Real Protect

Versión de contenido ID de la regla

Tipo de detección Comentarios de la solicitudal usuario

Creador de la empresa delarchivo

Reglas de Protección adaptablefrente a amenazas

Descripción Nombre de regla

Descripción larga

Sistemas de Plataforma deEndpoint Security

Registro de depuración deProtección adaptable frentea amenazas activado

Nivel de filtro de eventos deProtección adaptable frentea amenazas

Para obtener información sobre las consultas y los informes, consulte la documentación de McAfee ePO.

4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOConsultas, informes y Protección adaptable frente a amenazas


Véase también Creación de la prevalencia de un archivo mediante el modo de evaluación en la página 23Uso de los conjuntos de permisos en la página 26

Tareas servidor y Protección adaptable frente a amenazasUtilice tareas de servidor para automatizar el mantenimiento o la administración de servidores.

Las tareas de servidor son tareas planificadas de administración o mantenimiento que se ejecutan en el servidorde McAfee ePO. Las tareas de servidor permiten planificar y automatizar tareas repetitivas. Use tareas deservidor para supervisar el servidor y el software.

Según los permisos con los que cuente, podrá utilizar tareas de servidor predeterminadas sin modificaciones,editarlas o crear otras mediante McAfee ePO.

Tareas servidor predeterminadas

Protección adaptable frente a amenazas no proporciona tareas de servidor predeterminadas. Puede utilizar lastareas de servidor predeterminadas de McAfee ePO para administrar Prevención de amenazas.

Tareas servidor personalizadas

Para crear una tarea servidor personalizada, ejecute el Generador de tareas servidor y seleccione una opciónen la lista desplegable Acción.

Tareas servidor Descripción

Extracción del repositorio Recupera paquetes del sitio de origen y los coloca en el Repositorio principal.Seleccione Contenido de AMCore como tipo de paquete para obteneractualizaciones de contenido automáticas.

Ejecutar consulta Ejecuta consultas predefinidas según la planificación y la hora especificadas.

Purgar registro deeventos de amenaza

Purga los registros de eventos de amenaza en función de una consulta.

Exportar directivas Descarga un archivo XML que contiene la directiva asociada.

Exportar consultas Crea un archivo de salida de consultas que se puede guardar o enviar por correoelectrónico.

Acumular datos Acumula datos de eventos o de sistemas de varios servidores de formasimultánea.Seleccione Eventos de amenaza acumulados de Endpoint Security para el Tipo de datos.

Para obtener más información sobre las tareas de servidor, consulte la documentación de McAfee ePO.

Véase también Uso de los conjuntos de permisos en la página 26Eventos, respuestas y Protección adaptable frente a amenazas en la página 46Acumulación de datos de sistemas o eventos para Endpoint Security en la página 46

Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOTareas servidor y Protección adaptable frente a amenazas 4


Acumulación de datos de sistemas o eventos para Endpoint SecurityRecopile datos de varios servidores al mismo tiempo mediante las tareas de servidor Acumular datos deMcAfee ePO.

Procedimiento1 Seleccione Menú | Automatización | Tareas de servidor y, a continuación, haga clic en Nueva tarea.

2 En la página Descripción, escriba un nombre y una descripción para la tarea, elija si desea activarla y, acontinuación, haga clic en Siguiente.

3 Haga clic en Acciones y, a continuación, seleccione Acumular datos.

4 En la lista desplegable Acumular datos de:, seleccione una de estas opciones.

• Todos los servidores registrados

• Servidores registrados seleccionados: seleccione los servidores que desee y, a continuación, haga clic enAceptar.

5 Para acumular datos de sistemas:

a En Tipo de datos, seleccione Sistemas gestionados.

b Seleccione el vínculo Tipos adicionales: Configurar y seleccione los tipos de Endpoint Security que deseeincluir.

6 Para acumular datos de eventos:

a Haga clic en el botón + al final del encabezado de tabla para agregar otro tipo de datos y, a continuación,seleccione Eventos de amenaza.

b Haga clic en Tipos adicionales: Configurar y seleccione los tipos de Endpoint Security que desee incluir.

7 Planifique la tarea y, a continuación, haga clic en Siguiente.

8 Revise los valores de configuración y haga clic en Guardar.

Véase también Eventos, respuestas y Protección adaptable frente a amenazas en la página 46

Eventos, respuestas y Protección adaptable frente a amenazasConfigure Respuestas automáticas para responder a los eventos de amenaza.

El Registro de eventos de amenaza es un archivo de registro con todos los eventos de amenaza que McAfeeePO recibe de los sistemas gestionados.

En McAfee ePO, puede definir los eventos que se reenvían al servidor de McAfee ePO. Para mostrar la listacompleta de eventos en McAfee ePO, seleccione Menú | Configuración | Configuración del servidor, seleccioneFiltrado de eventos y haga clic en Editar.

Configure una tarea servidor Purgar registro de eventos de amenazas para purgar el Registro de eventos deamenazas periódicamente.

Para obtener más información sobre Respuestas automáticas y cómo utilizar el Registro de eventos deamenazas, consulte la Ayuda de McAfee ePO.

4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOEventos, respuestas y Protección adaptable frente a amenazas


Véase también Creación de la prevalencia de un archivo mediante el modo de evaluación en la página 23Nombres y ubicaciones de los archivos de registro de Protección adaptable frente a amenazas en la página62Tareas servidor y Protección adaptable frente a amenazas en la página 45

Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOEventos, respuestas y Protección adaptable frente a amenazas 4


4 Supervisión de la actividad de Protección adaptable frente a amenazas con McAfee ePOEventos, respuestas y Protección adaptable frente a amenazas


5 Uso de Protección adaptable frente aamenazas en un sistema cliente

Contenido Responder a un aviso de reputación de archivos Desactivar los analizadores de Endpoint Security de la bandeja del sistema McAfee Comprobación del estado de la conexión

Responder a un aviso de reputación de archivosCuando un archivo con un nivel de reputación determinado intente ejecutarse en su sistema, es posible queProtección adaptable frente a amenazas solicite su intervención para continuar. Tal solicitud solo aparece siProtección adaptable frente a amenazas está instalada y configurada para ello.

Protección adaptable frente a amenazas depende del icono de la bandeja del sistema de McAfee para mostrarmensajes. En los sistemas a los que solo se accede mediante RDP, el icono de la bandeja del sistema no se inicia yno aparecerán mensajes. Para evitar este problema, añada UpdaterUI.exe al script de inicio de sesión.

El administrador configura el umbral de reputación, momento en el que se muestra una confirmación. Porejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para todos losarchivos con una reputación desconocida e inferior.

Si no selecciona una opción, Protección adaptable frente a amenazas realiza la acción predeterminadaconfigurada por el administrador.

La solicitud, el tiempo de espera y la acción predeterminada dependen de cómo esté configurada Protecciónadaptable frente a amenazas.

Windows 8 y 10 usan notificaciones del sistema (mensajes que aparecen para notificarle las alertas y avisos). Hagaclic en la notificación del sistema para mostrar la notificación en modo Escritorio.

Procedimiento

1 (Opcional) Cuando se le solicite, introduzca un mensaje para enviar al administrador.

Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir o bloquear elarchivo en el sistema.

5


2 Haga clic en Permitir o Bloquear.

Permitir Permite el archivo.

Bloquear Bloquea el archivo en el sistema.

Para que Protección adaptable frente a amenazas no vuelva a preguntar en relación con el archivo,seleccione Recordar esta decisión.

Protección adaptable frente a amenazas actúa, bien según su elección o bien conforme a la acciónpredeterminada, y cierra la ventana de la solicitud.

Véase también Cómo funciona Protección adaptable frente a amenazas en la página 10Cómo se determina una reputación en la página 14Configurar Protección adaptable frente a amenazas en un sistema cliente en la página 58Cómo controlan el acceso las reputaciones de archivo y de certificado en la página 14

Desactivar los analizadores de Endpoint Security de la bandeja delsistema McAfee

Si está configurado, los usuarios pueden mitigar los problemas de rendimiento mediante la desactivacióntemporal de los analizadores de Endpoint Security del icono de la bandeja del sistema McAfee. Los analizadoresse vuelven a habilitar en la próxima implementación de directivas, en función de la configuración de la directiva.

Esta opción podría no estar disponible, dependiendo de cómo se haya definido la configuración.

Procedimiento

1 Haga clic en el icono de la bandeja del sistema McAfee y seleccione Desactivar analizadores de EndpointSecurity del menú Ajustes rápidos.

2 Para volver a activar los analizadores, puede:

• Esperar a la siguiente implementación de directivas.

• Haga clic con el botón derecho en el icono de bandeja del sistema McAfee y seleccione monitor de estadode McAfee Agent. En el Monitor del agente de McAfee, haga clic en Implementar directivas.

Véase también Configurar Protección adaptable frente a amenazas en un sistema cliente en la página 58

Comprobación del estado de la conexiónPara determinar si Protección adaptable frente a amenazas en el sistema cliente obtiene las reputaciones dearchivo desde Servidor de TIE o McAfee GTI, consulte la página Cliente de Endpoint Security: Acerca de.

Procedimiento

1 Abra Cliente de Endpoint Security.

2 En el menú Acción , seleccione Acerca de.

3 Haga clic en Protección adaptable frente a amenazas, en la parte izquierda.

5 Uso de Protección adaptable frente a amenazas en un sistema clienteDesactivar los analizadores de Endpoint Security de la bandeja del sistema McAfee


El campo Estado de la conexión indica uno de los siguientes estados para Protección adaptable frente aamenazas:

• Conectividad de Inteligencia de amenazas: está conectado a Servidor de TIE para transmitir información dereputación en el nivel de la empresa.

• Solo conectividad de McAfee GTI: está conectado a McAfee GTI para transmitir información de reputaciónen un nivel global.

• Desconectado: no está conectado a Servidor de TIE o McAfee GTI. Protección adaptable frente a amenazasdetermina la reputación de los archivos sirviéndose de la información del sistema local.

Véase también Cómo funciona Protección adaptable frente a amenazas en la página 10Cómo el análisis de Real Protect supervisa la actividad en la página 20Cómo se determina una reputación en la página 14

Uso de Protección adaptable frente a amenazas en un sistema clienteComprobación del estado de la conexión 5


5 Uso de Protección adaptable frente a amenazas en un sistema clienteComprobación del estado de la conexión


6 Administración de Protección adaptable frentea amenazas en un sistema cliente

Contenido Cargue un archivo Extra.DAT en un sistema cliente Contención de aplicaciones de forma dinámica Configurar Protección adaptable frente a amenazas en un sistema cliente Excluir procesos del análisis de Protección adaptable frente a amenazas en un sistema cliente

Cargue un archivo Extra.DAT en un sistema clienteDescargue el archivo Extra.DAT y utilice el Cliente de Endpoint Security para cargarlo.

Antes de empezarEstablezca el modo de interfaz del Cliente de Endpoint Security en Acceso total o inicie sesión comoadministrador.

Procedimiento1 Abra Cliente de Endpoint Security.

2 En el menú Acción, seleccione Cargar Extra.dat.

3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, acontinuación, haga clic en Abrir.

4 Haga clic en Aplicar.

Las nuevas detecciones en el archivo Extra.DAT se aplican inmediatamente.

Véase también Cómo funcionan los archivos de contenido en la página 19

Contención de aplicaciones de forma dinámicaContención dinámica de aplicaciones le permite especificar las aplicaciones con una reputación concreta que seejecutan en un contenedor. Las aplicaciones contenidas no pueden ejecutar determinadas acciones, según seespecifique en las reglas de contención.

Según el umbral de reputación, Protección adaptable frente a amenazas solicita que la Contención dinámica deaplicaciones ejecute la aplicación en un contenedor.

6


Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguras permitiendo suejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Los usuarios pueden utilizarlas aplicaciones, pero su funcionamiento podría no ser el esperado si la Contención dinámica de aplicacionesbloquea determinadas acciones. Una vez haya determinado que la aplicación es segura, puede configurarProtección adaptable frente a amenazas de Endpoint Security o el servidor de TIE para permitir su ejecucióncon normalidad.

Para utilizar la Contención dinámica de aplicaciones:

1 Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activar laContención dinámica de aplicaciones en Opciones.

2 Configure las reglas y las exclusiones de contención definidas por McAfee en la configuración de Contencióndinámica de aplicaciones.

Activar el umbral de activación de Contención dinámica de aplicacionesen un sistema clienteCon la Contención dinámica de aplicaciones, puede especificar que las aplicaciones con reputaciones específicasse ejecuten en un contenedor, lo que limita las acciones que pueden llevar a cabo. Permita que se implementela acción de la función y defina el umbral de reputación para contener aplicaciones.

Antes de empezarEl modo de interfaz para el Cliente de Endpoint Security se establece en Acceso total o se debehaber iniciado sesión como administrador.


2 Haga clic en Protección adaptable frente a amenazas en la página principal Estado.

O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptablefrente a amenazas en la página Configuración.


4 Haga clic en Opciones.

5 Verifique que la Protección adaptable frente a amenazas está activada.

6 Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.

7 Especifique el umbral de reputación en el que se deben contener las aplicaciones.

• Posiblemente de confianza

• Desconocido (valor predeterminado para el grupo de reglas Seguridad)

• Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado)

• Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad)

• Conocido malicioso

El umbral de reputación de la Contención dinámica de aplicaciones debe ser mayor que el de bloqueo ylimpieza. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la Contencióndinámica de aplicaciones debe ser Probablemente malicioso o superior.


6 Administración de Protección adaptable frente a amenazas en un sistema clienteContención de aplicaciones de forma dinámica


Véase también Configurar Protección adaptable frente a amenazas en un sistema cliente en la página 58

Configurar las reglas de contención definidas por McAfee en un sistemaclienteLas reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicaciones contenidaspueden ejecutar. Puede modificar la configuración de bloqueo e informes, pero, por lo demás, no es posiblemodificar ni eliminar estas reglas.


Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos losprocedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, consulte elartículo KB87843.





4 Haga clic en Contención dinámica de aplicaciones.

5 En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.

• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

• Para desactivar la regla, anule la selección de Bloquear e Informar.

6 En la sección Exclusiones, configure los ejecutables que excluir de Contención dinámica de aplicaciones.

Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).


Véase también Cómo funciona Protección adaptable frente a amenazas en la página 10Cómo funciona la Contención dinámica de aplicaciones en la página 21

Administrar las aplicaciones contenidas en un sistema clienteCuando la Contención dinámica de aplicaciones contiene una aplicación de confianza, puede excluirla de lacontención en el Cliente de Endpoint Security.


Al excluir la aplicación, se libera, se quita de las Aplicaciones contenidas y se añade a Exclusiones, lo que impideque se contenga en un futuro.

Administración de Protección adaptable frente a amenazas en un sistema clienteContención de aplicaciones de forma dinámica 6








5 En la sección Aplicaciones contenidas, seleccione la aplicación y, a continuación, haga clic en Excluir.

6 En la página Agregar ejecutable, configure las propiedades del ejecutable y, a continuación, haga clic enGuardar.

La aplicación aparecerá en la lista Exclusiones. La aplicación permanece en la lista Aplicaciones contenidashasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo aparece en la listaExclusiones.


Véase también Impedir que contención dinámica de aplicaciones contenga los programas de confianza en un sistemacliente en la página 56

Impedir que contención dinámica de aplicaciones contenga losprogramas de confianza en un sistema clienteSi un programa de confianza está contenido, exclúyalo creando una exclusión de Contención dinámica deaplicaciones.






5 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.

6 En la página Agregar ejecutable, configure las propiedades del ejecutable.

7 Haga clic en Guardar y luego en Aplicar para guardar la configuración.

Véase también Configurar las reglas de contención definidas por McAfee en un sistema cliente en la página 55Administrar las aplicaciones contenidas en un sistema cliente en la página 55Excluir procesos del análisis de Protección adaptable frente a amenazas en un sistema cliente en la página58

6 Administración de Protección adaptable frente a amenazas en un sistema clienteContención de aplicaciones de forma dinámica


Usar el nombre distintivo del firmante para excluir ejecutables en un sistema clienteEl nombre distintivo del firmante (SDN) es necesario al activar la comprobación de una firma digital y excluirsolo los archivos firmados por un firmante del proceso especificado.

Procedimiento1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.

2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.

3 En la ficha General haga clic en Ver certificado.

4 En la ficha Detalles, seleccione el campo Sujeto.

Aparecerá el nombre distintivo del firmante (SDN).

Por ejemplo, Firefox tiene este SDN:

CN = Mozilla Corporation

OU = Release Engineering

O = Mozilla Corporation

L = Mountain View

S = California

C = US

Los campos del SDN aparecerán en orden inverso al formato requerido.

5 Copie el contenido del campo Sujeto a una ubicación temporal.

6 Edite la información para invertir el orden de los elementos, quitar saltos de línea y separar los elementoscon una coma.

Por ejemplo, el formato requerido de nombre distintivo del firmante es:

C=US, S=CALIFORNIA, L=MOUNTAIN VIEW, O=MOZILLA CORPORATION, OU=RELEASE ENGINEERING,CN=MOZILLA CORPORATION

7 Cuando cree exclusiones, copie y pegue los detalles del certificado como una sola línea de texto en el campoFirmado por.

Véase también Eventos, respuestas y Protección adaptable frente a amenazas en la página 46

Administración de Protección adaptable frente a amenazas en un sistema clienteContención de aplicaciones de forma dinámica 6


Configurar Protección adaptable frente a amenazas en un sistemacliente

La configuración de Protección adaptable frente a amenazas determina cuándo se permite ejecutar un archivoo un certificado y si estos se contienen, se limpian o se bloquean, o bien si se pregunta qué hacer a losusuarios.


Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la páginaConfiguración.





4 Haga clic en Opciones.

5 Establezca la configuración en la página y haga clic en Aplicar.

Véase también Activar el umbral de activación de Contención dinámica de aplicaciones en un sistema cliente en la página54Cómo el análisis de Real Protect supervisa la actividad en la página 20Cómo controlan el acceso las reputaciones de archivo y de certificado en la página 14

Excluir procesos del análisis de Protección adaptable frente a amenazasen un sistema cliente

Se pueden excluir los procesos del análisis de Protección adaptable frente a amenazas agregándolos a laconfiguración de Prevención de amenazas Análisis en tiempo real cuando se trate de tipos de proceso Estándar.


Procedimiento recomendado: para obtener más información acerca de la solución de problemas conaplicaciones de terceros bloqueadas, consulte KB88482.

Para obtener una lista de los archivos ejecutables analizados por Protección adaptable frente a amenazas,compruebe el registro de depuración de Protección adaptable frente a amenazas(AdvancedThreatProtection_Debug.log).

6 Administración de Protección adaptable frente a amenazas en un sistema clienteConfigurar Protección adaptable frente a amenazas en un sistema cliente




2 Haga clic en Prevención de amenazas en la página principal Estado.

O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazasen la página Configuración.


4 Haga clic en Análisis en tiempo real.

5 Seleccione Configurar opciones distintas para procesos de riesgo alto y de riesgo bajo.

6 En la sección Tipos de proceso, seleccione la ficha Estándar. A continuación, en la sección Exclusiones,especifique los procesos que se excluirán del análisis de Protección adaptable frente a amenazas.


Véase también Impedir que contención dinámica de aplicaciones contenga los programas de confianza en un sistemacliente en la página 56

Administración de Protección adaptable frente a amenazas en un sistema clienteExcluir procesos del análisis de Protección adaptable frente a amenazas en un sistema cliente 6


6 Administración de Protección adaptable frente a amenazas en un sistema clienteExcluir procesos del análisis de Protección adaptable frente a amenazas en un sistema cliente


7 Supervisión de Protección adaptable frente aamenazas en un sistema cliente

Contenido Consulte el Registro de eventos para ver la actividad reciente Nombres y ubicaciones de los archivos de registro de Protección adaptable frente a amenazas

Consulte el Registro de eventos para ver la actividad recienteEl Registro de eventos en el Cliente de Endpoint Security muestra un registro de eventos que se producen en elsistema protegido por McAfee.


2 Haga clic en Registro de eventos en la parte izquierda de la página.

Esta página muestra todos los eventos que Endpoint Security ha registrado en el sistema en los últimostreinta días.

Si el Cliente de Endpoint Security no puede acceder a Administrador de eventos, muestra un mensaje deerror de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.

3 Seleccione un evento en el panel superior para ver los detalles en el panel inferior.

Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y arrástreloentre los paneles.

4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar los eventos.

5 Vaya al Registro de eventos.

De forma predeterminada, el Registro de eventos muestra veinte eventos por página. Para mostrar máseventos por página, seleccione una opción en la lista desplegable Eventos por página.

Véase también Nombres y ubicaciones de los archivos de registro de Protección adaptable frente a amenazas en la página62

7


Nombres y ubicaciones de los archivos de registro de Protecciónadaptable frente a amenazas

Los archivos de registro de actividades, errores y depuración registran eventos que se producen en los sistemasen los que esté activado Endpoint Security

Todos los archivos de registro de actividades y depuración se almacenan en la siguiente ubicaciónpredeterminada:

%ProgramData%\McAfee\Endpoint Security\Logs

Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo independiente.Los módulos almacenan los registros de errores en un solo archivo, EndpointSecurityPlatform_Errors.log.

La activación del registro de depuración para cualquier módulo también lo activa para las funciones del móduloAjustes generales, como por ejemplo Autoprotección.

Tabla 7-1 Archivos de registro

Módulo Función o tecnología Nombre de archivo

Protección adaptable frente aamenazas

AdvancedThreatProtection_Activity.log

AdvancedThreatProtection_Debug.log

Contención dinámica deaplicaciones

DynamicApplicationContainment_Activity.log

DynamicApplicationContainment_Debug.log

Ajustes generales Errores EndpointSecurityPlatform_Errors.logContiene registros de errores de todos los módulos.

De manera predeterminada, los archivos de registro de instalación se almacenan aquí:

TEMP\McAfeeLogs, que es la carpeta TEMP del sistema Windows.

Véase también Consulte el Registro de eventos para ver la actividad reciente en la página 61

7 Supervisión de Protección adaptable frente a amenazas en un sistema clienteNombres y ubicaciones de los archivos de registro de Protección adaptable frente a amenazas


McAfee Endpoint Security 10.6.0 - Guía de producto de ... · • Integración con el análisis de...

Documents

Transcript of McAfee Endpoint Security 10.6.0 - Guía de producto de ... · • Integración con el análisis de...