Advanced Endpoint Protection Administrator`s Guide Version 3.2
Contents
1. Bot n Crear nota Crea notas acerca del evento de seguridad para el seguimiento en un momento o fecha posteriores Bot n Obtener Obtiene los datos de protecci n del endpoint Crea una regla que utiliza la clave de prevenci n y activa informaci n para solicitar datos acerca del evento de prevenci n del agente La informaci n se env a a la carpeta forense Bot n Crear Crea una regla de exclusi n autom ticamente a partir de una prevenci n La regla permite la ejecuci n de una regla en un endpoint espec fico sin la protecci n del modo de prevenci n de exploits Bot n Bloquear Solo prevenciones de WildFire Cancela el modo de terminaci n por defecto para que el hash bloquee el archivo Bot n Permitir Solo prevenciones de WildFire Cancela el modo de terminaci n por defecto para que el hash permita el archivo Seleccione la lista de nuevo para ocultar la vista de detalles adicionales 150 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado de eventos de seguridad Ver detalles de modo provisionales Seleccione Monitor gt Modo provisional para mostrar una lista de eventos de seguridad relacionados con m dulos provisionales Los m dulos provisionales se configuran por defecto e incluyen ProcessCrash WildFireUnknown WildFirePostUnknownDetection protecci n contra secuestro de DLL Java Inyecci n de subprocesos y Protecci n de suspensi n2. E paloalto NETWORKS the network security company Palo Alto Networks9 Protecci n avanzada del endpoint Gu a del administrador Versi n 3 2 Informaci n de contacto Sede de la empresa Palo Alto Networks 4401 Great America Parkway Santa Clara CA 95054 http www paloaltonetworks com contact contact Acerca de esta gu a Esta gu a describe la instalaci n inicial y la configuraci n b sica de los componentes de la Protecci n avanzada del endpoint de Palo Alto Networks e incluye el Endpoint Security Manager ESM y Traps Los temas incluyen requisitos previos pr cticas recomendadas y procedimientos para la instalaci n y administraci n de Traps en los endpoints de su organizaci n Consulte las siguientes fuentes para obtener m s informaci n https paloaltonetworks com documentation Sitio de documentaci n de publicaciones t cnicas e https live paloaltonetworks com Permite acceder a la base de conocimientos la documentaci n al completo foros de debate y v deos e https support paloaltonetworks com Aqu podr contactar con el servicio de asistencia t cnica informarse sobre los programas de asistencia y gestionar su cuenta o sus dispositivos https support paloaltonetworks com Updates SoftwareUpdates Para leer las notas sobre la ltima versi n vaya a la p gina de actualizaciones de softwate en e Para enviar sus comentarios sobre la documentaci n dir jase
3. Instalaci n del software del servidor del Endpoint Security Manager Continuaci n Paso 2 Configure los ajustes para el usuario 1 Elija el tipo de autenticaci n que desea usar administrativo M quina El Endpoint Security Manager autentica usando aa los usuarios y grupos de la m quina local Administrative User Configuration e Dominio El Endpoint Security Manager autentica los usuarios y grupos que pertenecen al dominio de la m quina ao OS 2 Introduzca el nombre de la cuenta para el usuario que Domain administrar el servidor en el campo Especifique un usuario E T E E administrativo y haga clic en Siguiente AAA o Note These credentials define the super administrative user which can log in to the Endpoint Security Manager Console and has full permissions This user can be manually changed at a later time Back Paso 3 Configure los ajustes de la base de datos 1 Seleccione el tipo de base de datos que ha instalado para su uso con Endpoint Security Manager 13 Endpoint Security Manager Core Setup m palo Si selecciona un servidor SQL debe facilitar la siguiente Database Configuration z i i f informaci n de configuraci n e Eo cerva 2000 E SQL Nombre del servidor o direcci n IP e instancia de la base de datos por ejemplo ESMServer database Server Name Esmserver database Use Windows Authentication e Tipo de autenticaci n Windows o SQL C Use SQL Server Authentication
4. Paso 3 Opcional Para ordenar las entradas de las tablas seleccione el encabezado de la columna para aplicar un orden ascendente Seleccione el encabezado de la columna de nuevo para aplicar un orden descendente Paso 4 Opcional Para filtrar las entradas de la tabla haga clic en el icono del filtro Y a la derecha de la columna para especificar hasta dos conjuntos de criterios para la filtraci n de los resultados Paso 5 Opcional Para exportar los logs a un archivo CSV haga clic en el icono de men y a continuaci n seleccione Exportar logs Ver detalles acerca del registro de agentes La p gina Logs de agentes muestra notificaciones acerca de los cambios en el estado de los agentes incluido el inicio o parada de los servicios sistemas y procesos Agent Logs uy M Page 1 ofl o Machine Name Message Severity Report Type Time 179 PM USER1 PC Service Running Low Service alive 19 02 2015 18 42 38 178 PM USER1 PC Service was stopped Low Service stopped 19 02 2015 18 42 27 177 PM USER1 PC Service was stopped Low Service stopped 19 02 2015 18 42 27 176 CYVERASERVER Service Running Low Service alive 19 02 2015 18 39 58 175 PIM USER1 PC Failed executing one time Action SendProcessData Medium One time action failed 19 02 2015 14 50 11 La tabla siguiente describe los campos mostrados en la p gina Monitorizar gt Logs de agentes ID Una ID num rica nica para el mensaje de notificaci n Nombre de
5. Por qu no se puede conectar Traps con el servidor ESM S ntoma Traps no se puede comunicar con el servidor ESM para obtener la pol tica de seguridad m s reciente e informa de un estado de Sin conexi n con el servidor Causas posibles e Las especificaciones del servidor o el endpoint no cumplen con los requisitos previos de instalaci n y criterios e El servicio de Traps no est activo en el endpoint e El servicio b sico del Administrador de seguridad de endpoints no est activa en el servidor ESM e Elendpoint no est conectado a la red e No se permite tr fico entrante en el puerto para el servidor ESM por defecto es 2125 e Se habilita el cortafuegos de Windows en el servidor ESM y evita que el servidor se comunique con el cliente e El certificado del endpoint no coincide con el certificado del servidor ESM consulte C mo soluciono un error de certificado de servidor de Traps Soluci n Tras cada paso en el procedimiento siguiente verifique si Traps puede conectarse con el servidor ESM seleccionando Registrar ahora Si Traps no puede conectarse con el servidor proceda con cada paso posterior hasta solucionar el problema Soluci n Por qu no se puede conectar Traps con el servidor ESM Paso 1 Verifique que el servidor y endpoint Consulte Requisitos previos cumplen los requisitos previos pi Paso 2 Verifique que el servicio de Traps se est Abra el administrador de servicios ej
6. Verificar la conectividad desde la consola ESM Paso 1 En la consola ESM seleccione Monitorizar gt Estado Paso 2 Verifique el estado del endpoint localice el nombre del endpoint en la lista de equipos Un icono EI indica que se est ejecutando Traps en el endpoint Para ver detalles adicionales acerca del endpoint seleccione la fila de endpoints 44 Advanced Endpoint Protection Administrator s Guide 7 Administraci n del servidor ESM Gesti n de m ltiples servidores ESM Gesti n de las licencias del Endpoint Security Manager Configuraci n del acceso administrativo gt gt gt gt Exportaci n e importaci n de archivos de las pol ticas Protecci n avanzada del endpoint Gu a del administrador 45 Gesti n de m ltiples servidores ESM Administraci n del servidor ESM Gesti n de m ltiples servidores ESM Para admitir implementaciones a gran escala de m ltiples sitios puede configurar y gestionar m ltiples servidores Endpoint Security Manager ESMs desde la consola ESM Cada uno de los servidores ESM se conecta a una base de datos compartida donde se almacenan pol ticas de seguridad e informaci n relacionada con los agentes y eventos de Traps con capacidad para hasta 50 000 agentes de Traps y permite la carga de datos forenses en una carga forense dedicada A adir servidores ESM adicionales le permite escalar el n mero de conexiones de Traps En intervalos regulares cada servidor ESM soli
7. A B squeda en WildFire B squeda de cach local en el endpoint Cuando un usuario abre un archivo ejecutable Traps crea un hash nico para el archivo y realiza una b squeda de veredicto en su cach local El cach local se guarda en la carpeta CA ProgramDatal Cyveral LocalSystem en el endpoint y contiene los hashes y los veredictos correspondientes para cada archivo que un usuario o m quina intenta abrir en el endpoint El cach se escala en tama o para acomodar el n mero de archivos ejecutables nicos que se han abierto en el endpoint Cuando se habilita la protecci n del servicio consulte Gesti n de protecci n de servicios los hashes solo son accesibles a trav s de Traps y no se pueden cambiar Si el veredicto asociado con el hash indica que el archivo es benigno Traps permite la ejecuci n del archivo Si el veredicto asociado con el hash es malintencionado Traps informa del evento de seguridad a Endpoint Security Manager A continuaci n dependiendo de la conducta de terminaci n configurada para archivos malintencionados Traps realiza una de las acciones siguientes e Bloquea el ejecutable malintencionado e Informa al usuario acerca del archivo pero sigue permitiendo la ejecuci n del archivo e Realiza un log del problema sin notificarlo al usuario y permite la ejecuci n del archivo Si el hash no existe en el cach local o tiene un veredicto desconocido Traps consulta al servidor ESM para ver si el hash tiene un v
8. Administraci n de restricciones en ejecutables Prevenci n de malware Definici n de restricciones y excepciones de Java Un punto de entrada com n para c digos malintencionados son los procesos de Java importados desde un host remoto y ejecutados bajo los navegadores de Internet Como medida de protecci n contra estos exploits se puede evitar que un applet de Java ejecute objetos bajo los navegadores Alternativamente puede permitir la ejecuci n de procesos de confianza Utilice la opci n para elegir de forma selectiva los tipos de archivos localizaciones y rutas de registro que pueden leer estos procesos y en los que pueden escribir Definici n de restricciones y excepciones de Java Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Paso 2 Defina las restricciones en los procesos de 1 Seleccione Java en la lista desplegable Restricciones Java 2 Seleccione Habilitar EPM de Java en las opciones Ajustes de Por defecto las restricciones de EPM de Java 1 procesos de Java est n 3 En la secci n Procesos permitidos de Java haga clic en el bot n deshabilitadas La habilitaci n de m para especificar los procesos de Java cuya ejecuci n se los ajustes EPM de Java le permite permitir desde el navegador por ejemplo AcrorRd32 exe poner restricciones en los Repita esta acci n para a adir procesos adicionales procesos de Java pero no habi
9. Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Cambio de la contrase a de desinstalaci n Por defecto debe introducir la contrase a de desinstalaci n especificada durante la instalaci n para desinstalar Traps de un endpoint Cambie la contrase a por defecto creando una regla de ajustes de agentes Cambio de la contrase a de desinstalaci n Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Cambie la contrase a 1 Seleccione Seguridad de agentes en la lista desplegable Seleccione la casilla Definir contrase a de desinstalaci
10. Cambio del destino de la carpeta forense utilizando la herramienta de configuraci n DB Para una soluci n adicional de problemas o el an lisis de eventos de seguridad como una prevenci n o bloqueo Traps carga los datos forenses en una carpeta forense basada en la web Durante la instalaci n de la consola ESM el instalador habilita el Servicio de transferencia inteligente en segundo plano BITS que utiliza ancho de banda de red inactiva para cargar los datos en la carpeta forense Para analizar un evento de seguridad cree una regla de acci n para obtener los datos forenses del endpoint consulte Gesti n de datos recopilados por Traps Cuando Traps recibe la solicitud de env o de datos copia los archivos en la carpeta forense tambi n denominada en el Endpoint Security Manager carpeta de cuarentena que es una ruta local o de red que se especifica durante la instalaci n inicial Puede cambiar la ruta de la carpeta forense en cualquier momento usando el Endpoint Security Manager consulte Cambio del destino de la carpeta forense utilizando la consola ESM o usando la herramienta de configuraci n de bases de datos DB La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La
11. puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 129 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints 130 Protecci n avanzada del endpoint Gu a del administrador Datos forenses A Descripci n general de datos forenses A Administraci n de reglas y ajustes forenses A Habilitaci n de la obtenci n de URI en Chrome Protecci n avanzada del endpoint Gu a del administrador 131 Descripci n general de datos forenses Datos forenses Descripci n general de datos forenses A Flujo de datos forenses A Tipos de datos forenses Flujo de datos forenses 0 D Un usuario abre un Traps bloquea el Traps congela la Traps utiliza herramientas de Traps informa del evento y los archivo que intenta proceso utilizando memoria captura los detecci n autom ticas para resultados del an lisis al ESM ejecutar un m dulos de protecci n contenidos y obtiene analizar restos de actividades Endpoint Security Manager y carga proceso malicioso e informa al usuario otros datos forenses maliciosas en la memoria los datos en la carpeta forense Fase 1 Activaci n de eventos de prevenci n Fase 2 An lisis automatizado Fase 3 Detecci n automatizada gt gt gt p gt Fase 4 Recopilaci n de datos forenses Fase 1 Activaci n de eventos de prevenci n Cuando se produce un intento de ataque sobre u
12. Seleccione el tipo de base de datos que ha instalado para su uso de la base de datos 17 Endpoint Security Manager Console Setup Database Configuration Please choose a database type SQL Server 2008 y lESMServer database Use Windows Authentication C Use SQL Server Authentication lESMServer administrator AS Note Create or verify the existence of a database with appropriate verif permissions for the above user before continuing ei Server Name User Name Password con el ESM Para una base de datos SQL configure e Nombre del servidor SQL o direcci n IP seguida por la instancia de base de datos por ejemplo ESMServer database e Tipo de autenticaci n Windows o SQL Nombre de usuario incluido el dominio por ejemplo ESMServer administrator y la Contrase a para el servidor para el usuario que administrar la base de datos La cuenta de usuario que especifique debe tener permisos para crear una base de datos en el servidor a 2 Haga clic en Verificar para confirmar que el servidor se puede conectar a la base de datos utilizando credenciales de autenticaci n Si lo hace con xito haga clic en Siguiente Paso 4 Indique la carpeta forense 1 Introduzca la ruta de la carpeta forense por defecto C Program FilesYPalo Alto Networks1Quarantinel o Vaya a EEE Manager Core Setup Lo A la localizaci n de la carpeta Forensic Folder configuration m palo q Ls KA
13. a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de acci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Acciones de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Acciones de agentes Desde ah puede Duplicar Borrar o Desactivar la regla seg n sea necesario 116 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Administraci n de las reglas de ajustes de agentes Use las reglas de ajustes de agentes para cambiar las preferencias relacionadas con Traps desde una localizaci n central Reglas de ajustes de agentes de Traps A adir una nueva regla de ajustes de agentes Definici n de las preferencias de logging de eventos Ocultaci n o restricci n de acceso a la consola de Traps Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM Recopilaci n de informaci n de nuevos procesos Gesti n de protecci n de servicios Cambio de la contrase a de desinstalaci n Creaci n de un mensaje de prevenci n personalizado gt _ gt gt r gt gt gt gt gt gt Creaci n de un mensaje de prevenci n personalizado Reglas de ajustes de agentes
14. de endpoints determinan los EPM que se inyectan en cada proceso Puede ver los procesos que est n protegidos por Traps en al actualidad utilizando la consola de Traps o una interfaz de l neas de comando denominada Cytool consulte Ver procesos actualmente protegidos por Traps La pesta a Protecci n de la consola de Traps muestra los procesos que est n protegidos por Traps 68 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de procesos svchost TEET Process for Windows Services svchost Host Process for Windows Services dwm Desktop Window Manager dllhost COM Surrogate winlogon Windows Logon Application winlogon Windows Logon Application svchost Host Process for Windows Services svchost Host Process for Windows Services veuaucit Windows Update spoolsv Spooler SubSystem App chrome Google Chrome taskhost Host Process for Windows Tasks svchost Host Process for Windows Services surhnst Host raras far Windrws Camiras B aloalio NETWORKS III 1472 1164 2224 2272 Connection C Last Check in 0 to 10 5 124 73 16 17 22 Check in now Open Log File Send Support File Para cada proceso Traps muestra el nombre la descripci n el n mero de ID nico el tiempo desde el inicio del proceso y el registro de asignaci n de memoria Ver procesos actualmente protegidos por Traps Paso 1 Inicie la consola de Traps En la bandej
15. ejecuci n de los tipos de archivos de proceso localizaciones y rutas de registro Para obtener m s informaci n consulte Definici n de restricciones y excepciones de Java Ejecuci n de procesos Un proceso firmado tiene una firma de autenticaci n digital que prueba su procedencia sin firmar de una fuente de confianza Las pr cticas correctas dictan que todas las aplicaciones leg timas deben tener una firma pero no siempre se cumplen Las restricciones sobre procesos sin firma evitan la ejecuci n de todos los procesos no firmados excepto aquellos permitidos expl citamente Tambi n puede definir un periodo de aplazamiento que evita la ejecuci n de procesos sin firma durante un plazo de tiempo determinado tras su escritura en el disco del endpoint Debido a que un ataque puede incluir la escritura de un ejecutable malintencionado en el disco y su ejecuci n inmediata la utilizaci n de un periodo de aplazamiento y la restricci n de procesos sin firma son medios efectivos para prevenir ataques de malware Para obtener m s informaci n consulte Definici n de restricciones y excepciones de ejecutables sin firma Para cada restricci n se especifica el objeto u objetos de destino la condici n o condiciones el tipo de restricci n y la acci n o acciones que deben realizarse para la administraci n de ejecutables Un objeto de destino puede ser cualquier usuario grupo unidad de una organizaci n o equipo que aparece en el Dire
16. es posible obtener una vista agregada de los logs de todos los servidores ESM Puede habilitar los informes externos usando el ESM consulte Habilitar informes utilizando la consola ESM o usando la herramienta de configuraci n de bases de datos DB 166 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Administraci n de preferencias de informes y logging La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La herramienta de configuraci n DB se encuentra en la carpeta Servidor del servidor ESM Todos los comandos ejecutados utilizando la herramienta de configuraci n DB hacen distinci n entre may sculas y min sculas Por defecto se deshabilitan los informes externos Habilitar informes externos usando la herramienta de configuraci n DB Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que c
17. lt usernamel gt lt username2 gt Los usuarios administrativos que especifique anular n cualquier valor definido previamente Para JW conservar el valor o valores actuales debe especificarlos en el comando Protecci n avanzada del endpoint Gu a del administrador 51 Configuraci n del acceso administrativo Administraci n del servidor ESM Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB Paso 6 Opcional Especifique grupos administrativos adicionales Utilice un punto y coma para separar valores m ltiples Por ejemplo securityadmins endpointadmins C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server gt dbconfig usermanagement allowedgroups lt groupnamel gt lt groupname2 gt El grupo o grupos administrativos que especifique anular n cualquier valor definido previamente Para conservar el valor o valores actuales debe especificarlos en el comando Cambio de la contrase a de modo ninja utilizando la herramienta de configuraci n DB Los m dulos EMP Advanced Exploitation Prevention Modules est n ocultos y solo se puede acceder a ellos en el modo ninja Q Para visualizar los EPM avanzados deber introducir la contrase a de modo ninja Para cambiar la contrase a utilice la herramienta de configuraci n DB Cambio de la contrase a de modo ninja utilizando la herramienta de configuraci n DB Paso 1 Abra una l nea de
18. n de condiciones de activaci n para una regla Paso 1 Seleccione Ajustes gt Condiciones La p gina Condiciones muestra el n mero de ID nico Nombre y Descripci n para cada condici n Paso 2 A ada una nueva condici n Paso 3 Introduzca el Nombre y Descripci n de la condici n y especifique uno o m s de los siguientes ajustes e Ruta Ruta completa de un archivo ejecutable que existe en el endpoint Ruta de registro Ruta completa a una entrada de registro que existe en el endpoint e Versi n N mero de versi n de un archivo ejecutable que existe en el endpoint y el n mero de versi n del ejecutable Si se define tambi n debe especificar la ruta del ejecutable El ejecutable debe coincidir con la ruta y la versi n exacta para la regla que se va a aplicar Paso 4 Guarde la condici n Borrado o modificaci n de una condici n de regla Las condiciones de activaci n de reglas son condiciones que debe cumplir el endpoint para la aplicaci n de una regla en un endpoint Tras crear una condici n puede borrarla o modificarla en la p gina Condiciones Modificaci n o borrado de una condici n de regla Paso 1 Seleccione Ajustes gt Condiciones La p gina Condiciones muestra el n mero de ID nico Nombre y Descripci n para cada condici n Paso 2 Seleccione la condici n que desea modificar o borrar Paso 3 Proceda con una de las siguientes opciones e Haga clic en Borrar para desechar
19. ssns s sssr errer rr rnnr rnnr rno 183 Soluci n de problemas de Fraps esis prergsusi pri ras dr pR EES 186 Por qu tio puedo instalat Traps eiss is rennan as ad a dla 186 Por qu no puedo actualizar o desinstalar Traps ooooooccccocooncoccccco rnrn 187 Por qu no se puede conectar Traps con el servidor ESM o ooccooooccccccccoooco 188 C mo soluciono un error de certificado de servidor de Traps o oooo ooooooocccccccnoo oo 190 Soluci n de problemas de la consola ESM oooocccccccococccccr o 192 Por qu no puedo iniciar sesi n en la consola ESM o ooocoooococccccccorr rnnr 192 Por qu recibo un error de servidor cuando inicio la consola ESM ooocccooococccccccooo oo 193 Por qu aparecen todos los endpoints como desconectados en la consola ESMP oooo o ooo 194 Protecci n avanzada del endpoint Gu a del administrador vii viii Protecci n avanzada del endpoint Gu a del administrador Y Descripci n general de la protecci n F avanzada del endpoint La protecci n avanzada del endpoint es una soluci n que previene amenazas persistentes avanzadas APT y ataques de d a cero y habilita la protecci n de sus endpoints bloqueando vectores de ataque antes de que se inicie el malware Para acceder a la versi n 3 2 m s reciente de la Protecci n avanzada del endpoint visite nA la p gina Documentaci n de Protecci n avanzada del endpoint en el portal de documentaci n t cnica Los temas
20. 0 0 0 Notified memory corruption exploits 0 0 Notified software logic flaw exploits 0 0 0 pa Notified malware activity Provisional Mode Security Error Log Malware activity 0 1 Utilice el panel Eventos de seguridad para monitorizar la informaci n de alto nivel acerca de eventos de seguridad que ocurren en los endpoints de su organizaci n Desde aqu puede ver el n mero de eventos que han ocurrido en la ltima semana o mes El panel de eventos de seguridad muestra los eventos en los que se han bloqueados intentos de exploits y eventos que han activado solo notificaciones El panel muestra la informaci n siguiente Amenazas Muestra todas las amenazas en relaci n con procesos protegidos y ejecutables que se han producido en su red Para una mayor comodidad haga clic en cualquier tipo de amenaza mostrado en la p gina Resumen para filtrar las amenazas de ese tipo Para obtener m s informaci n consulte Ver detalles de amenazas 148 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado de eventos de seguridad Modo provisional El rea Modo provisional del panel Eventos de seguridad incluye un resumen de alto e ProcesoBloqueo e WildFireDesconocido e WildFirePostDesconocidoDetecci n e Protecci n de secuestro de DLL Java e Inyecci n de subprocesos e Protecci n de suspensi n nivel de los eventos relacionados con reglas provisionales Haga clic
21. 000 por sitio en un entorno de sitios m ltiples y est compuesto de los siguientes componentes e Un servidor de base de datos dedicado e Una consola Endpoint Security Manager ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administrar la pol tica de seguridad y los agentes de Traps 18 Protecci n avanzada del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaciones grandes Servidores ESM uno para cada 50 000 agentes de Traps en cada sitio y cada uno de ellos ejecutando ESM Cote 3 2 Un servidor ESM con un registro DNS p blico que acepte las conexiones de agentes de Traps en itinerancia bien Un servidor ESM con un puerto configurado para aceptar conexiones de redes externas Un servidor ESM instalado en un DMZ con una conexi n al servidor de base de datos interno Este servidor tambi n puede funcionar como servidor de respaldo secundario Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS Opcional Plataforma de logging externa como un SIEM o syslog Opcional Integraci n WildFire En este ejemplo se asume que los sitios A B y C requieren hasta 50 000 agentes de Traps cada uno y que 50 000 endpoints est n en itinerancia Para permit
22. 1 Abra el Endpoint Security Manager y seleccione Monitorizar gt Salud Paso 2 Seleccione la fila del endpoint para el que desea visualizar el historial de reglas La fila se expande para mostrar detalles y acciones adicionales que se pueden realizar Paso 3 Seleccione Pol tica de agentes en la lista desplegable de la derecha Aparece la informaci n de estado actual en el secci n Pol tica de agentes y logs de la p gina Paso 4 Haga clic en Detalles para ver el registro del historial de reglas El estado indica uno de los siguientes e Activa _La regla est activa en la pol tica de seguridad del endpoint e Hist rica _La regla es un versi n anterior de una regla que est activa en la pol tica de seguridad del endpoint e Deshabilitada La regla estaba desactivada en la pol tica de seguridad Protecci n avanzada del endpoint Gu a del administrador 157 Monitorizado del estado de los endpoints Informes y logs Ver cambios en la pol tica de seguridad del endpoint La pesta a Pol tica de la consola de Traps muestra cambios en la pol tica de seguridad del endpoint Cada norma muestra el n mero de ID nico el nombre de la regla la fecha y hora en que Traps ha recibido la pol tica de seguridad actualizada que contiene la regla y la descripci n Cada tipo de regla tiene una p gina de administraci n dedicada que se puede usar para ver y administrar las reglas para la organizaci n Para crear un archivo de texto que conte
23. 25 Configuraci n de la infraestructura de endpoints Configuraci n de la infraestructura de Traps Configuraci n de la infraestructura de endpoints Use el flujo de trabajo siguiente para configurar la infraestructura de endpoints o para actualizar la infraestructura de endpoints existente utilice el flujo de trabajo descrito en Actualizaci n de la infraestructura de endpoints Tarea C mo obtener m s informaci n Paso 1 Revise los requisitos previos del software Consideraciones de instalaci n de la infraestructura de endpoints Requisitos previos para la instalaci n del servidor ESM Requisitos previos para la instalaci n de Traps en un endpoint Paso 2 Revise las etapas de implementaci n Etapas de implementaci n de Traps recomendadas Paso 3 Opcional Configure Internet Habilitaci n de servicios web Information Services HS con NET Configuraci n de SSL en la consola ESM Services Paso 4 Opcional Configure el servidor Configuraci n de la base de datos del servidor MS SQL MS SQL Paso 5 Instale el software del servidor ESM Instalaci n del software del servidor Endpoint Security Manager Paso 6 Instale el software de la consola ESM Instalaci n del software de la consola Endpoint Security Manager Paso 7 Instale la pol tica de seguridad b sica Carga de las pol ticas de seguridad b sicas Paso 8 Instale Traps en los endpoints Instalaci n de Traps en el endpoint Instalaci n de Traps en el en
24. Administraci n de reglas de acci n de Traps Use reglas de acci n para realizar acciones de una vez en el agente de Traps que se ejecuta en cada endpoint Reglas de acci n de Traps A adir una nueva regla de acci n Gesti n de datos recopilados por Traps Cerrar o suspender la protecci n del EPM Desinstalaci n o actualizaci n de Traps en el endpoint gt _o gt gt gt gt Actualizaci n o revocaci n de la licencia de Traps en el endpoint Reglas de acci n de Traps Las reglas de acci n le permiten realizar acciones de una vez en el agente de Traps que se ejecuta en cada endpoint Para cada regla de acci n debe especificarse el objeto u objetos de destino la condici n o condiciones y una de las siguientes acciones administrativas para su realizaci n en cada endpoint Gesti n de archivos de Cada endpoint almacena informaci n de prevenci n y seguridad incluidos datos datos que crea el agente hist ricos volcados de memoria y archivos en cuarentena Utilizando este tipo de acci n de Traps se pueden borrar u obtener archivos de datos que el agente de Traps crea en el endpoint Para obtener m s informaci n consulte Gesti n de datos recopilados por Traps Cerrar o suspender la Si una pol tica de seguridad interfiere con una aplicaci n leg tima puede cerrar o protecci n del EPM suspender temporalmente la protecci n del M dulo de prevenci n de exploits EPM en el endpoint Tras realizar el trabajo nec
25. Blacklist Enabled Active Domain PALOALTONETWORK 18 12 14 8 33 Remote Collect New Proces Active Base DN N A 02 09 14 1 45 Remote disk quota Active Last Heartbeat 30 01 2015 15 55 License Expiration Date 8 24 2015 La consola ESM elimina el endpoint o endpoints de la p gina Estado Tras la comunicaci n heartbeat al endpoint Traps informa de Sin conexi n al servidor Protecci n avanzada del endpoint Gu a del administrador 159 Monitorizado de las reglas Informes y logs Monitorizado de las reglas Cada resumen de reglas y p gina de administraci n muestra reglas activas e inactivas para su organizaci n y tienen herramientas que se pueden usar para la administraci n de las reglas A Ver el resumen de reglas A Ver detalles acerca de las reglas Ver el resumen de reglas Cada tipo de regla tiene un resumen espec fico y una p gina de administraci n Para visualizar un resumen de las reglas de un determinado tipo Ver el resumen de reglas Paso 1 En la consola ESM seleccione la p gina de administraci n de reglas para ese tipo de regla por ejemplo Pol ticas gt Exploit gt M dulos de protecci n Paso 2 Para visualizar las entrada de la tabla utilice los controles de paginado de la parte superior derecha de cada p gina para ver diferentes partes de la tabla Paso 3 Opcional Para ordenar las entradas de las tablas seleccionado el encabezado de la columna para aplicar un orden ascendente Selecci
26. El instalador habilita autom ticamente BITS para esta carpeta Please specify a path to the forensic folder Program Files Palo Alto Networks Quarantine Browse Note This is required in order to send prevention information to the server 2 Haga clic en Siguiente Back Cancel Paso 5 Finalice la instalaci n 1 Haga clic en Instalar 2 Cuando finalice la instalaci n haga clic en Finalizar 36 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Instalaci n del software de la consola Endpoint Security Manager Continuaci n Paso 6 Instale la licencia 1 Haga doble clic en el icono de la consola Endpoint Security Manager desde el escritorio o vaya a la consola Debs imstal r la clave de licencia http localhost EndpointSecurityManager JW antes que transcurran cinco D minutos tras la instalaci n del Introduzca su identificativo y contrase a software del Endpoint Security 3 Cuando se le pida haga clic en el enlace para Navegar al archivo Manager Si espera para instalar la de la clave de licencia y haga clic en Cargar clave de licencia deber reiniciar el y servicio del Administrador de seguridad de endpoints Inicie sesi n del nuevo para acceder al panel del Endpoint Security Manager Paso7 Verifique que el servicio ESM Core est 1 Abra el administrador de servicios activo e Window
27. Endpoint Security Manager debe configurar la base de datos MS SQL con los permisos necesarios Cuando utilice Windows Authentication como m todo de autenticaci n de usuarios el propietario debe tener derechos de Iniciar sesi n como servicio Se recomienda el procedimiento siguiente como la pr ctica correcta para crear y configurar una base de datos del servidor MS SQL Configuraci n de la base de datos del servidor MS SQL Paso 1 Cree una nueva base de datos 1 Seleccione SQL Server Management Studio en el men Inicio 2 Haga clic en Conectar para abrir Microsoft SQL Server Management Studio je Connect to server S 3 Microsoft SQL Server 2008 R2 Server type Database Engine y Server name administrator X Authentication Windows Authentication y User name EYVERA wav y Password E I Remember password Cancel Help _Options gt gt 3 Seleccione Base de datos gt Nueva base de datos File Edit View Debug Tools Window Community Help i new Query Aaa lAs Comet 3 3 a TES El US CYVERASERVER SQL Server 10 50 1600 CYVER Attach Restore Database Restore Files and Filegroups Start PowerShell i Paso2 Configure los ajustes de la base de datos 1 Introduzca la siguiente informaci n E EAA Nombre de la base de datos Zom ES e Propietario incluido el dominio oa Database name Cyvera KON A d ome as al Cuando utilice Windows Authenti
28. Endpoint Security Manager usando la consola ESM 48 Administraci n de las licencias de Endpoint Security Manager usando la herramienta de configuraci n DB avisos siria rai A AR A ARA RR 49 Configuraci n del acceso administrativo ooooooocccccronac or 50 Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM 50 Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de contiguraci n DB A ia ER ERE TI E n 51 Cambio de la contrase a de modo ninja utilizando la herramienta de configuraci n DB 52 Exportaci n e importaci n de archivos de las pol tiCAS ooooooooooooococcccora co 53 Primeros pasos CON las reglas 65 200 rr 55 Descripci n general de las reglas de pol ticas de EMApOlNtS oooooccocoroccrcccooo rnrn 56 Tipos de reglas de PO CAS coi id a A 56 Aplicaci n de las pol ticas reconioraccati aa lA A EE AEN 57 Componentes y acciones comunes de las teglaS ooooooocoocccccccnnano rr 58 Condiciones di AAA A AAA RA 58 Obj tos de deS e tt RA e A AR a 59 Nombrar o renombrar una Tegla occiso rs e ea 60 Guardar telas soba aida 60 Administraci n de reglas guardadas coi soinrrcorrsdaro corran rr RR 61 Deshabilitar o habilitar todas las reglas de protecci n oooooocccccccoooccccca renren 61 Prevenci n de exploits o ooooooooooooo a 63 Administraci n de PrOCESOS ze srareits a e a a aa a 64 Protecci
29. Inicio Haga clic en Cerrar Administraci n de las licencias de Endpoint Security Manager usando la herramienta de configuraci n DB La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La herramienta de configuraci n DB se encuentra en la carpeta Servidor del servidor ESM Todos los comandos ejecutados utilizando la herramienta de configuraci n DB hacen distinci n entre may sculas y min sculas Administrar Endpoint Security Manager licencias usando la herramienta de configuraci n DB Paso 1 Localice el archivo de su licencia Paso 2 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 3 Vaya a la carpeta que contiene la herramienta de configuraci n DB C lUserslAdministrator gt cd C Program FilesiPalo Alto NetworksEndpoint Security Manager Server Paso 4 Cargue la nueva licencia C Program FilesiPalo Alto NetworksXEndpoint Secu
30. Introduzca la URL basada en la web de la carpeta forense C Program FilesiPalo Alto Networks Endpoint Security Manager Server gt dbconfig server BitsUrl http ESMserver 80 BitsUploads Si utiliza SSL incluya el nombre de dominio totalmente cualificado FQDN en la ruta por ejemplo 105 1 https ESMserver Domain local 443 BitsUploads Paso 5 Opcional Para verificar la ruta de la carpeta forense ejecute el comando dbconfig server show C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server gt dbconfig server show PreventionsDestFolder ESMServer New Quarantine InventoryInterval 284 HeartBeatGracePeriod 4200 NinjaModePassword Password2 BitsUrl HTTPS ESMserver Domain local 443 BitsUploads MaxActions 5000 Creaci n de una regla forense Cree una regla forense para definir el volcado de memoria y las preferencias de recopilaciones forenses Creaci n de una regla forense Paso 1 Inicie una nueva regla forense Seleccione Pol ticas gt Datos forenses y a continuaci n haga clic en A adir Paso 2 Seleccione el tipo de regla que desea Seleccione uno de los siguientes de la lista desplegable Datos configurar forenses y configure los ajustes seg n el tipo de regla e Volcado de memoria Para m s informaci n consulte Definici n de las preferencias del volcado de memoria e Recopilaci n de datos forenses Para m s informaci n consulte Definici n de las preferencias de recopi
31. Last User N A 11 02 15 12 43 Remote disk quota Active IP 10 5 124 74 11 02 15 1249 Remote Collect New Proces Active Domain WORKGROUP 11 02 15 1249 Remote Restriction Folder Blacklist Enabled Active Base DN N A 11 02 15 1249 Remote WildFire 12 18 201 WildFire Enabled U Active Last Heartbeat 19 02 2015 20 42 11 02 15 12 43 Remote Forensics 1 25 20 Forensics settings Active License Expiration Date 2 4 2016 La tabla siguiente describe los campos y acciones que est n disponibles para cada endpoint mostrado en la p gina Estado Por defecto la vista de detalles est ndar de la p gina Estado ofrece una tabla de endpoints con campos mostrados a lo largo de la parte superior Al seleccionar un endpoint en la tabla Estado se expande la fila para mostrar detalles adicionales acerca del endpoint y las acciones que se pueden realizar Tambi n puede exportar los logs a un archivo CSV haciendo clic en el icono del men y seleccionando Exportar logs Vista de detalles est ndar Estado El estado del agente que es En ejecuci n Parado Desconectado o Cerrado Heartbeat La fecha y la hora a la que se ha enviado el ltimo mensaje heartbeat desde el agente Equipo El nombre del endpoint ltimo usuario El nombre del ltimo usuario que ha iniciado sesi n en el endpoint Agente La versi n del agente de Traps instalado IP La direcci n IP del endpoint Protecci n avanzada del endpoint Gu a
32. Ocultar notificaci n de usuario de Traps Cuando el agente de Traps encuentra un evento de prevenci n el usuario ve un mensaje de notificaci n que describe el evento Utilice esta opci n para ocultar notificaciones Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Protecci n avanzada del endpoint Gu a del administrador 121 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Ocultaci n o restricci n de acceso a la consola de Traps Continuaci n Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de ajustes de organizaci n Para definir un subconjunto m s peque o de agentes objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o
33. Paso 5 Refine la pol tica de la Hasta una Implemente reglas de protecci n en un peque o n mero de empresa y los procesos semana endpoints que utilicen las aplicaciones con frecuencia Ajuste la protegidos pol tica seg n sea necesario Paso 6 Finalice la pol tica de la Unos Implemente las reglas globalmente empresa y los procesos minutos protegidos Consideraciones de instalaci n de Traps Puede instalar Traps de las formas siguientes e En situaciones en las que necesita instalar Traps en un peque o n mero de endpoints puede instalar el software Traps manualmente utilizando el flujo de trabajo descrito en Instalaci n de Traps en el endpoint e Para instalar Traps desde la l nea de comandos use la utilidad Msiexec para realizar operaciones en un instalador de Windows como se describe en Instalaci n de Traps en el endpoint usando Msiexec Tambi n puede utilizar las opciones de instalaci n de Msiexec con software de implementaci n de MSI como Policy System Center Configuration Manager SCCM Altiris o Group Policy Object GPO Se recomienda utilizar software de implementaci n de MSI para instalar Traps en toda una organizaci n o un n mero elevado de endpoints e Silos endpoints de su organizaci n ya tienen instalado Traps puede actualizar el software Traps configurando una regla de acci n seg n se describe en Desinstalaci n o actualizaci n de Traps en el endpoint Instalaci n de Traps en el endpo
34. Servicio Pol tica Deshabilitado Para usar los ajustes de reglas de pol ticas por defecto y proteger los archivos de Traps en el endpoint consulte Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Habilitaci n o deshabilitaci n de ajustes de protecci n de servicio en el endpoint Para esquivat la pol tica de seguridad de Traps los atacantes pueden intentar deshabilitar o cambiar el estado de los servicios de Traps Utilice el comando cytool protect enable service para proteger los servicios de Traps Para deshabilitar la protecci n de servicios de Traps utilice el comando cytool protect disable service La realizaci n de cambios en los ajustes de protecci n del servicio requiere la introducci n de la contrase a del supervisor cuando se le pida Habilitaci n o deshabilitaci n de ajustes de protecci n de servicio en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Protecci n avanzada del endpoint Gu a del administrador 179 Cytool Soluci n de problemas Habilitaci n o deshabilitaci n de ajustes de protecci n de servicio en el endpoint Continuaci n Paso 2 Para gestionar los ajustes de protecci n de servicios de Traps en el endpoint utilice el comando siguiente C Program FilesiPalo Alto NetworkslTraps gt cytool protect enable disable service El ejemplo siguiente muestra el resultado de
35. Todos los nombres de funci n que inician un proceso secundario e Un nombre de funci n que inicia un proceso secundario Repita seg n sea necesario para a adir m ltiples combinaciones por proceso principal Paso 5 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Protecci n avanzada del endpoint Gu a del administrador 107 Administraci n de las reglas de protecci n de malware Prevenci n de malware Configuraci n de la protecci n de suspensi n Continuaci n Paso 6 Opcional Defina el Objetos de destino al que se aplica la regla de prevenci n de malware Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la
36. Traps seleccione Panel y acceda a Capacidad de la licencia Paso 5 Opcional Para enviar la nueva licencia a los endpoints que est n cerca de la fecha de vencimiento de la licencia o la han superado cree una regla de acci n consulte Actualizaci n o revocaci n de la licencia de Traps en el endpoint Paso 6 Opcional Para exportar la informaci n de la licencia a un archivo CSV haga clic en el icono de men y a continuaci n seleccione Exportar logs 48 Protecci n avanzada del endpoint Gu a del administrador Administraci n del servidor ESM Gesti n de las licencias del Endpoint Security Manager Administrar Endpoint Security Manager licencias usando la consola ESM Paso 7 Verifique que se Endpoint Security Manager est ejecutando el servicio b sico en el servidor ESM 1 Abra el administrador de servicios e Windows Server 2008 En el men de inicio seleccione Panel de contro gt Herramientas administrativas gt Servicios e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios 2 Localice el Endpoint Security Manager servicio b sico denominado CyveraServer en versiones anteriores del Endpoint Security Manager y verifique que el estado del servicio Iniciado Windows Server 2008 o En ejecuci n Windows Server 2012 3 Si el estado del servicio es Detenido o En pausa haga doble clic en el servicio y seleccione
37. bot n derecho en el icono de Traps y y seleccione la Consola o haga doble clic en el icono e Ejecute CyveraConsole exe desde la pantalla de instalaci n de Traps Paso 2 Compruebe el estado de la conexi n del servidor Si Traps est conectado al servidor el estado Conexi n indica que la conexi n se ha realizado con xito Si el agente de Traps no puede establecer una conexi n con el servidor principal o secundario la consola de Traps indica el estado desconectado CES Mm ES Lo paloalto NETWORKS Next Generation Protection is Enabled O Anti Expl O Anti Mah O Forensic Data Collection tion Connection Connected to 10 5 124 73 Open Log File Last Check in 02 19 2015 20 43 13 Check in now Send Support File Paso 3 Verificar la conectividad desde la consola ESM Verificar la conectividad desde la consola ESM Tras verificar con xito que el endpoint puede llegar al servidor del Endpoint Security Manager ESM verifique que el endpoint aparece en la lista de equipos en la p gina Monitorizado gt Estado de la consola ESM Health gt M 4 Page 1 ofl DEC gt O A 30 01 201515 55 PANWDMSOYZIHQ eileischer 3 2 0 2736 40 35 35 205 PALOALTONETWORK Windows 7 gt E 02 02 201519 32 CYVERASERVER 3 2 0 2736 10 5 124 73 WORKGROUP Windows Ser Advanced Endpoint Protection Administrator s Guide 43 Verificar una instalaci n correcta Configuraci n de la infraestructura de Traps
38. cada uno de ellos ejecutando ESM Cote 3 2 Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS Protecci n avanzada del endpoint Gu a del administrador 13 Implementaciones peque as Escenarios de implementaci n de la Protecci n avanzada del endpoint e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire En este escenario de implementaci n el Sitio A contiene un servidor ESM la base de datos y una consola ESM para la administraci n de pol ticas locales y endpoints El Sitio B contiene un segundo servidor ESM con capacidad para 50 000 agentes adicionales un total de 100 000 agentes de Traps Ambos servidores obtienen la pol tica de seguridad de la base de datos localizada en el Sitio A y la distribuyen a los agentes Los agentes se conectan con el servidor ESM principal de su sitio mientras el servidor ESM del otro sitio act a como servidor secundario de respaldo 14 Protecci n avanzada del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaciones grandes Implementaciones grandes Implementaciones grandes de un solo sitio Aplicaci n de sitios m ltiples grandes con un Endpoint Security Manager Aplicaci n de sitios m lti
39. caso de un potencial conflicto entre dos o m s reglas existe un conjunto de consideraciones como la fecha de modificaci n que determina cu l de las reglas se hace efectiva En otras palabras la regla editada creada m s recientemente tiene prioridad sobre la regla m s antigua Como resultado cualquier nueva regla de prevenci n de malware puede cancelar la pol tica por defecto que hace que no sea efectiva y o causa una inestabilidad en un endpoint Adem s las listas blancas definidas por los usuarios no se fusionan entre diferentes reglas y se eval an solo si la regla tiene prioridad Tenga cuidado a la hora de configurar nuevas reglas de pol ticas de prevenci n de malware para evitar la cancelaci n de la pol tica por defecto lo que causar inestabilidad en el sistema operativo Para m s informaci n acerca de la configuraci n de reglas de prevenci n de malware p ngase en contacto con el equipo de soporte o su ingeniero de ventas Para evitar la cancelaci n accidental de la pol tica por defecto recomendamos la configuraci n de nuevas reglas solo en procesos que no est n cubiertos por la pol tica por defecto Cuando se configura una nueva regla se puede habilitar la protecci n del m dulo de malware para el proceso principal y usar los ajustes de la pol tica por defecto o personalizar las ajustes de reglas para su organizaci n Para realizar cambios en la pol tica de seguridad para procesos que ya est n protegidos reco
40. clave p blica del servidor para encriptar datos y devolvetrlos al servidor Omita este paso si su sitio no requiere SSL o si ha instalado previamente el certificado SSL Paso 3 A ada un enlace HTTPS 1 Bajo Conexiones expanda el nodo Sitios del rbol y haga clic para seleccionar el sitio para el que desea un enlace 2 Bajo Acciones gt Editar sitio haga clic en Enlaces gt A adir Especifique el tipo como https y a ada la informaci n restante del enlace incluidos Direcci n IP Puerto por defecto 443 y Nombre de host 4 Opcional solo para Windows Server 2012 Seleccione la opci n para Requerir indicaci n de nombre de servidor 5 Seleccione el certificado SSL de la lista desplegable y haga clic en ACEPTAR Configuraci n de la base de datos del servidor MS SQL El Endpoint Security Manager requiere una base de datos que se gestiona a trav s de la plataforma MS SQL ya sea MS SQL 2008 o MS SQL 2012 El Endpoint Security Manager utiliza la base de datos para almacenar informaci n administrativa reglas de pol ticas de seguridad informaci n acerca de eventos de seguridad e informaci n de otros tipos que utiliza el Endpoint Security Manager Durante la etapa de prueba de concepto tambi n es compatible la base de datos SQLite ad Advanced Endpoint Protection Administrator s Guide 31 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps Antes de instalar el
41. clic en Cerrar 194 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Soluci n de problemas de la consola ESM Soluci n Por qu aparecen todos los endpoints como desconectados en la consola ESM Continuaci n Paso 3 Verifique que el servicio b sico del Endpoint Security Manager se est ejecutando en el servidor ESM dl Abra el administrador de servicios e Windows Server 2008 En el men de inicio seleccione Panel de control gt Herramientas administrativas gt Servicios e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios Localice el Endpoint Security Manager servicio b sico denominado CyveraServer en versiones anteriores del Endpoint Security Manager y verifique que el estado del servicio Iniciado Windows Server 2008 o En ejecuci n Windows Server 2012 Si el estado del servicio es Detenido o En pausa haga doble clic en el servicio y seleccione Inicio Haga clic en Cerrar Para comprobar el acceso del puerto desde el endpoint Paso 4 Verifique que el puerto para el servidor ESM est abierto en el cortafuegos de Windows por defecto es 2125 a Abra una l nea de comando como administrador b Introduzca el comando siguiente para telnet en el puerto 2125 en el servidor ESM C l gt telnet lt esmservername gt 2125 donde lt esmservername gt es el
42. comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene la herramienta de configuraci n DB C UserslAdministrator gt cd C Program FilesiPalo Alto NetworksEndpoint Security Manager Server Paso 3 Opcional Visualice los ajustes de servidor existentes C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server gt dbconfig server show PreventionsDestFolder XMESMServerYQuarantine InventoryInterval 284 HeartBeatGracePeriod 300 NinjaModePassword Password2 Paso 4 Especifique la nueva contrase a del modo ninja C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig server ninjamodepassword lt password gt 52 Protecci n avanzada del endpoint Gu a del administrador Administraci n del servidor ESM Exportaci n e importaci n de archivos de las pol ticas Exportaci n e importaci n de archivos de las pol ticas Las funciones de importaci n y exportaci n de la consola Endpoint Security Manager ESM le permiten hacer copias de seguridad de las reglas antes de la migraci n o actualizaci n a un nuevo servidor o antes de implementar una pol tica en
43. de Traps Las reglas de ajustes de agentes le permiten cambiat las preferencias relacionadas con Traps desde una localizaci n central En la p gina Ajustes gt Ajustes de agentes puede crear reglas para administrar los siguientes ajustes de Traps Ajustes de logs de Determinan la forma en que el agente de Traps administra los logs de eventos Incluye eventos la selecci n de un tama o para los logs de endpoints y opcionalmente el env o de los logs de endpoints al log de eventos de Windows Para obtener m s informaci n consulte Definici n de las preferencias de logging de eventos Ajustes de visibilidad de Determinan si el usuario final puede acceder a la aplicaci n de la consola de Traps y usuario y acceso qu manera Opcionalmente se puede configurar la consola de modo que solo sea accesible para los administradores Para obtener m s informaci n consulte Ocultaci n o restricci n de acceso a la consola de Traps Ajustes de heartbeat Determinan la frecuencia con la que el agente de Traps env a el mensaje heartbeat al servidor ESM La frecuencia ptima se determina seg n el n mero de endpoints de la organizaci n y la carga t pica de red El periodo heartbeat por defecto es de cinco minutos Para obtener m s informaci n consulte Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM Recopilaci n de Configure los agentes Traps para recopilar nuevos procesos de los endpoints Cuando informaci
44. de notificaci n Personalice el t tulo pie e imagen de pantalla para los mensajes emergentes de notificaci n que Traps muestra cuando se activa una conducta de notificaci n en el endpoint Para obtener m s informaci n consulte Creaci n de un mensaje de prevenci n personalizado Traps no aplica reglas de ajustes de agentes hasta que el agente de Traps recibe la pol tica de MA seguridad actualizada generalmente con la siguiente comunicaci n heartbeat con el servidor Para obtener manualmente la pol tica de seguridad m s reciente del servidor ESM seleccione Actualizar ahora en la consola de Traps Puede crear o editar ajustes de agentes en el resumen Acjustes de agentes y la p gina de administraci n Ajustes gt Ajustes de agentes La selecci n de una regla muestra informaci n adicional acerca de la regla y otras acciones que se pueden tomar Borrar Activar Desactivar o Editar la regla Para obtener m s informaci n consulte Administraci n de las reglas de ajustes de agentes A adir una nueva regla de ajustes de agentes Para cada regla de ajustes de agentes puede especificar el objeto y objetos de la organizaci n la condici n o condiciones y las preferencias de Traps que desea aplicar A adir una nueva regla de ajustes de agentes Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla 118 Protecc
45. el servidor ESM consultar veredictos que hayan cambiado durante los ltimos 15 d as Paso 5 Habilitaci n de ajustes de WildFire e Seleccione Permitir comunicaci n externa con servidores WildFire verdadero para permitir que el ESM verifique hashes con WildFire e Seleccione Permitir cargar ejecutables en servidores WildFire verdadero para permitir que el ESM env e archivos para su an lisis en WildFire Seleccione la opci n falso para verificar solamente veredictos Paso 6 Introduzca la direcci n web del servidor WildFire dispositivo WF 500 local o la nube WildFire https wildfire paloaltonetworks com que se utilizar para comprobar hashes y archivos Paso 7 Por defecto el servidor ESM env a archivos de hasta 10MB a WildFire para su an lisis Para cambiar el tama o m ximo de archivo introducir un valor entre uno y 100MB No se enviar n a WildFire de forma autom tica o manual los archivos que superen el tama o m ximo Reglas de WildFire Configure las reglas de WildFire para hacer un ajuste fino de la conducta y preferencias relacionadas con el an lisis de archivos ejecutables para diferentes grupos de Objetos de destino Un objeto de destino puede ser cualquier usuario grupo unidad de una organizaci n e equipo que aparece en el Directorio activo o cualquier endpoint en el cual se ha instalado Traps El ESM identifica los endpoints a trav s de mensajes que Traps env a al servidor Para cada regla Wild
46. empaquetadas Fallo l gico de Una extensi n del m dulo de seguridad DLL proporciona soporte software para DLL empaquetadas que se desempaquetar n en la memoria Comprobaci n peri dica de Heap Spray Corrupci n de Detecta instancias de heap sprays utilizando nuestro algoritmo memoria exclusivo a trav s del examen de la pila en intervalos de tiempo predefinidos Asignaci n previa aleatoria Fallo l gico de Aumenta la entrop a de la disposici n de la memoria del proceso software para reducir la posibilidad de un ataque de exploits con xito Mitigaci n de ROP Corrupci n de memoria Protege contra el uso de la programaci n orientada al retorno ROP protegiendo las API utilizadas en cadenas ROP y de exploits que utilizan los motores de compilaci n en tiempo de ejecuci n KIT Protecci n SEH Corrupci n de memoria Evita el secuestro del Control de excepciones estructurado SEH una estructura de control com nmente atacada denominada LinkedList que contiene una secuencia de registros de datos Asignaci n previa de c digo shell Fallo l gico de software Reserva y protege ciertas reas de memoria de uso com n para cargas tiles utilizando t cnicas de heap spray Protecci n de ShellLink Fallo l gico de Evita vulnerabilidades l gicas de shell link software SYSRET Fallo l gico de Protege contra vulnerabilidades relacionadas con un ataque de software esca
47. en los 2 endpoints Seleccione una o m s de las opciones para la administraci n de los datos de agentes e Borrar historial e Borrar volcados de memoria e Borrar archivos en cuarentena e Obtener datos recopilados de los agentes e Obtener logs recopilados de los agentes Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla 112 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de reglas de acci n de Traps Gesti n de los datos que obtiene Traps Continuaci n Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de acci n organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar
48. endpoint Utilice el comando cytool startup query para visualizar el estado de los componentes de inicio en el endpoint Cuando se deshabilita un servicio o controlador Cytool muestra el componente como Deshabilitado Cuando se habilita un controlador Cytool muestra el componente como sistema Cuando se habilita un servicio Cytool muestra el componente Inicio Como Autom tico Ver componentes de inicio de Traps en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para ver la conducta de inicio actual de controladores y servicios de Traps utilice el comando siguiente C Program FilesiPalo Alto NetworksYTraps gt cytool startup query Servicio Inicio cyverak Sistema cyvrmtgn Sistema cyvr std Sistema cyserver Autom tico CyveraService Autom tico Habitaci n o deshabilitaci n del inicio de los componentes de Traps en el endpoint Use el comando cytool startup enable disable seguido opcionalmente por el nombre del componente para cancelar la conducta por defecto e iniciar los controladores y servicios de Traps en el endpoint La realizaci n de cambios en la conducta de inicio requiere la introducci n de la contrase a del supervisor cuando se le pida sistema Para hacer que los cambios en los controladores y servicios de Traps surtan efecto inmediatamente consultelnicio o parada de los componentes de tiempo de ejecuci n de Traps en el e
49. exploits determinan el m todo de protecci n para los procesos que se ejecutan en los endpoints Cada regla de la pol tica de prevenci n de exploits especifica el tipo de m dulos de protecci n que protegen los procesos Para obtener m s informaci n consulte Reglas de protecci n de exploits Prevenci n de malware Las reglas de prevenci n de malware determinan el m todo de protecci n para los ejecutables que se ejecutan en los endpoints Cada regla de la pol tica de prevenci n de malware especifica el tipo de m dulos de protecci n que protegen los ejecutables y procesos Para obtener m s informaci n consulte Reglas de prevenci n de malware Restricci n Las reglas de restricci n determinan las restricciones o excepciones colocadas en los ejecutables que se activan en los endpoints Para obtener m s informaci n consulte Reglas de restricci n WildFire Las reglas de WildFire habilitan el an lisis pre y post prevenci n de ejecutables enviando hashes de archivos ejecutables y opcionalmente archivos desconocidos a la nube de WildFire Para obtener m s informaci n consulte Reglas de WildFire Datos forenses Las reglas forenses permiten definir preferencias acerca del volcado de memoria y la recopilaci n de archivos forenses Para obtener m s informaci n consulte Reglas forenses Ajustes de agentes Las reglas de ajustes de agentes le permiten cambiar los valores de los ajustes de agentes de Traps
50. herramienta de configuraci n DB se encuentra en la carpeta Servidor del servidor ESM Todos los comandos ejecutados utilizando la herramienta de configuraci n DB hacen distinci n KA entre may sculas y min sculas Cambio del destino de la carpeta forense utilizando la herramienta de configuraci n DB Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene la herramienta de configuraci n DB C UserslAdministrator gt cd C Program FilesiPalo Alto NetworksEndpoint Security Manager Server 136 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Administraci n de reglas y ajustes forenses Cambio del destino de la carpeta forense utilizando la herramienta de configuraci n DB Paso 3 Opcional Visualice los ajustes de servidor existentes C Program FilesiPalo Alto NetworkslEndpoint Security ManagerlServer gt dbconfig server show PreventionsDestFolder ESMServer Quarantine InventoryInterval 284 HeartBeatGracePeriod 4200 NinjaModePassword Password2 BitsUrl https CYVERASERVER Domain local 443 BitsUploads MaxActions 5000 Paso 4
51. la columna Notificaci n de modo y usuarios puede anular los ajustes seg n sea necesario para personalizar la pol tica de seguridad de su organizaci n Para configurar EPM avanzados deber introducir la contrase a de modo ninja DEP G01 s Terminar Notificaci n ON Seguridad de DLL DllSec Terminar Notificaci n ON Protecci n de secuestro de DLL DUProt Notificar Notificaci n ON Comprobaci n de excepci n de H02 Y Terminar Heap Spray Notificaci n 0N Protecci n de fuentes FontProt Terminar Notificaci n 0N Gen rico GEN RICO 72 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de las reglas de protecci n de exploits Mitigaci n de da os en la pila H01 A Terminar Notificaci n 0ON Protecci n de parches activos B01 Terminar Notificaci n ON Asignaci n previa de librer a P02 Terminar S Notificaci n ON SEH principal SEH principal VEH principal VEH principal SSIS Comprobaci n de Heap Spray de T02 Terminar l mite de memoria Notificaci n ON Protecci n de desreferencia nula K01 y Terminar Notificaci n ON DLL empaquetadas PACKED_DLL Lista vac a por Terminar ON defecto Comprobaci n peri dica de Heap D01 Terminar Spray Notificaci n 0N Mitigaci n de ROP R01 Terminar Notificaci n ON Protecci n SEH S01 s Terminar Notif
52. la condici n e Modifique los ajustes de la condici n y Guarde los cambios Objetos de destino Los objetos de destino para reglas son los objetos a los que se aplica la regla Un objeto puede hacer uno de los siguientes Usuario Un usuario definido en el directorio activo Grupo Un grupo de usuarios definido en el directorio activo Equipo El nombre de un ordenador o un dispositivo m vil definido en el directorio activo Unidad organizativa Una subdivisi n en el directorio activo en la que se pueden colocar usuarios grupos equipos y otras unidades de la organizaci n Protecci n avanzada del endpoint Gu a del administrador 59 Componentes y acciones comunes de las reglas Primeros pasos con las reglas Endpoint existente Un equipo o dispositivo m vil en el que se instala Traps El Endpoint Security Manager identifica los endpoints existentes a trav s de mensajes de comunicaci n enviados desde Traps Puede aplicar reglas a todos los objetos de la organizaci n a objetos seleccionados o a todos los objetos excepto aquellos de la lista de excluidos Independientemente del endpoint las reglas que se definen para usuarios y grupos se aplicar n a esos usuarios y grupos cualquiera que sea el endpoint en el que inician sesi n Nombrar o renombrar una regla La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla y el tiempo de creaci
53. la p gina de Administraci n de En la consola ESM seleccione Pol ticas gt Exploit gt Administraci n procesos de procesos Paso 2 A ada un nuevo proceso 1 Haga clic en A adir 2 Introduzca el Nombre de proceso Seleccione el Tipo de protecci n e Protegido Indica que las reglas de seguridad protegen activamente el proceso e Provisional Le permite separar l gicamente procesos protegidos de los procesos que se est n sometiendo a una ejecuci n del informe como proceso protegido e Desprotegido Indica que las reglas de seguridad no protegen activamente el proceso Paso 3 Guarde los cambios para los procesos Haga clic en Crear protegidos 66 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de procesos Importaci n o exportaci n de un proceso Utilice las funciones de exportaci n e importaci n de la consola Endpoint Security Manager ESM para crear una copia de seguridad de una o m s definiciones de proceso utilizadas en su pol tica de seguridad Las funciones de importaci n y exportaci n le permiten hacer copias de seguridad de los procesos antes de la migraci n o actualizaci n a un nuevo servidor o antes de implementar un proceso administrado en m ltiples servidores independientes Puede exportar procesos de forma global o individual y guardarlos en un archivo XML La funci n de importaci n agrega los procesos a la lista existente de proce
54. la parte superior de la p gina para buscar un valor de hash o nombre de proceso e Utilice los controles de paginado de la parte superior derecha de cada p gina para ver diferentes partes de la tabla e Para filtrar las entradas de la tabla haga clic en el icono del filtro Y ala derecha de la columna para especificar hasta dos conjuntos de criterios para la filtraci n de los resultados Por ejemplo filtre la columna Veredicto para archivos desconocidos Paso 3 Seleccione la fila para ver detalles adicionales acerca de hash del proceso y Cargue el archivo en WildFire Protecci n avanzada del endpoint Gu a del administrador 101 Administraci n de las reglas de protecci n de malware Prevenci n de malware Administraci n de las reglas de protecci n de malware Las reglas de prevenci n de malwate le permiten restringir la conducta relacionada con el malware Cuando se habilitan estos m dulos utilizan un modelo de listas blancas que permite la inyecci n de procesos solo a los procesos especificados en la pol tica Las pol ticas de prevenci n de malwate por defecto que vienen preconfiguradas con el software ESM conceden excepciones a procesos leg timos comunes que deben inyectarse en otros procesos y o m dulos Cuando se a aden nuevas reglas de prevenci n de malware a la pol tica de seguridad el mecanismo de reglas de Traps a na todas las reglas configuradas en una pol tica efectiva que se eval a para cada endpoint En el
55. la sintaxis y ejemplos de uso para los comandos Cytool utilice la opci n despu s de cualquier comando Acceso a Cytool Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene Cytool C UserslAdministrator gt cd C Program FilesiPalo Alto NetworksYTraps Protecci n avanzada del endpoint Gu a del administrador 175 Cytool Soluci n de problemas Acceso a Cytool Paso 3 Vea el uso y opciones del comando Cytool c Program FilesiPalo Alto NetworksYTraps gt cytool Herramienta Traps R supervisor 3 1 c Palo Alto Networks Inc Todos los derechos reservados Uso CYTOOL a comando opciones Opciones Mostrar este mensaje de ayuda a Autenticar como supervisor comando enum proteger iniciar tiempo ejecuci n pol tica Para m s informaci n sobre la ejecuci n de un comando espec fico Comando CYTOOL Ver procesos actualmente protegidos por Traps Para ver procesos que est n siendo protegidos por Traps utilice el comando enum en Cytool o visualice la pesta a Protecci n en la consola de Traps consulte Ver procesos a
56. las reglas Deshabilitar o habilitar todas las reglas de protecci n Paso 1 En la consola ESM seleccione cualquier p gina de administraci n de reglas por ejemplo Pol ticas gt Malware gt Restricciones Paso 2 Para deshabilitar la protecci n seleccione Deshabilitar toda la protecci n El ESM elimina todas las reglas y env a la pol tica de seguridad actualizada a los endpoints en la siguiente comunicaci n heartbeat con Traps Paso 3 Para habilitar la protecci n seleccione Habilitar toda la protecci n El ESM restablece todas las reglas y env a la pol tica de seguridad actualizada a los endpoints en la siguiente comunicaci n heartbeat con Traps 62 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits A Administraci n de procesos A Administraci n de las reglas de protecci n de exploits Protecci n avanzada del endpoint Gu a del administrador 63 Administraci n de procesos Prevenci n de exploits Administraci n de procesos Por defecto el Endpoint Security Manager protege los procesos m s vulnerables y usados con m s frecuencia en entornos de Windows Se dispone de detalles acerca de estos procesos en la p gina Administraci n de procesos e incluyen informaci n sobre el tipo de protecci n n mero de ordenadores que ejecutan el proceso y la fecha y hora en las que se ha descubierto el proceso por primera vez Se pueden configurar los procesos como Proteg
57. m ltiples servidores independientes Puede exportar reglas de pol ticas de forma global o individual y guardarlas en un archivo XML La importaci n de reglas de las pol ticas a ade las reglas a la pol tica existente y asigna un n mero de ID nico a cada nueva regla En Protecci n avanzada del endpoint 3 2 cada tipo de regla de pol tica tiene su propia p gina de administraci n desde la cual puede hacer una copia de seguridad o importar la reglas de las pol ticas de ese tipo Cuando se carga un archivo de pol ticas que contiene reglas de diferentes tipos por ejemplo reglas de prevenci n de acci n y exploit la consola ESM carga y posteriormente visualiza las pol ticas en sus respectivas p ginas de administraci n Exportaci n e importaci n de archivos de las pol ticas Paso 1 Seleccione la p gina de administraci n de pol ticas para el conjunto de reglas que va a importar por ejemplo Pol ticas gt Malware gt Restricciones gt is 4 Pane 1 pfl gt El Deactivate selected 10 Restrictions Default Restrictions Policy Is Enabled WM 116 24 01 201568 14 Restriction FoldersBeha Blacklist Enabled WM 58 24 01 201517 44 external media Paso 2 Proceda con una de las siguientes opciones e Para copias de seguridad o exportaci n de reglas de pol ticas seleccione la casilla junto a las reglas que desea exportar En el men de la parte superior de la tabla seleccione Export
58. mene E e Nombre de usuario incluido el dominio por ejemplo Password lisssossssse gt O C ESMServer administrator y la contrase a para el servidor Note Coste corto asar cb tas berri po para el usuario que administrar la base de datos La cuenta de usuario que especifique debe tener permisos para crear ck Next A peoples una base de datos en el servidor 2 Haga clic en Verificar para confirmar que el servidor se puede conectar a la base de datos utilizando credenciales de autenticaci n Si lo hace con xito haga clic en Siguiente Paso 4 Especifique el nivel de seguridad para la 1 Seleccione una de las siguientes opciones comunicaci n entre los componentes del e Sin certificado sin SSL La comunicaci n no se encripta servidor ESM no recomendado zox e Certificado externo SSL Todas las comunicaciones se Certificate Configuration encriptan en SSL Si selecciona esta opci n vaya al archivo de certificado en formato PFX e introduzca la contrase a Please specify the security level of the communication between all elements necesaria para desencriptar la clave privada del archivo PFX in the system 2 Haga clic en Siguiente Please spedfy the path to the external erica C M T External o BONE certificate requir jord 34 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Instalaci n de
59. n de PrOCESOS simon e RR A a Di il a ad 65 A adir un proceso protegido provisional o desprotegido oooooccccoccconocorccc 66 Importaci n o exportaci n de UN proceso oocooooccccccno or 67 Vet modificat O Dortat un PIOCES ia a io 67 Ver procesos actualmente protegidos por Traps ooooooocccccconncocrc o 68 Administraci n de las reglas de protecci n de exploits ooooooooccccoocoococccoo or 70 Replas de protecci n de exploits 00 error ritos Ro a ar EEEE e EAE 70 Protecci n avanzada del endpoint Gu a del administrador Pol tica de prevenci n de exploits por defecto ooooocoooccccccoonncccrcc rren 72 Creaci n de una regla de prevenci n de exploits s n s snurr nnr rr rnrn r rrr e rrr 74 Exclusi n de un endpoint de una regla de prevenci n de exploits oooooococcooommmmoo 76 Prevencion de MANWE 2d aa ci T7 Flujo de prevenci n del maate miii sunkia a EEE dei aaa 78 Fase 1 Evaluaci n de las pol ticas de restricci n ooooocoooooooocrcccorarr cc 78 Fase 2 Evaluaci n de vefedictos de hashess vii ion dic iii da la dada 79 Fase 3 Evaluaci n de las pol ticas de prevenci n de MalWatC ooooooooocccccccooooooccc oo 80 Fase 4 Administraci n de veredictos oooooococoooooococcnno or 81 Administraci n de restricciones en ejecutables ooooooocccconnocorcccnn ro 82 Reglaside restricci n aida da dd da o a a 82 A adir u a nueva regla de restricci n 000 rarr rie sdrra ra dr da a 8
60. n de nuevos esta opci n est habilitada Traps informa al servidor ESM de cada proceso que se procesos ejecuta en un endpoint Puede ver los procesos en la vista de Administraci n de procesos de las pantallas del Endpoint Security Manager y decidir si desea crear reglas de seguridad relacionadas con los procesos Para obtener m s informaci n consulte Recopilaci n de informaci n de nuevos procesos Protecci n avanzada del endpoint Gu a del administrador 117 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Protecci n de servicio Evita los intentos de deshabilitar o hacer cambios en los valores de registro y campos de Traps Cuando esta opci n est habilitada los usuarios no pueden cerrar o modificar el servicio del agente de Traps Para obtener m s informaci n consulte Gesti n de protecci n de servicios Seguridad de agentes Por defecto los usuarios y administradores debe introducir la contrase a necesaria para desinstalar la aplicaci n Traps Utilice esta opci n para cambiar la contrase a Para obtener m s informaci n consulte Cambio de la contrase a de desinstalaci n Mensaje de prevenci n Personalice el t tulo pie e imagen de pantalla para los mensajes emergentes de prevenci n que Traps muestra cuando se produce un evento de seguridad en el endpoint Para obtener m s informaci n consulte Creaci n de un mensaje de prevenci n personalizado Mensaje
61. n el n mero de agentes y sitios A Implementaci n independiente A Implementaciones peque as A Implementaciones grandes Para los requisitos previos y consideraciones en relaci n con la instalaci n consulte Requisitos previos Protecci n avanzada del endpoint Gu a del administrador 9 Implementaci n independiente Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaci n independiente A Componentes de implementaci n independiente A Requisitos para la implementaci n independiente Componentes de implementaci n independiente Endpoint Security Manager ESM Para una prueba de concepto POC inicial o un sitio peque o con menos de 250 agentes de Traps utilice una implementaci n independiente para instalar los siguientes componentes del Endpoint Security Manager ESM en un solo servidor o una m quina virtual e Servidor ESM e Consola ESM e Carpeta forense cuarentena e Base de datos e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire Para las pr cticas correctas en el uso de un enfoque en fases en la instalaci n de Traps en endpoints consulte Etapas de implementaci n de Traps Requisitos para la implementaci n independiente La tabla siguiente muestra los requisitos para un servidor independiente 10 Protecci n avanza
62. nombre de host o la direcci n IP del servidor ESM Si no puede conectar a telnet en el puerto 2125 cree una regla entrante para abrir ese puerto a Abra los ajustes avanzados del cortafuegos de Windows Windows Server 2008 En el men de inicio seleccione Panel de control gt Cortafuegos de Windows gt Ajustes avanzados Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Cortafuegos de Windows gt Ajustes avanzados b Seleccione Reglas entrantes c Cree una nueva regla para permitir que Traps se comunique con el Endpoint Security Manager en el puerto 2125 seleccionando el asistente de Nueva regla y siguiendo las instrucciones Verifique que puede conectarse ahora con telnet en el puerto 2125 en el servidor ESM desde el endpoint Protecci n avanzada del endpoint Gu a del administrador 195 Soluci n de problemas de la consola ESM Soluci n de problemas Soluci n Por qu aparecen todos los endpoints como desconectados en la consola ESM Continuaci n Paso 5 Deshabilite temporalmente el cortafuegos de Windows 1 Abra los ajustes de Cambiar centro de acci n e Windows Server 2008 En el men de inicio seleccione Panel de control Haga doble clic en Centro de acci n y seleccione Ajustes de Cambiar centro de acci n e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad Haga doble clic en Ce
63. organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 120 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Ocultaci n o restricci n de acceso a la consola de Traps Por defecto un usuario puede acceder a la consola de Traps para ver informaci n relacionada con el estado actual del endpoint eventos de seguridad y cambios en la pol tica de seguridad Cuando se activa un evento de seguridad el usuario tambi n recibe una notificaci n acerca del
64. que aprovecha un bug o vulnerabilidad de una aplicaci n de software o proceso Los atacantes utilizan exploits como el medio para acceder y aprovecharse de un sistema Para obtener el control de un sistema el atacante debe superar una cadena de vulnerabilidades del sistema El bloqueo de cualquier intento de ataque de una vulnerabilidad del sistema bloquear el exploit completamente En un ataque t pico el atacante intenta obtener el control de un sistema tratando en primer lugar de corromper o esquivar la asignaci n de memoria o los gestores de la misma Utilizando t cnicas de corrupci n de memoria como desbordamiento de b fer o corrupci n o da os en la pila el hacker puede entonces activar un bug en el software o explotar una vulnerabilidad de un proceso A continuaci n el atacante debe manipular un programa para que ejecute el c digo facilitado o especificado por l y evadir la detecci n Si el atacante logra acceder al sistema operativo puede entonces cargar troyanos programas de malware que contienen ejecutables malintencionados o usar el sistema de cualquier otro modo para su ventaja Traps evita esos intentos de exploit con el uso de obst culos o trampas en cada etapa del intento de exploit 2 Protecci n avanzada del endpoint Gu a del administrador Descripci n general de la protecci n avanzada del endpoint Descripci n general de la Protecci n avanzada del endpoint WC El usuario abre Las traps inyectan En el cas
65. que tiene derechos administrativos en el endpoint e Windows 7 Haga clic en Inicio gt Panel de control gt Cuentas de usuario gt Administrar cuentas de usuario En la pesta a de usuario verifique que su nombre de usuario est en el grupo Administradores e Windows 8 Haga clic en Inicio gt Panel de control gt Cuentas de usuario gt Cambiar cuentas de usuario Verifique que la cuenta aparece como Administrador Inicie sesi n en el endpoint como administrador v lido 186 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Soluci n de problemas de Traps Soluci n Por qu no puedo instalar Traps Paso 2 El archivo de log de servicio contiene informaci n advertencias y errores relacionados con el servicio de Traps Para la soluci n adicional de un problema relacionado con el servicio de Traps abra el archivo CA ProgramDatal Cyveral Logs Service log en un editor de texto y revise cualquier error en el archivo de log que ha ocurrido en el momento del evento Por defecto la carpeta Datos de programa puede estar oculta Para ver la carpeta en Windows Explorer E seleccione Organizar gt Opciones de carpeta y b squeda gt Ver gt Mostrar archivos y carpetas ocultos Paso 3 Si el problema persiste p ngase en contacto con el equipo de asistencia t cnica de Palo Alto Networks Por qu no puedo actualizar o desinstalar Traps S ntoma Configuraci n de Traps informa del e
66. registro de eventos de prevenci n incluido si cada herramienta de detecci n ha identificado con xito actividad malintencionada adicional Si Traps no captura la memoria crea el archivo de vuelco incorrectamente o no logra completar el an lisis secundario la consola ESM oculta esta secci n en el registro de eventos Si las herramientas de detecci n identifican uno o m s rastros de actividad maliciosa existe una alta probabilidad de que el evento de prevenci n sea una amenaza leg tima Para la posterior soluci n de problemas o an lisis de eventos de seguridad observe los datos forenses que Traps recopila seg n se describe en Fase 4 Recopilaci n de datos forenses Fase 4 Recopilaci n de datos forenses Tras analizar los archivos Traps informa al ESM del evento de seguridad y puede enviar datos forenses adicionales a la carpeta forense Si su pol tica de seguridad contiene un regla de recopilaci n de datos forenses Traps recopila uno o m s tipos de datos especificados y catga el archivo o archivos en la carpeta forense Dependiendo de las preferencias Traps puede recopilar URI a los que se ha accedido controladores archivos y DLL relevantes que se cargan en la memoria bajo procesos atacados y procesos antecesores del proceso que activaron el evento de seguridad Para obtener m s informaci n consulte Definici n de las preferencias de recopilaciones forenses Por defecto Traps utiliza una carpeta de Servicio de transfe
67. regla de prevenci n de exploits consulte al equipo de soporte de Palo Alto g La configuraci n de reglas de prevenci n de exploits es una caracter stica avanzada Para Networks Antes de configurar una regla de prevenci n de exploits o un nuevo proceso debe definir el proceso y el tipo de protecci n en la p gina Pol ticas gt Exploit gt Administraci n de procesos Para a adir un nuevo proceso consulte A adir un proceso protegido provisional o desprotegido Para cambiar el tipo de protecci n de un proceso por ejemplo de Desconocido a Protegido consulte Ver modificar o borrar un proceso Exploit Protection Processes Conditions Objects mandatory xploit protection modules ist etails nges Summary Exploit protection modul EPM list Detail i Changes S Select the EPMs Exploit CPL z Prevention Modules that will be DEP Activation DLL Security modified according to this rule SES 5 Activation On ecuri Changing EPM definitions may affect you DLL Hijacking Protection Mode Prevention system stability Please consult Palo ser N 0 AO Not lepra Si Exception Heap Spray Check tion User Notification On Font Protection gt GS Cookie User Notification The rule will Heap Corruption Mitigation EE O Enab Hot Patch Protection nese JIT Mitigation Disable Library Preallocation Memory Limit Heap Spray Check Null Dereference Protection Packed DLLs Periodic Heap Spray Check Random Preallocation ROP Mitigation SEH Protec
68. relacionados con el logging frecuencia de heartbeat y accesibilidad a la consola Para obtener m s informaci n consulte Reglas de ajustes de agentes de Traps Acci n Las reglas de acci n le permiten realizar actividades administrativas en los endpoints Las acciones de administraci n de una vez incluyen la desinstalaci n y actualizaci n de Traps actualizaci n de licencias protecci n del software Traps y borrado de archivos de datos Para obtener m s informaci n consulte Reglas de acci n de Traps 56 Protecci n avanzada del endpoint Gu a del administrador Primeros pasos con las reglas Descripci n general de las reglas de pol ticas de endpoints Aplicaci n de las pol ticas El tipo de regla de pol ticas determina cu ndo Traps eval a la regla Las reglas de pol ticas de prevenci n o restricci n de exploits se eval an solo cuando se activa un proceso o archivo ejecutable que se corresponde con los Objetos de destino Condiciones y los ajustes que se especifican para la regla Un objeto de destino puede ser cualquier usuario grupo unidad de una organizaci n o equipo que aparece en el Directorio activo o endpoint en el cual se ha instalado Traps El Endpoint Security Manager identifica los endpoints a trav s de mensajes que Traps env a al servidor Una condici n puede hacer referencia a una coincidencia exacta de un archivo un archivo y la versi n del archivo o una ruta de registro que debe existir en el endpoin
69. se describen en Fase 3 Evaluaci n de las pol ticas de prevenci n de malware Fase 3 Evaluaci n de las pol ticas de prevenci n de malware Si WildFire borra el ejecutable Traps permite la ejecuci n del archivo Si el ejecutable muestra una conducta malintencionada Traps detiene la ejecuci n del archivo y evita que contin e la conducta malintencionada Por ejemplo se puede tener una regla de inyecci n de subprocesos que evita la creaci n de subprocesos remotos Si el ejecutable lanza e intenta crear subprocesos remotos Traps bloquea la ejecuci n del archivo e informa del evento de seguridad al Endpoint Security Manager Si no se aplica ninguna regla de pol ticas de prevenci n del malware al ejecutable y WildFire est habilitado Traps cambia a Fase 4 Administraci n de veredictos 80 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Flujo de prevenci n del malware Fase 4 Administraci n de veredictos Puede revisar los veredictos de hashes para los archivos ejecutables de su organizaci n y buscar hashes espec ficos en la p gina Pol ticas gt Malware gt Control de hashes consulte Vista y b squeda de hashes A Actualizaciones autom ticas de veredictos A Actualizaciones manuales de veredictos Actualizaciones autom ticas de veredictos WildFire guarda veredictos para cada uno de los archivos enviados y o analizados por WildFire Seg n WildFire recibe y analiza nuevas muestras d
70. servidor ESM La frecuencia ptima se determina seg n el n mero de endpoints de la organizaci n y la carga t pica de red El periodo heartbeat por defecto es de cinco minutos El agente de Traps tambi n env a cambios de informes en el servicio incluidos inicios paradas y eventos de bloqueo y los procesos descubiertos en el endpoint Se denomina intervalo de informes a la frecuencia con la que el agente de Traps env a notificaciones de informes Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Defina los ajustes heartbeat para los 1 Seleccione Ajustes de heartbeat en la lista desplegable Ajustes endpoints de agentes 2 Seleccione una o m s de las siguientes opciones e Ajuste definido del ciclo heartbeat Especifique la frecuencia en Horas Minutos o D as e Ajuste de intervalo de env o de informes Especifique la frecuencia en Horas Minutos o D as 122 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccio
71. siguientes ajustes forenses Ajustes de volcado de Especifique los ajustes de volcado incluido el tama o para el volcado de memoria y memoria habilite Traps para el env o autom tico del volcado de memoria al servidor Esta configuraci n solo se aplica a los datos recopilados de los eventos de prevenci n relacionados con los procesos protegidos Para obtener m s informaci n consulte Definici n de las preferencias del volcado de memoria Recopilaci n forense Habilite Traps para la recopilaci n de datos forenses de cada evento de seguridad incluidos los archivos a los que se ha accedido los m dulos cargados en la memoria los URI a los que se ha accedido y los procesos antecesores del proceso que han activado el evento de seguridad Para obtener m s informaci n consulte Definici n de las preferencias de recopilaciones forenses Cambio de la carpeta forense por defecto A Cambio del destino de la carpeta forense utilizando la consola ESM A Cambio del destino de la carpeta forense utilizando la herramienta de configuraci n DB Cambio del destino de la carpeta forense utilizando la consola ESM Para una soluci n adicional de problemas o el an lisis de eventos de seguridad como una prevenci n o bloqueo Traps catga los datos forenses en una carpeta forense basada en la web Durante la instalaci n de la consola ESM el instalador habilita el Servicio de transferencia inteligente en segundo plano BITS que utiliza ancho d
72. ticas Continuaci n Paso 2 Compare los detalles de dos pol ticas e Para comparar la pol tica con la pol tica por defecto utilice el comando siguiente C Program FilesiPalo Alto NetworkslTraps gt cytool policy compare lt process gt default donde lt process gt es el nombre de proceso o la ID de proceso PID El ejemplo siguiente muestra el resultado de la comparaci n de una pol tica que se aplica al bloc de notas con la pol tica por defecto Las diferencias entre las dos pol ticas se muestran en rojo C Program FilesiPalo Alto NetworkslTraps gt cytool policy compare notepad default Introducir contrase a de supervisor Gen rico Habilitar 0x00000001 0x00000001 SuspendOnce 0x00000001 0x00000001 AdvancedHooks 0x00000001 0x00000001 Eso DllSec Habilitar 0x00000001 0x00000000 Optimizar 0x00000001 0x000000011 e Para comparar las pol ticas para dos procesos utilice el comando siguiente C Program FilesiPalo Alto NetworkslTraps gt cytool policy compare lt processl gt lt process2 gt donde lt process1 gt y lt process2 gt son el nombre del proceso o ID del proceso PID Por ejemplo para comparar la pol tica aplicada a explorer con la pol tica aplicada a chrome introduzca cytool policy compare explorer chrome Tambi n puede comparar las pol ticas para dos PID o comparar la pol tica de un proceso con una pol tica de un PID El ejemplo siguiente muestra el resultado de la comparaci n de las pol ticas aplicadas a
73. trav s de la web habilite IIS con NET A Habilitaci n de servicios web en Windows Server 2008 R2 A Habilitaci n de servicios web en Windows Server 2012 Habilitaci n de servicios web en Windows Server 2008 R2 Para habilitar los servicios web en Windows Server 2008 R2 debe instalar NET Framework 4 con el parche KB2468871 28 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Habilitaci n de servicios web en Windows Server 2008 Paso 1 Abra Server Manager en Windows Server Seleccione Server Manager en el men de inicio Paso 2 A ada un nuevo tol 1 Seleccione Roles gt A adir roles y haga clic en Siguiente 2 Seleccione la opci n Servidor web IIS y haga clic en Siguiente 3 Seleccione Servicios de roles en la lista desplegable de la izquierda Paso 3 Defina los servicios de roles 1 Seleccione la opci n Desarrollo de aplicaciones 2 Deje los puertos restantes en su configuraci n por defecto Add Roles Wizard x b Select Server Roles Before You Begin Select one or more roles to install on this server Server Roles Roles Description Web Server 115 ive Di Web Server 115 provides a reliable _ Active Directory Certificate Services L tard LAEE eb Role Services J Active Directory Domain Services application infrastructure Confirmati _ Active Directory Federation Services SIA Activ
74. usuario activa un proceso en el endpoint Traps inyecta un m dulo de protecci n conocido como M dulo de prevenci n de exploits EPM en el proceso Las reglas de las pol ticas de seguridad de endpoints determinan los EPM que se inyectan en cada proceso Durante la inyecci n aparece el nombre del proceso en rojo en la consola Cuando se ha realizado la inyecci n con xito la consola elabora un log del evento del seguridad en la pesta a Eventos O Traps ura ps Time Process 2 8 2015 3 17 24 PM malware Da Protection Notify 2 8 2015 3 16 40 PM setup x85 Execution Protection Notify 1 20 2015 10 53 57 AM powercfg Thread Injection Terminate 12 23 2014 12 29 58 PM powercfg Thread Injection Terminate Details Ek a B paloalto NETWORKS Connection Last Check in 02 124 73 Open Log File 3 Check in now Send Support File Protecci n avanzada del endpoint Gu a del administrador 153 Monitorizado de eventos de seguridad Informes y logs Cada uno de los eventos de la pesta a Eventos muestra la fecha y la hora del evento el nombre del proceso afectado y el EPMS que se ha inyectado en el proceso Normalmente el modo indica si Traps ha finalizado o no el proceso o si solo ha informado al usuario acerca del evento Ver el historial de eventos de seguridad en un endpoint Paso 1 Inicie la consola de Traps En la bandeja de Windows haga clic con el bot n derecho en el icono de Traps y y selec
75. 02 Reglas de prevenci n ide Ialwate so0iroropriads oroipen sarraa tenb k e ra qa 102 Configuraci n de protecci n de inyecci n de subprocesos 0ooocoocccccccnocorr o 103 Configuraci n de la protecci n de SUSPENSI N o ooooooooccccccc noo 105 Administracion ds ANDO ip cuadrar 109 Administraci n de reglas de acci n de Traps ooooocccccoococccccnc ao 110 Reglas de acci n de DtaPSicoceroosscitro bra disur pinti pi a ra 110 A adif una nueva regla de ACC aii e a a pia E 111 Gesti n de datos recopilados por Traps ooooooccocoooocccccc roo 112 Cerrar o suspender la protecci n del EPM oooocoooococccccccnoo rr 113 Desinstalaci n o actualizaci n de Traps en el ENdpOlMt ooooooococcccccocooccrr 114 Actualizaci n o revocaci n de la licencia de Traps en el endpoint oooooocccoccooncococ o 115 Administraci n de las reglas de ajustes de agentes ooooooocccccononncccccc o 117 Reglas de ajusteside age tes de TrapPsioniviniiii ci e dc 117 A adir una nueva regla de ajustes de agentes oooooooccccconnnoccccc rr 118 Definici n de las preferencias de logging de eventos ooooocooccocoocccccc o 120 Protecci n avanzada del endpoint Gu a del administrador v vi Ocultaci n o restricci n de acceso a la consola de Traps oooooocccoccoooocccccc rnn 121 Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM oooooo o oooooo 122 Recopilaci n de informaci n de nuevos procesos oo
76. 3 Administraci n de listas blancas globales ooooooooooocrccccononnco rc 85 Carpetas locales no pertitidaS mio a a a ARES 86 Lista blanca de Carpetas de Ted resisae a aa did 87 Definici n de restricciones y excepciones de medios EXternoOS oooooocooooococcccccr 88 Definici n de restricciones y excepciones de procesos secundarios 0oooocoocccccoooorcc oo 89 Definici n de restricciones y excepciones de Java oooooococoooococccccnr o 90 Definici n de restricciones y excepciones de ejecutables sin firma ooooooooooccoonommmm 91 Administraci n de reglas y ajustes de WildFit oooooocccccconncoccccno orcos 93 Habilitaci n de WIFE 00 o tl e 93 Reglas de WildFire comics ias le A A RA A A 94 Configuraci n de una regla de Wild Bite eiii pita ia id lia ci ads 94 Administraci n de hashes ejecutables oi0icomorrpoaio rap reide esni road an ap pae heii aS 97 Vista y busqueda d hash s c pee cric a pan Iin op PERE Di EEDE a ia 97 Exportaci n e importaci n de hashes ss soss ncc cncissntecnsi ss rr 97 Visualizaci n de informes de WildFire cioioocionioni cc a isre eess 98 Anulaci n de una decisi n de WildFit ooooooococooonoorrccccaoonro rr 99 Revocaci n de una decisi n de WildFir e esses ceren cce crrr ieres staa en E aa 100 Carga de un archivo en WildFire para su an lisis oooooccococonnocrccconnn occ 101 Administraci n de las reglas de protecci n de MalWatC ooooooccoccoroccccccrro rnnr 1
77. 7798e Retargetable Ves or one of ts dependencies The given assembly name or codebase was invalid Exception from HRESULT 0x80131047 Source Error An unhandled exception was generated during the execution of the current web request Information regarding the origin and location of the exception can be identified using the exception stack trace below Assembly Load Trace The following information can be helpful to determine why the assembly System Core Version 2 0 5 0 Culture neutral PublicKeyToken 7cec85d7bea7798 Retargetable Yes could not be loaded WRN Assembly binding logging is turned OFF To enable assembly bind failure logging set the registry value HKLM SoftwarelMicrosoftlFusion EnableLog DWORD to 1 Note There is some nerformance nenaltv associated with assemblv hind failure Toaaina Causas posibles El servidor no cumple el requisito previo para NET Framework 4 0 con la actualizaci n KB2468871 Soluci n Instale NET Framework 4 0 y el parche KB2468871 Protecci n avanzada del endpoint Gu a del administrador 193 Soluci n de problemas de la consola ESM Soluci n de problemas Por qu aparecen todos los endpoints como desconectados en la consola ESM S ntoma La p gina de estado de la consola del Endpoint Security Manager ESM informa de que todos los endpoints est n desconectados incluso cuando el endpoint puede llegar al servidor ESM Causas posibles e El servidor ESM no cumple los re
78. Chrome registra una devoluci n pata cada solicitud web y registra los URI en un b fer c clico de manera similar a los otros mecanismos de obtenci n de URI de Traps Para habilitar la obtenci n de URL puede instalar la extensi n localmente en un endpoint o usando software de gesti n GPO Las siguientes flujos de trabajo tambi n facilitan pasos para la configuraci n de la extensi n de Chrome en configuraciones online u offline A Instalaci n de la extensi n de Chrome en el endpoint A Instalaci n de la extensi n de Chrome utilizando GPO Instalaci n de la extensi n de Chrome en el endpoint Instalaci n de la extensi n de Chrome en el endpoint Paso 1 Descargue y extraiga el archivo de extensi n Palo Alto Networks Traps Chrome Monitor Paso 2 Edite los archivos de extensi n e Online Edite la ltima l nea del archivo Ext regen la ruta exacta del archivo traps crx xml 1 mobnfjmemnepjkflncmogkbnhafgblic https clients2 google com service update2 crx e Offline 1 Edite la ltima l nea del archivo Ext regen la ruta exacta del archivo traps crx xml mobnfjmemnepjkfl1lncmogkbnhafgblic file c traps crx xml 2 En el archivo traps crx xml edite la ruta de updatecheck codebase en la ruta exacta del archivo traps crx lt updatecheck codebase file c ChromeExtension traps crx version 1 4 gt Paso 3 Guarde y haga doble clic en el archivo reg para la instalaci n local de forma auto
79. Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de ajustes de agentes Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante sele
80. Desde la p gina Modo provisional puede ver detalles relacionados con eventos de seguridad crear y ver notas acerca del evento recuperar datos de logs acerca del evento del endpoint o crear una regla de exclusi n para permitir la ejecuci n del proceso en un endpoint particular Por defecto la vista de detalles est ndar de la p gina Modo provisional ofrece una tabla de eventos de seguridad con campos mostrados a lo largo de la parte superior Al seleccionar un evento en la tabla Modo provisional se expande la hilera para mostrar detalles adicionales en relaci n con el evento de seguridad Tambi n puede exportar los logs a un archivo CSV haciendo clic en el icono del men y seleccionando Exportar logs Provisional Mode Click here to clear the filter gt M 4 Page 4 of6S E oomme E es ooo e OE N 11 11 20145 07 PANWDMSOYZIHQ PALOALTONETWORK cfI Windows 7 3 1 2 15646 javaw DLL Hijacking p Event Type Logic Faulting Process java Additional Information Prevention Mode Terminate Application Version 8 0 05 13 CAWindows System32ijava exe al X C lsers cfleischer Downloads eclpse java hma SR1 win32 Computer PANWDMSOYZ1HO Event Triggered By N A xBt_64 eclpse plugis org ec ipse equinox launcher_1 3 0 v20140415 2008 jar User Prevention Key 6312febf 2112 40bc b266 b8e8c62dc481 CAUsersicfleischer Downloads eclipse java hna SRI win32 PALOALTONETWORKcfleischer EPM DLL Hijacking protection 286 EM eclpseliplugins org ec
81. ESM comunica el veredicto a cualquier endpoint en el que un usuario ha intentado abrir el archivo ejecutable Revocaci n de una decisi n de WildFire Paso 1 En la consola ESM seleccione Pol ticas gt Malware gt Control de hashes Paso 2 Para visualizar el veredicto de WildFire para un hash espec fico proceda con una de las opciones siguientes e Utilice la b squeda de la parte superior de la p gina para buscar un valor de hash o nombre de proceso e Utilice los controles de paginado de la parte superior derecha de cada p gina para ver diferentes partes de la tabla Paso 3 Seleccione la fila para ver detalles adicionales acerca del hash de proceso y proceda siguiendo una de estas opciones e Seleccione Revisar lista para ver todas las instancias de un hash de proceso La opci n est disponible cuando hay cinco o m s instancias de un hash de proceso e Seleccione Revocar hash para volver a consultar el veredicto para el hash con WildFire 100 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de hashes ejecutables Carga de un archivo en WildFire para su an lisis Antes de la integraci n de la soluci n de protecci n avanzada del endpoint normalmente WildFire solo analizaba un ejecutable si se enviaba o se cargaba desde el cortafuegos o si se enviaba usando el portal de WildFire Esto significaba que algunos ejecutables aunque comunes pod an no ser ana
82. ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla forense Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Datos forenses y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Datos forenses Desde ah puede Activar o Desactivar la regla seg n sea necesario 140 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Administraci n de reglas y ajustes
83. ET 2 0 and 3 0 NET Framework 4 5 Features ASP NET 4 5 Web Server IIS Management Tools IIS Management Console Web Server Application Development Common HTTP Features Export configuration settings Specify an alternate source path 2 Haga clic en Cerrar para salir del asistente 30 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Configuraci n de SSL en la consola ESM Para la seguridad de su consola ESM y proteger la privacidad del usuario que utiliza Secure Sockets Layer SSL instale un certificado de servidor y a ada un enlace HTTPS en el puerto 443 Configuraci n de SSL en la consola ESM Paso 1 Abra el administrador de IIS 1 Haga clic en Inicio y a continuaci n en Panel de control 2 Proceda con una de las siguientes opciones e Haga clic en Sistema y seguridad gt Herramientas administrativas En Iniciar b squeda escriba inetmgr y pulse INTRO Paso 2 Opcional Si su sitio requiere SSL instale Para solicitar o instalar un certificado de servidor consulte un certificado de SSL en el servidor que ejecuta la consola ESM e Solicitar un certificado de servidor de Internet e Instalar un certificado de servidor de Internet El certificado del servidor permite a los usuarios confirmar la identidad de un servidor web antes de transmitir datos sensibles y utiliza la informaci n de
84. Endpoint Security Manager abra una p gina de administraci n de reglas por ejemplo Pol ticas gt Malware gt Restricciones Advanced Endpoint Protection Administrator s Guide 37 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps Importaci n de las pol ticas de seguridad b sicas Continuaci n Paso 3 Seleccione Importar reglas en el men Vaya al archivo de pol ticas y haga clic en Cargar gt ie 4 Pap 1 pfl a El Deactivate selected o pct ia no E 1e a 7 Delet ted non Restrictions Default Restrictions Policy Is Enabled Default Rules 1160 24 01 20158 14 Restriction FoldersBeha Blacklist Enabled WM 58 24 01 201517 44 external media E Export selected 9 Import rules El Endpoint Security Manager a ade la nueva regla o reglas a la pol tica de seguridad existente y asigna un n mero de ID nico a cada regla Repita el Step 3 para cada pol tica La consola ESM muestra las reglas en una p gina de administraci n dedicada para cada tipo de regla Para m s informaci n acerca de la importaci n o exportaciones de reglas de pol ticas consulte Exportaci n e importaci n de archivos de las pol ticas 38 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n de los endpoints Configuraci n de los endpoints Para configurar Traps en los endpoints de su org
85. Endpoint Security Manager o una base de datos externa instalada en otra m quina Utilice una de las siguiente aplicaciones de bases de datos SQLite 1 0 82 0 o posterior para la etapa de evaluaci n Encuentre el archivo de configuraci n SQLite en la carpeta Herramientas de su paquete de instalaci n de endpoints o desc rguelo de Internet MS SQL 2008 MS SQL 2012 MS SQL 2014 Consulte al equipo de soporte de Palo Alto Networks si se requiere la integraci n con una base KA de datos existente C Certificado SSL de una autoridad de certificaci n CA de confianza con autenticaci n del servidor y autenticaci n del cliente recomendado C Permite la comunicaci n en el puerto TCP de los clientes al servidor el puerto por defecto es 2125 O Carpeta forense con BITS habilitado Consulte tambi n Requisitos previos para la instalaci n de Traps en un endpoint 22 Advanced Endpoint Protection Administrator s Guide Requisitos previos Requisitos previos para la instalaci n de Traps en un endpoint Requisitos previos para la instalaci n de Traps en un endpoint Antes de instalar Traps 3 2 aseg rese de que el endpoint de destino cumple los siguientes requisitos previos O uuan ESM Core y la consola ejecutando la Protecci n avanzada del endpoint en la misma versi n que Traps o posterior 200 MB de espacio en disco se recomienda 20 GB de espacio en disco 512 MB RAM se recomienda 2GB RAM Sistema operat
86. Fire En este ejemplo se asume que cada uno de los sitios A B C y D necesita hasta 50 000 agentes de Traps Para permitir este escenario cada sitio contiene un servidor ESM que recupera la pol tica de seguridad de la base de datos situada en el Sitio A Los agentes se conectan al Endpoint Security Manager utilizando sus servidores ESM locales como servidor principal y usan los servidores ESM de otros sitios como servidores secundarios Aplicaci n de sitios m ltiples grandes con m ltiples Endpoint Security Manager Endpoint Security Managers ESMs Sitio A 11 Sitio B y Sitio C m OR ON E s T aa A Este escenario de implementaci n permite hasta 200 000 agentes de Traps 50 000 por sitio en un entorno de sitios m ltiples y est compuesto de los siguientes componentes Sitio D m 0 n _ lt o e Un Endpoint Security Manager ESM por sitio Una base de datos dedicada con licencia Una consola ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administrar la pol tica de seguridad y los agentes de Traps Servidores ESM uno para cada 50 000 agentes de Traps en cada sitio y cada uno de ellos ejecutando ESM Cote 3 2 e Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS e Opci
87. Fire puede configurar ajustes de env o de archivos desconocidos a WildFire para su an lisis especificar si Traps informar al usuario acerca de ejecutables malintencionados especificar la conducta de Traps cuando no hay comunicaci n con el servidor o con WildFire y configurar la conducta de Traps cuando WildFire no reconoce un proceso Puede crear o editar reglas de WildFire en el resumen Restricciones y la p gina de administraci n Pol ticas gt Malware gt WildFire La selecci n de una regla muestra informaci n adicional acerca de la regla y otras acciones que se pueden tomar Borrar Activar Desactivar o Editar la regla Para obtener m s informaci n consulte Habilitaci n de WildFire Configuraci n de una regla de WildFire Cuando se habilita WildFire Traps crea un hash nico para cada ejecutable y verifica el estado del archivo con WildFire La configuraci n de reglas de WildFire le permite realizar un ajuste fino de las preferencias y habilitar la funcionalidad para diferentes objetos de destino Para cada regla WildFire puede configurar ajustes de env o de archivos desconocidos a WildFire para su an lisis especificar si Traps informar al usuario acerca de ejecutables malintencionados especificar la conducta de Traps cuando no hay comunicaci n con el servidor o con WildFire y configurar la conducta de Traps cuando WildFire no reconoce un proceso 94 Protecci n avanzada del endpoint Gu a del administrador Preve
88. Las implementaciones de m ltiples ESM tienen las siguientes limitaciones e Para utilizar un equilibrador de carga debe especificarse su direcci n IP como la direcci n IP interna para cada servidor ESM que se a ade Esto garantiza que los agentes de Traps se conecten con la direcci n IP del equilibrador de carga en vez de conectarse directamente con el servidor ESM e Cada servidor ESM debe tener una direcci n IP est tica 46 Protecci n avanzada del endpoint Gu a del administrador Administraci n del servidor ESM Gesti n de m ltiples servidores ESM Gestionar servidores ESM Multi ESM J Server Name ast Seel Status Internal Address External Address Mares r CyveraServer 31 01 20158 54 Disabled http CyveraServer 2125 http 10 5 124 73 2125 Internal Address External Address Forensic Folder URL Tras instalar los servidores ESM v ase Instalaci n del software del servidor Endpoint Security Manager la consola ESM muestra informaci n de identificaci n acerca de cada servidor en la p gina Configuraci n gt ESM m ltiples Puede modificar los ajustes de configuraci n para los servidores ESM en cualquier momento Tambi n puede deshabilitar temporalmente o eliminar un servidor ESM seg n sea necesario Gestione servidores ESM Paso 1 Seleccione el servidor ESM y opcionalmente modifique cualquiera de los ajustes siguientes e Nombre de host del servidor e Direcci n interna y puerto del servidor po
89. Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Gesti n de protecci n de servicios La protecci n de servicios le permite proteger la ejecuci n de servicios de Traps en sus endpoint s Cuando se habilita la protecci n de servicios los usuarios no pueden cambar los valores de registro o archivos asociados con Traps o parar o modificar el servicio de Traps de un modo u otro Gesti n de protecci n de servicios Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Habilite la protecci n de servicios 1 Seleccione Protecci n de servicios en la li
90. Process Client First Seen Last Seen Executions LogonUl ee PANWDMSDYZ1 HQ 18 12 2014 11 01 22 01 2015338 147 LogonUl e CYrVERASERVER 22 01 20155 55 22 01 2015 5 55 24 Click to see the full list revol Upload Visualizaci n de informes de WildFire desde la consola ESM Paso 1 En la consola ESM seleccione Pol ticas gt Malware gt Control de hashes Paso2 Busque y seleccione el hash para el que le gustar a ver el informe 98 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de hashes ejecutables Visualizaci n de informes de WildFire desde la consola ESM Continuaci n Paso 3 Haga clic en Obtener informe La consola ESM muestra el informe de cach WildFire Analysis Report Table of Contents Anulaci n de una decisi n de WildFire Puede cancelar localmente una decisi n de WildFire para permitir o bloquear un archivo sin que afecte al veredicto de WildFire Esto puede ser de utilidad cuando se necesita crear una excepci n para un archivo espec fico sin alterar la pol tica de seguridad global Tras cancelar el veredicto la consola ESM muestra cualquier cambio en el veredicto de WildFire en la p gina de control de hashes La cancelaci n permanece activa hasta su eliminaci n momento en el que vuelve al ltimo veredicto conocido por el servidor Por ejemplo considere un caso en el que WildFire devuelve un veredicto sobre un hash esp
91. S ysis of threats and ndpoint policies and ag lid username or ssword Causas posibles e No se ha introducido correctamente el nombre de usuario o la contrase a e El usuario especificado durante la instalaci n inicial no tiene privilegios de propietario de DB e No se ha a adido el usuario como administrador e El usuario que instal el servidor no era un administrador local en el servidor Soluci n Soluci n Por qu no puedo iniciar sesi n en la consola ESM Paso 1 Verifique que ha introducido el nombre de usuario y contrase a correctos Paso 2 Verifique que el usuario tiene privilegios de propietario de DB consulte Configuraci n de la base de datos del servidor MS SQL 192 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Soluci n de problemas de la consola ESM Soluci n Por qu no puedo iniciar sesi n en la consola ESM Paso 3 Inicie sesi n como administrador y verifique que el modo de autenticaci n sea correcto y que la cuenta de usuario aparezca en la p gina Administraci n de usuario Para a adir un usuario administrativo consulte Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM Alternativamente puede a adir el administrador usando la herramienta de configuraci n de bases de datos consulte Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de c
92. Seg n realiza los cambios la vista previa a la derecha de los ajustes de configuraci n muestra los cambios T tulo de notificaci n Introduzca un m ximo de 50 caracteres en el campo facilitado para mostrar un t tulo de notificaci n personalizado e Acci n de notificaci n Para facilitar informaci n de contacto o de otro tipo en la parte inferior del mensaje introduzca hasta 250 caracteres en el campo de acci n de notificaci n Para especificar una direcci n de correo electr nico utilice el formato HTML est ndar por ejemplo lt a href mailto supporteyour_organization com gt Help Desk lt a gt Imagen de notificaci n Paza sustituir el logotipo de Traps por una nueva imagen Vaya a una nueva imagen y haga clic en Cargar Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla 128 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Creaci n de un m
93. a documentation Apaloaltonetworks com Palo Alto Networks Inc www paloaltonetworks com O 2015 Palo Alto Networks Todos los derechos reservados Palo Alto Networks y PAN OS son marcas comerciales de Palo Alto Networks Inc Fecha de revisi n agosto 26 2015 ndice Descripci n general de la protecci n avanzada del endpoint 1 Descripci n general de la Protecci n avanzada del endpoint o o ooooooooccccccccnco rr 2 Prevencion de EXP O S sii a A A te cod aras 2 Prevenci n del Malyate 00ococsi o ri a A E ARE 3 Componentes de la protecci n avanzada del endpoint ooooococcoococccccccco nor 4 Consola Endpoint Security Managet o oooooooooccccnnr or 5 Servidor Endpoint Security Manager sssssssssssrrersrerrrreorrrrorrrrrressrrrsro 5 Base de datOSss is srono aia tones E EERENS EERTE RINS EENS RS 5 Endponts seian eiye a E A ib iba a E AAA 6 Traps pisss erpin RAR E A E AR ETA E E 6 Plataforma de logging Externa serene vran A a as 6 WildFire coro aa eE EE A A a EA A EES 7 Carpeta forenses a es 7 Escenarios de implementaci n de la Protecci n avanzada del endpoint 9 Implementaci n Independiente sitial dios O a a E ce ASA 10 Componentes de implementaci n independiente oooococcccocoonconcoccccc r rnrn nnr 10 Requisitos para la implementaci n independiente ooooccccccconorcccccno o 10 ImplementaciOneEs Peque as socias tir Ttne i aia E EONA EEEN I EEEE EET ERESS 12 Implementaciones peq
94. a Iniciado Windows Server 2008 o En ejecuci n Windows Server 2012 3 Si el estado del servicio es Detenido o En pausa haga doble clic en el servicio y seleccione Inicio Haga clic en Cerrar Desde el endpoint abra una l nea de comando y haga ping a la direcci n IP o el nombre host del servidor ESM Si no se puede acceder al servidor ESM examine los ajustes de conectividad de red entre los dispositivos Paso 5 Verifique que puede llegar al endpoint desde el servidor ESM Desde el servidor ESM abra una l nea de comando y haga ping a la direcci n IP o el nombre host del endpoint Si no se puede acceder al endpoint examine los ajustes de conectividad de red entre los dispositivos Paso 6 Verifique que el puerto para el servidor ESM est abierto en el cortafuegos de Windows por defecto es 2125 1 Para comprobar el acceso del puerto desde el endpoint a Abra una l nea de comando como administrador b Introduzca el comando siguiente para telnet en el puerto 2125 en el servidor ESM C l gt telnet lt esmservername gt 2125 donde lt esmservername gt es el nombre de host o la direcci n IP del servidor ESM 2 Si no puede conectar a telnet en el puerto 2125 cree una regla entrante para abrir ese puerto a Abra los ajustes avanzados del cortafuegos de Windows Windows Server 2008 En el men de inicio seleccione Panel de control gt Cortafuegos de Windows gt Ajustes avanzados Windows S
95. a a WildFire o su pol tica de seguridad global consulte Anulaci n de una decisi n de WildFire Tras cambiar el veredicto del hash a malintencionado o benigno la consola ESM muestra el veredicto cambiado en la p gina Control de hashes La cancelaci n permanece activa hasta que la elimina el administrador momento en el que vuelve al ltimo veredicto conocido por el servidor ESM Para forzar al servidor ESM a comprobar de nuevo un veredicto con WildFire puede revocar el hash utilizando la consola ESM consulte Revocaci n de una decisi n de WildFire El servidor ESM consulta inmediatamente a WildFire la obtenci n del veredicto actual acerca del hash Cuando WildFire devuelve el veredicto el servidor ESM actualiza el cach del servidor y comunica el veredicto a cualquier endpoint o endpoints que han intentado previamente abrir el archivo ejecutable en la siguiente comunicaci n heartbeat con Traps El servidor ESM comunica cualquier cambio en el veredicto por ejemplo una actualizaci n desde WildFire o una cancelaci n manual a cualquier endpoint que haya abierto previamente el archivo en la siguiente comunicaci n heartbeat con Traps Protecci n avanzada del endpoint Gu a del administrador 81 Administraci n de restricciones en ejecutables Prevenci n de malware Administraci n de restricciones en ejecutables Las reglas de restricci n le permiten definir limitaciones o excepciones sobre el modo en que se gestionan los ejecutable
96. a de Chrome Haga clic en A adir y a continuaci n en Examinar y haga doble clic en el archivo chrome adm Se carga el archivo chrome en la ventana de plantillas Haga clic en Cerrar Paso 2 A ada la plantilla al GPO 4 En la secci n Ajustes del ordenador seleccione Pol ticas gt Plantillas administrativas gt Plantillas administrativas cl sicas gt Google gt Google Chrome no ajustes por defecto gt Extensiones En el lado derecho de la pantalla habr cinco reglas GPO Haga doble clic en Configurar la lista de extensiones instaladas a la fuerza Verifique si el GPO hasta habilitado y haga clic en Mostrar en el lado izquierdo de la pantalla en el centro e Online En la fila blanca introduzca la siguiente cadena mobnfjmemnepjkfl1ncmogkbnhafgblic https clients 2 google com service update2 crx Offline En la fila blanca introduzca la siguiente cadena edite el directorio que ser la carpeta forense por ejemplo servername forensic mobnfjmemnepjkflncmogkbnhafgblic file C emmm tr aps crx xml Haga clic en ACEPTAR Paso 3 Verifique la instalaci n de la extensi n de Chrome Abra el navegador Chrome en el endpoint e introduzca chrome extensions Verifique que la extensi n Palo Alto Networks Traps Chrome Monitor aparece en la lista de extensiones Protecci n avanzada del endpoint Gu a del administrador 143 Habilitaci n de la obtenci n de URI en Chrome Datos fo
97. a de Windows haga clic con el bot n derecho en el icono de Traps y y seleccione la Consola o haga doble clic en el icono e Ejecute CyveraConsole exe desde la pantalla de instalaci n de Traps Se inicia la consola de Traps Paso 2 Seleccione la pesta a Avanzada gt Protecci n para ver los procesos protegidos Protecci n avanzada del endpoint Gu a del administrador 69 Administraci n de las reglas de protecci n de exploits Prevenci n de exploits Administraci n de las reglas de protecci n de exploits gt gt gt gt Reglas de protecci n de exploits Reglas de protecci n de exploits Pol tica de prevenci n de exploits por defecto Creaci n de una regla de prevenci n de exploits Exclusi n de un endpoint de una regla de prevenci n de exploits Una regla de protecci n de exploits utiliza m dulos EPM Exploit Prevention Modules para proteger los procesos de su organizaci n y controla el comportamiento de los procesos generalmente bloqueado o permitido El EPM se dirige a una t cnica de exploits espec fica e inyecta un m dulo en el proceso para evitar ataques a las vulnerabilidades de los programas bas ndose en la corrupci n de memoria o fallos l gicos Un EPM puede proteger al mismo tiempo m ltiples aplicaciones y procesos Los EMP avanzados adicionales est n ocultos y solo se puede acceder a ellos en el modo ninja YH Los EPM avanzados permiten a los ingenieros de soporte y ventas de Palo A
98. a de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la regla seg n sea necesario 92 Protecci n avanzada del endpoint Gu a del ad
99. a fecha y hora de la actualizaci n Pesta a Actualizaciones de veredictos Configuraci n Muestra los cambios en el veredicto para ejecutables que se han abierto en el endpoint Muestra las opciones de idioma que se pueden usar para cambiar el idioma de la consola de Traps Enlace Registrar ahora Inicia una actualizaci n inmediata de la pol tica de seguridad Conexi n Muestra el estado de la conexi n entre Traps y el servidor ESM ltimo registro Muestra la fecha y la hora a la que Traps ha recibido por ltima vez un mensaje heartbeat Abrir archivo de registro Abre el archivos de seguimiento m s reciente del endpoint Enviar archivo de soporte Crea un archivo comprimido de rastros y lo env a a la carpeta forense Ver el historial de reglas de un endpoint Por defecto la vista de detalles est ndar de la p gina Estado ofrece una tabla de endpoints con campos mostrados a lo largo de la parte superior La selecci n de un endpoint de la tabla Estado expande la fila para mostrar detalles adicionales acerca del endpoint y le permite ver el historial de reglas de objetos de su organizaci n Cada regla de la pol tica de agentes muestra la fecha y hora de aplicaci n de la regla por parte de Traps la fuente de la regla de pol tica local o remota el nombre y descripci n de la regla y el estado actual de esa regla Ver el historial de reglas de un endpoint Paso
100. a informaci n adicional acerca de la regla y otras acciones que se pueden tomar Duplicar Borrar o Activar Desactivar la regla Para obtener m s informaci n consulte Administraci n de reglas de acci n de Traps 110 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de reglas de acci n de Traps A adir una nueva regla de acci n Para cada regla de acci n puede especificarse el objeto u objetos de la organizaci n la condici n o condiciones y la acci n o acciones para su realizaci n en cada endpoint A adir una nueva regla de acci n Paso 1 Inicie una nueva regla de acci n Seleccione Ajustes gt Acciones de agentes y a continuaci n A adir una nueva regla Paso 2 Seleccione el tipo de tarea que desea realizar Seleccione uno de los siguientes de la lista desplegable Tareas y configure los ajustes seg n el tipo de acci n e Datos de agentes Para m s informaci n consulte Gesti n de datos recopilados por Traps e Servicio de agentes Para m s informaci n consulte Cerrar o suspender la protecci n del EPM e Instalaci n de agentes Para m s informaci n consulte Desinstalaci n o actualizaci n de Traps en el endpoint e Licencia de agentes Para m s informaci n consulte Actualizaci n o revocaci n de la licencia de Traps en el endpoint Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no apl
101. a regla terminar el proceso o informaci n al usuario Arquitectura Tipo de arquitectura del sistema operativo SO Por ejemplo x64 Clave de prevenci n Clave nica asociada con el evento de prevenci n Cuando se obtienen datos acerca de un evento Traps crea una clave de log utilizando esa clave de prevenci n como el nombre del archivo Desencadenador Archivo o archivos que activan un evento de seguridad Bot n Ver notas Visualiza notas acerca del evento de seguridad Si no hay notas est opci n queda oscutecida Bot n Crear nota Crea notas acerca del evento de seguridad para el seguimiento en un momento o fecha posteriores Bot n Obtener Obtiene los datos de protecci n del endpoint Crea una regla que utiliza la clave de prevenci n y activa informaci n para solicitar datos acerca del evento de prevenci n del agente La informaci n se env a a la carpeta forense Bot n Crear Crea una regla de exclusi n autom ticamente a partir de una prevenci n La regla permite la ejecuci n de una regla en un endpoint espec fico sin la protecci n del modo de prevenci n de exploits Bot n Bloquear Solo prevenciones de WildFire Cancela el modo de terminaci n por defecto para que el hash bloquee el archivo Bot n Permitir Solo prevenciones de WildFire Cancela el modo de terminaci n por defecto para que el hash permita el archivo Ver detalles de log de errores d
102. a regla de acci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Acciones de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Acciones de agentes Desde ah puede Duplicar Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 111 Administraci n de reglas de acci n de Traps Administraci n de endpoints Gesti n de datos recopilados por Traps Utilice el asistente de acci n pata realizar las siguientes acciones para los archivos de datos que Traps crea en el endpoint Borrar historial Cada endpoint guarda un historial de las prevenciones de seguridad Seleccione esta opci n para borrar los archivos de datos hist ricos y que no se visualicen en la consola de Traps Borrar volcados de memoria Los volcados de memoria son registros de los contenidos de la memoria del sistema cuando se produce un evento de prevenci n Seleccione esta opci n para borrar los registros de la memoria del sistema en los objetos de destino Borrar archivos en cuarentena Cuando se produce un evento de seguridad en un endpoint Traps captura volcados de memoria y archivos recientes asociados con el evento y los almacena en la carpeta forense del endpoint Seleccione esta opci n para
103. a una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o De
104. acci n Borrar Borra la regla Activar Activa la regla solo reglas inactivas Desactivar Desactiva la regla solo reglas activas Editar Edita la regla solo reglas de prevenci n de exploits restricci n y ajustes de agentes Protecci n avanzada del endpoint Gu a del administrador 161 Monitorizaci n de la obtenci n de informes forenses Informes y logs Monitorizaci n de la obtenci n de informes forenses En la p gina Monitorizado gt Obtenci n de informes forenses puede visualizar informaci n acera de los archivos de datos forenses actualizaciones de WildFire y obtenci n de volcados de memoria y administraci n de archivos de datos desde una localizaci n central La tabla siguiente describe los campos y acciones que est n disponibles para cada archivo de datos forenses La p gina Obtenci n de informes forenses muestra una tabla con los campos visualizados a lo largo de la parte superior y acciones que se pueden realizar para administrar la obtenci n de informes forenses Nombre de archivo Una ID num rica nica para la regla Estado de la carga Estado de la carga por ejemplo Fallido En curso etc Nombre de la m quina Nombre de la m quina desde la que se han obtenido los datos forenses Tipo de archivo Tipo de datos forenses por ejemplo logs WildFire o volcado Tama o de archivo Tama o del archivo forense Fecha de creaci n La fecha y la hora de creaci n o ltima modif
105. aci n Mensaje El texto de mensaje de notificaci n Gravedad La gravedad de la notificaci n que depende del tipo de informe Alta e Media e Baja Tipo de informe El tipo del evento que ha activado la notificaci n e Fallo de carga de archivos e Protecci n habilitada e Protecci n deshabilitada Hora La fecha y hora de env o de la notificaci n Protecci n avanzada del endpoint Gu a del administrador 165 Administraci n de preferencias de informes y logging Informes y logs Administraci n de preferencias de informes y logging Habilitar informes utilizando la consola ESM Habilitar informes externos usando la herramienta de configuraci n DB Definir ajustes de comunicaci n usando la consola ESM gt o gt gt Definir ajustes de comunicaci n usando la herramienta de configuraci n DB Habilitar informes utilizando la consola ESM El Endpoint Security Manager puede escribir logs en una plataforma de creaci n de logs externa como por ejemplo un sistema SIEM servicios SOC o syslog adem s de almacenar sus propios logs de forma interna Al especificar una plataforma de creaci n de logs externa es posible obtener una vista agregada de los logs de todos los servidores ESM Puede habilitar informes externos usando la herramienta de configuraci n de bases de datos DB consulte Habilitar informes externos usando la herramienta de configuraci n DB o con el ESM De forma predeterminada se deshabilitan los informes exter
106. aci n de la base de datos del servidor MS SQL oocoococcccccccno ro 31 Instalaci n del software del servidor Endpoint Security Manager ooooooccccccooooonoc o oo 33 Instalaci n del software de la consola Endpoint Security Manager oooooooccccccccocooocor 35 Protecci n avanzada del endpoint Gu a del administrador iii Carga de las pol ticas de seguridad b sicas ooooooooocccconnocorr cr 37 Configuraci n de los Endpolts Vvmisicrroros otr pie pin a y EEE S E Ar S 39 Etapas de implementaci n de TtapS ooooooooonoroccnna nor 39 Consideraciones de instalaci n de Traps os eesesscssssessccee sist Ren EEEREN RES E RENES 40 Instalaci n de Traps en elendpoint demini sentes aaue A RE ER ic 40 Instalaci n de Traps en el endpoint usando Msiexec nnus sunssr rrn rrrn rrr rrn rrr 41 Veriticafuna instalaci n Correcta erica opmerk aaga pan da a a idea a ci 43 Verificar la conectividad desde el dpoint sess ceccssccserciase reton atni Enn En nERRESS 43 Verificar la conectividad desde la consola ESM ooocoococcccccccconcorr n rnrn rr rnrn 43 Administraci n del Servidor ESM s ircrirorria rra riada 45 Gesti n de m ltiples servidores ESM ooooococcococcrccanr rro 46 Requisitos del SISTEMA iii A e E E E OEE EA 46 Timitacio eS sseeg nesses AA E EEES 46 Gestionar servidot s ESMicoinnnn aci a e AS S 47 Gesti n de las licencias del Endpoint Security Manager oooooocccccccnnoo oro 48 Administraci n de las licencias
107. ador Informes y logs Monitorizado de eventos de seguridad ID N mero de ID nico asociado con el error de seguridad Nombre de la m quina Nombre del endpoint en el que ha ocurrido el evento de prevenci n Mensaje Texto de mensaje de notificaci n Gravedad La gravedad del error que depende del tipo de informe e Alta e Media e Baja Tipo de informe El tipo del error que ha activado la notificaci n Los valores posibles son Estado de realizaci n de acciones de una vez Una acci n realizada en el endpoint La gravedad es baja si se completa la acci n o media si falla la acci n Bloqueo de proceso Un proceso bloqueado en el endpoint Gravedad baja Inyecci n de proceso agotada Se ha agotado la inyecci n al proceso Gravedad media Servicio vivo Se ha iniciado el servicio del agente Gravedad baja Servicio parado Se ha parado el servicio del agente Gravedad baja Sistema cerrado Se ha cerrado el endpoint Gravedad baja Acceso DEP no asignado Un salto del puntero de instrucciones a una localizaci n no asignada en la memoria Suele deberse a un error de aplicaci n pero tambi n podr a indicar un intento fallido de exploit Gravedad media Fallo de inicio de servicio de informaci n nativa Ha fallado el servicio de informaci n Gravedad alta Hora Fecha y hora a las que Traps ha informado del error Ver el historial de eventos de seguridad en un endpoint Cuando un
108. aestructura de endpoints Habilitaci n de servicios web Configuraci n de SSL en la consola ESM Configuraci n de la base de datos del servidor MS SQL Instalaci n del software del servidor Endpoint Security Manager Instalaci n del software de la consola Endpoint Security Manager gt gt gt gt gt p Carga de las pol ticas de seguridad b sicas Consideraciones de instalaci n de la infraestructura de endpoints Para instalar o actualizar los componentes del ESM considere lo siguiente e Fl servidor ESM y la consola ESM deben tener la misma versi n e El servidor ESM y la consola ESM son compatibles con versiones mixtas de Traps y son compatibles con versiones anteriores Por ejemplo un servidor ESM y consola ESM que se ejecutan con la versi n 3 2 pueden aceptar endpoints que funcionan con una mezcla de agentes de Traps 3 1 y 3 2 Para los requisitos previos de instalaci n consulteRequisitos previos para la instalaci n del servidor ESM y Requisitos previos para la instalaci n de Traps en un endpoint Habilitaci n de servicios web Para ejecutar servicios web en el ESM debe habilitar el papel de Internet Information Services IIS y NET en un Windows Server IIS le permite compartir informaci n con usuarios en Internet una intranet o una extranet Windows Servers con IIS 7 5 proporciona una plataforma web unificada que integra IIS ASP NET y Windows Communication Foundation WCF Para acceder al Endpoint Security Manager a
109. ando siguiente C Program FilesiPalo Alto NetworksYTraps gt cytool protect enable disablel process El ejemplo siguiente muestra el resultado de la habilitaci n de protecci n de procesos clave La columna Modo muestra el estado de protecci n revisado Habilitado O Deshabilitado o Pol tica cuando se utilizan los ajustes de la pol tica de seguridad local para proteger los procesos clave C Program FilesiPalo Alto NetworkslTraps gt cytool protect enable process Introducir contrase a de supervisor Protecci n Modo Estado Proceso Habilitado Habilitado Registro Pol tica Deshabilitado Archivo Pol tica Deshabilitado Servicio Pol tica Deshabilitado Para usar los ajustes de reglas de pol ticas por defecto y proteger procesos clave en el endpoint consulte Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Protecci n avanzada del endpoint Gu a del administrador 177 Cytool Soluci n de problemas Habilitaci n o deshabilitaci n de ajustes de protecci n de registro en el endpoint Para evitar que los atacantes alteren las claves de registro de Traps utilice el comando cytool protect enable registry para restringir el acceso a las claves de registro guardadas en HKLMASYSTEM1 Cyvera Para deshabilitar la protecci n de las claves de registro utilice el comando cytool protect disable registry La realizaci n de cambios en los ajustes de protecci n del registro requiere la introducci n de la c
110. anizaci n consulte los temas siguientes A Etapas de implementaci n de Traps A Consideraciones de instalaci n de Traps A Instalaci n de Traps en el endpoint A Instalaci n de Traps en el endpoint usando Msiexec Etapas de implementaci n de Traps El software Traps suele implementarse en los endpoints de una red tras una prueba de concepto POC inicial que simula el entorno de producci n de la empresa Durante la etapa de POC o de implementaci n se analizan los eventos de seguridad para determinar cu les de ellos se deben a actividades malintencionadas y los que se deben a procesos leg timos que se comparten de una manera incorrecta o con riesgo Tambi n puede simular el n mero y tipos de endpoints de la organizaci n los perfiles de usuario y los tipos de aplicaciones que se ejecutan en los endpoints De acuerdo a estos factores se define se prueba y se ajusta la pol tica de seguridad acorde a su organizaci n El objetivo del proceso de pasos m ltiples es proporcionar la m xima protecci n a su organizaci n al tiempo que no interfiere en los flujos de trabajo leg timos Tras la POC inicial se recomienda una implementaci n de pasos m ltiples por las razones siguientes e La POC no siempre refleja todos los entornos de producci n e Existe una escasa probabilidad de que el software Traps afecte a las aplicaciones espec ficas lo que puede revelar vulnerabilidades en el software como un ataque prevenido e Elaislam
111. apa m s temprana posible antes de que los archivos del proceso se carguen en la memoria El agente tambi n protege el software Traps contra su deshabilitaci n o desinstalaci n Si el agente de Traps encuentra un evento de prevenci n el servicio de Traps recopila informaci n forense y transmite los datos relacionados con el evento al Endpoint Security Manager El servicio de Traps tambi n comunica con regularidad la informaci n del estado del endpoint La consola de Traps muestra informaci n acerca de los procesos protegidos historial de eventos y pol tica de seguridad actual Normalmente los usuarios no necesitan ejecutar la consola de Traps pero la informaci n puede ser de utilidad cuando se investiga un evento relacionado con la seguridad Se puede decidir ocultar el icono de la bandeja de la consola que activa la consola o evitar que los usuarios la activen Para obtener m s informaci n consulte Ocultaci n o restricci n de acceso a la consola de Traps ro MEE Traps paloalto NETWORKS 24 36 eration Protection is Enabled aaa Open Log File Connection 5 124 73 3 Check in now Send Support File Last Check in 02 19 20 Plataforma de logging externa Al especificar una plataforma de creaci n de logs externa es posible obtener una vista agregada de los logs de todos los servidores ESM El Endpoint Security Manager puede escribir logs en una plataforma de creaci n de logs externa como por eje
112. ar informes externos usando la herramienta de configuraci n DB Continuaci n Paso 8 Opcional Introduzca un intervalo de tiempo en minutos durante el que el endpoint encuentra un mensaje de mantenimiento al log o informe un valor de O o superior el valor por defecto es 0 C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig reporting keepalivetimeout lt value gt Paso 9 Opcional Introduzca la frecuencia de informes del endpoint en minutos un valor de 0 o superior el valor por defecto es 10 C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig reporting sendreportsinterval lt value gt Introduzca un valor de O si no desea recibir informes del endpoint a Paso 10 Opcional Introduzca el n mero m nimo de notificaciones para su almacenamiento en la base de datos un valor de 0 o superior el valor por defecto es 5000 C Program Files Palo Alto Networks Endpoint Security Manager Server gt dbconfig reporting minreportscount lt value gt Por ejemplo la especificaci n de un recuento de informe m nimo de 1000 notificaciones significa que el Endpoint Security Manager retiene las 1000 notificaciones m s recientes tras una limpieza de informes antiguos Paso 11 Opcional Introduzca el n mero m ximo de notificaciones para su almacenamiento en la base de datos un valor de O o superior el valor por defecto es 4000 C Program FilesiPalo A
113. ar seleccionados El Endpoint Security Manager guarda las reglas seleccionadas en un archivo XML e Para restaurar o importar nuevas reglas de pol ticas seleccione Importar reglas en el men de la parte superior de la tabla Vaya al archivo de pol ticas y haga clic en Cargar Protecci n avanzada del endpoint Gu a del administrador 53 Exportaci n e importaci n de archivos de las pol ticas Administraci n del servidor ESM 54 Protecci n avanzada del endpoint Gu a del administrador Primeros pasos con las reglas Los temas siguientes describen los componentes b sicos y los procesos asociados con cada regla A Descripci n general de las reglas de pol ticas de endpoints A Componentes y acciones comunes de las reglas Protecci n avanzada del endpoint Gu a del administrador 55 Descripci n general de las reglas de pol ticas de endpoints Primeros pasos con las reglas Descripci n general de las reglas de pol ticas de endpoints A Tipos de reglas de pol ticas A Aplicaci n de las pol ticas Tipos de reglas de pol ticas Las pol ticas le permiten aplicar reglas y realizar acciones Las diferentes reglas de pol ticas son altamente configurables y trabajan juntas para la administraci n de procesos archivos ejecutables y ajustes en sus endpoints La tabla siguiente describe los tipos de reglas de pol ticas que se pueden configurar en la consola ESM Prevenci n de exploits Las reglas de prevenci n de
114. arar las pol ticas de seguridad en un endpoint Usando Cytool puede mostrar detalles acerca de pol ticas de seguridad en el endpoint A Ver detalles acerca de una pol tica activa A Comparar pol ticas Protecci n avanzada del endpoint Gu a del administrador 183 Cytool Soluci n de problemas Ver detalles acerca de una pol tica activa Use el comando cytool policy query lt process gt pata ver detalles acerca de pol ticas asociadas con un proceso espec fico El resultado es de utilidad cuando se desea verificar que se implementa una pol tica en el modo previsto Para ver los detalles de la pol tica debe introducir la contrase a del supervisor cuando as se solicita Ver detalles acerca de una pol tica activa Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para ver la pol tica activa para un proceso use el siguiente comando C Program FilesiPalo Alto NetworkslTraps gt cytool policy query lt process gt donde lt process gt es el nombre de proceso o la ID de proceso PID Por ejemplo para ver detalles acerca de una pol tica para el bloc de notas introduzca cytool policy query notepad El ejemplo siguiente muestra detalles de las pol ticas para un proceso con PID 1234 C Program FilesiPalo Alto NetworkslTraps gt cytool policy query 1234 Introducir contrase a de supervisor Gen rico Habilitar 0x00000001 SuspendOnce 0x00000001 Adva
115. archivo O servicio El ejemplo siguiente muestra el resultado de la administraci n de la protecci n en los archivos de Traps utilizando la pol tica de seguridad local La columna Modo muestra el estado de protecci n revisado como Pol tica C Program FilesiPalo Alto NetworkslTraps gt cytool protect policy file Introducir contrase a de supervisor Protecci n Modo Estado Proceso Habilitado Habilitado Registro Habilitado Habilitado Archivo Pol tica Deshabilitado Servicio Habilitado Habilitado 180 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Administraci n de controladores Traps y servicios en el endpoint Cuando se inicia un endpoint Traps inicia controladores Cyverak Cyvrmten y Cyvrfstd y servicios Cyvera y CyveraService por defecto Puede usar Cytool para cancelar la conducta por defecto y administrar el inicio o estado actual de controladores y servicios sobre una base global o individual Los cambios en la conducta de inicio por defecto se realizan cuando se reinicia el endpoint Los cambios en la conducta de tiempo de ejecuci n tienen un efecto inmediato A Ver componentes de inicio de Traps en el endpoint A Habitaci n o deshabilitaci n del inicio de los componentes de Traps en el endpoint A Ver componentes de tiempo de ejecuci n de Traps en el endpoint A Inicio o parada de los componentes de tiempo de ejecuci n de Traps en el endpoint Ver componentes de inicio de Traps en el
116. as blancas en el modo ninja YH Los ajustes avanzados de listas blancas permiten a los ingenieros de soporte y ventas de Palo Alto Networks configurar ajustes finos adicionales para cada m dulo de malware La siguiente tabla describe los m dulos de prevenci n de malware Protecci n de Protege contra una t cnica de malware com n en la que el atacante crea procesos en un suspensi n estado suspendido para inyectar y ejecutar el c digo antes de iniciarse el proceso Se puede habilitar la protecci n de suspensi n en un modo de proceso fuente y se puede configurar la notificaci n del usuario y opcionalmente permitir m dulos de funci n que pueden llamar a procesos secundarios Para obtener m s informaci n consulte Configuraci n de la protecci n de suspensi n Inyecci n de El c digo malintencionado tambi n puede entrar creando subprocesos y procesos remotos subprocesos Puede habilitar la inyecci n de subprocesos para detener la creaci n de subprocesos y procesos remotos y especificar la limitaci n en la fuente o en el proceso o subproceso de destino Admita carpetas espec ficas para hacer excepciones en la regla de restricci n general Para obtener m s informaci n consulte Configuraci n de protecci n de inyecci n de subprocesos Configuraci n de protecci n de inyecci n de subprocesos Un proceso puede incluir uno o m s subprocesos que ejecutan cualquier parte del c digo de proceso Algunos escenarios de
117. ataques se basan en la inyecci n de un c digo malintencionado en un proceso objetivo para crear subprocesos remotos mantener la persistencia y controlar el sistema infectado La pol tica por defecto contiene reglas dise adas para evitar la creaci n de subprocesos remotos malintencionados y permite procesos legales que deben inyectar subprocesos en otros procesos Las reglas de pol ticas por defecto para la inyecci n de subprocesos suelen almacenarse en la carpeta C Program FileslPalo Alto Networks1 Endpoint Security Manager WebA KnowledgeBasel Malware modulesl ThreadInjection pero puede ser diferente si se ha especificado una localizaci n alternativa para la instalaci n Visualice los archivos de esta carpeta para determinar si existe un archivo base de pol tica de inyecci n de subprocesos para el proceso Tenga cuidado a la hora de configurar nuevas reglas de inyecci n de subprocesos para evitar la cancelaci n de la pol tica por defecto lo que causar inestabilidad en el sistema operativo Para m s informaci n acerca de la configuraci n de reglas de prevenci n de malware p ngase en contacto con el equipo de soporte o su ingeniero de ventas Si el proceso no est ya protegido por la pol tica de seguridad por defecto puede crear una nueva regla que habilite la protecci n de inyecci n de subprocesos para un proceso que utilice los ajustes de inyecci n de subprocesos por defecto o puede configurar los ajustes seg n sea necesa
118. ayuda a identificarlo Recursos de red a los que se ha accedido en el momento del evento de seguridad y la informaci n del URI incluidos e Los URI de todos los navegadores principales incluidos enlaces ocultos y tramas de los hilos atacados relevantes e URI fuente de applets de Java nombres y rutas de archivos incluidos procesos padre abuelo y hijo e La recopilaci n de llamadas de URI de plug ins del navegador reproductores multimedia y software de clientes de correo Procesos antecesores Informaci n sobre procesos antecesores de navegadores no navegadores y procesos hijo de applets de Java en el momento de un evento de seguridad incluidos e Fuentes y destinos separados para inyecci n de subprocesos e Procesos hijo padre y abuelo restringidos 134 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Administraci n de reglas y ajustes forenses Administraci n de reglas y ajustes forenses Reglas forenses Cambio de la carpeta forense por defecto Creaci n de una regla forense Definici n de las preferencias del volcado de memoria Definici n de las preferencias de recopilaciones forenses gt _o gt gt gt gt Obtenci n de datos acerca de un evento de seguridad Reglas forenses Las reglas forenses le permiten obtener datos forenses capturados por Traps desde una localizaci n central En la p gina Pol ticas gt Informes forenses puede crear reglas para administrar los
119. borrar los archivos asociados con el evento de seguridad de los objetos de destino Obtenci n de datos que recopila el agente Traps recopila el historial de eventos de seguridad volcados de memoria y otras informaciones asociadas con un evento de seguridad Seleccione esta opci n para recopilar toda la informaci n guardada de todos los eventos ocurridos en el endpoint Tras ejecutar esta regla los agentes de Traps env an todos los datos relacionados con la prevenci n incluido un volcado de memoria del proceso protegido a la carpeta forense designada Obtenci n de logs que recopila el agente Traps recopila logs detallados de rastros de las aplicaciones y guarda informaci n acerca de los procesos y aplicaciones que se ejecutan en el endpoint Utilice el archivo de logs para depurar un problema con una aplicaci n o investigar un problema espec fico que se ha escrito en el log La selecci n de esta opci n crea una regla de acci n para recopilar toda la informaci n de restos de aplicaci n para un endpoint Tras ejecutarse esta regla el agente de Traps env a todos los logs a la carpeta forense Gesti n de los datos que obtiene Traps Paso 1 Inicie una nueva regla de acci n Seleccione Ajustes gt Acciones de agentes y a continuaci n A adir una nueva regla Paso 2 Defina las tareas que se van a realizar en 1 Seleccione Datos de agentes en la lista desplegable Tareas los datos de Traps guardados
120. cation como m todo A JW de autenticaci n de usuarios el propietario debe tener Coro derechos de Iniciar sesi n como servicio ZA T By 1 MB unrestricted growth a ES eze 1 Haga clic en ACEPTAR Connection CYVERA administrator 33 View connection properties Ready Add Remove a 32 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Configuraci n de la base de datos del servidor MS SQL Continuaci n Paso 3 Verifique el propietario de la base de datos 1 4 Introduzca la informaci n de inicio de sesi n y haga clic en Comprobar nombres Seleccione el nombre correspondiente y haga clic en ACEPTAR para volver a la p gina Seleccionar propietario de base de datos y de nuevo para volver a la p gina de Microsoft SQL Server Management Studio Seleccione la base de datos que ha creado y a continuaci n seleccione Seguridad gt Usuarios gt dbo R Microsoft SQL Server Management Studio File Edit View Debug Tools Window Comm PREM Conect 3 3 m as CYVERASERVER SQL Server 10 50 1600 CN 4 El A Databases A System Databases J master 4 model J msdb LJ tempdb A Database Snapshots Ly cyvera EA Database Diagrams En CA Tables E LA Views A Synonyms E A Programmability E LA Service Broker LY Storage El LA Security D Use
121. cccccnon rr 146 Uso del Endpoint Security Manager panel ooooococcccccccccnnoo rr 147 Monitorizado de eventos de seguridad cs sssepoi sse sonsts TES rara EEEF a aa 148 Uso del panel de eventos de seguridad srsssesa cs eerans sek enia rr 148 Ver el historial de eventos de seguridad en UN endpoint ooooccoooococccco rnnr 153 Monitorizado del estado de los endpoints 0ooooccocccccccco noo 155 Ver detalles de estado de los endpoints ss ss pesi sorosserisoses reostat eh esiu nT ba ad EAS 155 Ver detalles de estado de Traps iia pen e E di a EA 156 Ver el historial de reglas de un Endpolit smmrrrar ra Con s SEEEN RENNE ENES 157 Ver cambios en la pol tica de seguridad del endpoint oooococcococccccccoooor oo 158 Ver el historial de estado de servicio de UN ENdpOiMt ooooccccccoconcocccc o 158 Eliminaci n de un endpoint de la p gina de eStadO ooooooocccccccococorrc o 159 Monitorizado de las reglas ri A a 160 Vertel resumen de reolas arica ld is it o is diia 160 Ver detalles acerca delas t olaS oorsonicirro porra rr dni rra 160 Monitorizaci n de la obtenci n de informes forenses 0oooooococccconncacr cc 162 Monitorizaci n de las notificaciones delos agentes ooooooccccocccoocccrcca o 163 Ver notificaciones acerca de cambios en el estado de agentes oooooooocccccconococco 163 Ver detalles acerca del registro de agentes ooooocoococcooccccccc ooo 163 Monitorizado de notificaciones del ServidOL ooocoooooooocccccc o
122. ccesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene la herramienta de configuraci n DB C lUserslAdministrator gt cd C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server Paso 3 Opcional Visualice los ajustes de servidor existentes C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server gt dbconfig server show PreventionsDestFolder ESMServer Quarantine InventoryInterval 284 HeartBeatGracePeriod 300 NinjaModePassword Password2 Paso 4 Opcional Introduzca el intervalo de inventario que define la frecuencia en minutos con la que Traps env a la lista de aplicaciones que se est n ejecutando en el endpoint al Endpoint Security Manager C Program FilesiPalo Alto Networks Endpoint Security Manager Server gt dbconfig server inventoryinterval lt value gt Si introduce un valor por ejemplo de 120 hace que el endpoint env e informaci n cada 2 horas 120 minutos Paso 5 Opcional Introduzca el periodo de gracia permitido para un dispositivo que no ha respondido en segundos C Program FilesiPalo Alto Networks Endpoint Security Manager Server gt dbconfig server heartbeatgraceperiod lt value gt Si especifica un valor de 300 por
123. ccionando Exportar logs Click hereto clearthe filter Time Computer User 08 02 2015 15 17 CYVERASERVER CYVERASERVERAdmini Windows Server 2 a 30 01 201515 54 PANWDMSOYZ1HO PALOALTONETWORKAcfl Windows 7 Event Type Memory Corruption Faulting Process OUTLOOK Prevention Made Terminate Application Version 15 0 4420 1017 Computer PANWDMS0YZ1HO Event Triggered By N A User Prevention Key 8c5Sba03 5553 45b7 9d9f b464bac721cf PALOALTONETWORKAcfleischer EPM Heap Corruption Mitigation DS Windows 7 Architecture x64 Traps Version 3 2 0 2736 Process Hash N A Latest Note Retrieve the prevention data from Create an exclusion rule automatically from this prevention the computer t Create O 30 01 2015 15 52 PANWDMSOYZIHQ PALOALTONETWORKAcfl Windows 7 30 01 201515 50 PANWDMSOYZ1HO PALOALTONETWORKAcfl Windows 7 30 01 20159 46 PANWDMSOYZ1HO N A Windows 7 30 01 20159 33 PANWDMSOYZ1HO N A Windows 7 gt m lt 4 Page 1 ofS EPM malware Execution Prot 3 2 0 2736 OUTLOOK Heap Corruptio Additional Information Create an exclusion of the hash automatically from this prevention ED CZD 3 2 0 2736 OUTLOOK Heap Corruptio 3 2 0 2736 OUTLOOK Heap Corruptio 3 2 0 2736 OUTLOOK Process Crashed 3 2 0 2736 OUTLOOK Process Crashed La tabla siguiente describe los campos y acciones que est n disponibles para cada amenaza Protecci n avanzada del endpoint Gu a de
124. ccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 127 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Creaci n de un mensaje de prevenci n personalizado tion Alert Ny No no no Not in my house i Application name Microsoft NET Framework 4 0 Setup Application publisher Microsoft Corporation verified Prevention description Attempted execution of executable from restricted loc For additional informatio o stem administrator Traps muestra im genes de notificaci n cuando la conducta de notificaci n se configura para alertar al usuario Utilice una regla de ajustes de agentes para personalizar el t tulo pie e imagen de pantalla para el mensaje emergente de prevenci n que Traps muestra cuando se produce la conducta activa una notificaci n de alerta Creaci n de un mensaje de notificaci n personalizado Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Personalice una o m s opciones de 1 Seleccione Mensaje de notificaci n en la lista desplegable mensajes de notificaci n 2
125. cione la Consola o haga doble clic en el icono e Ejecute CyveraConsole exe desde la pantalla de instalaci n de Traps Se inicia la consola de Traps Paso 2 Se muestran los eventos de seguridad 1 Seleccione Avanzado gt Eventos para visualizar los eventos de seguridad del endpoint 2 Utilice las flechas ascendente y descendente para desplazarse a trav s de la lista de eventos 154 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado del estado de los endpoints Monitorizado del estado de los endpoints Ver detalles de estado de los endpoints Ver detalles de estado de Traps Ver el historial de reglas de un endpoint Ver cambios en la pol tica de seguridad del endpoint Ver el historial de estado de servicio de un endpoint gt gt gt gt p gt Eliminaci n de un endpoint de la p gina de estado Ver detalles de estado de los endpoints Desde la consola ESM seleccione Monitorizar gt Estado para mostrar una lista de los endpoints de la organizaci n y el correspondiente estado de seguridad Health M 4 Page 1 ofl Heartbeat Computer Last User Agent IP Domain OS gt O A 30 01 20151555 PANWDMSOYZ1HQ cfleischer 3 2 0 2736 10 35 35 205 PALOALTONETWORK Windows 7 Computer PM USER1 PC Agent Policy and Service Status Agent Policy v OS Windows T Architecture x64 Time Source Rule Name Description Status Status I Running 11 02 15 1443 Remote disable sp Active
126. cita a la base de datos una lista de servidores conocidos y env a esa lista a los agentes de Traps r pidamente ntes de iniciar una conexi n Traps determina cu l de los servidores puede conectarse con mayor rapidez e intenta establecer una conexi n Si Traps no puede establecer una conexi n baja en la lista hasta poder establecer una conexi n con el servidor ESM Si se elimina o se deshabilita temporalmente un servidor ESM la consola ESM actualiza la lista de servidores ESM disponibles y la env a a los agentes de Traps r pidamente En situaciones que requieren un equilibrador de carga para gestionar el tr fico entre m ltiples servidores ESM se puede a adir la direcci n IP y el nombre del host del equilibrador de carga en el lugar del servidor o servidores ESM en la consola ESM De ese modo el servidor ESM env a la direcci n IP del equilibrador de carga como un servidor disponible Los agentes de Traps pueden entonces establecer conexiones a trav s del equilibrador de carga en vez de una conexi n directa con el servidores o servidores ESM Tambi n se puede definir la carpeta forense por defecto que Traps utilizar s no se puede acceder a la carpeta asociada con el servidor ESM A Requisitos del sistema A Limitaciones A Gestionar servidores ESM Requisitos del sistema Todos los servidores ESM deben cummplir los requisitos especificados en Requisitos previos para la instalaci n del servidor ESM Limitaciones
127. clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Acciones de agentes Desde ah puede Duplicar Borrar o Desactivar la regla seg n sea necesario Desinstalaci n o actualizaci n de Traps en el endpoint Cree una nueva regla de acciones de agente para desinstalar Traps de objetos de destino o actualizar Traps usando el software accesible desde la consola ESM Desinstalaci n o actualizaci n de Traps en el endpoint Paso 1 Inicie una nueva regla de acci n Seleccione Ajustes gt Acciones de agentes y a continuaci n A adir una nueva regla Paso 2 Defina las tareas que se van a realizar en Traps en los endpoints Seleccione Instalaci n de agentes en la lista desplegable Tareas y seleccione una de las siguientes acciones e Desinstalar e Actualizar desde la ruta Vaya al archivo ZIP de instalaci n y haga clic en Cargar 114 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de reglas de acci n de Traps Desinstalaci n o actualizaci n de Traps en el endpoint Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n
128. con el nombre ESMServerBackup y encriptaci n SSL para ambos servidores introduzca lo siguiente msiexec i c linstallltraps msi qn CYVERA SERVER ESMServer USE SSL PRIMARY 1 USE_BACKUP_SERVER 1 CYVERA_BACKUP_SERVER ESMServer Backup USE_SSL BACKUP 1 fa Se recomienda reiniciar el ordenador tras finalizar la instalaci n Para desinstalar Traps y una salida verbose del log a un archivo llamado uninstallLogFile txt introduzca lo siguiente msiexec x c install traps msi UNINSTALL PASSWORD palo 1t0 l v c install uninstallLogFile txt 4 Debe especificar la propiedad UNINSTALL PASSWORD para desinstalar el paquete con xito yA 42 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Verificar una instalaci n correcta Verificar una instalaci n correcta Puede verificar si una instalaci n se ha realizado con xito en el servidor y el endpoint comprobando la conectividad entre el servidor y el endpoint en ambos lados de la conexi n A Verificar la conectividad desde el endpoint A Verificar la conectividad desde la consola ESM Verificar la conectividad desde el endpoint Tras instalar con xito Traps el agente de Traps deber poder conectarse con el servidor que ejecuta el Endpoint Security Manager Verificar la conectividad desde el endpoint Paso 1 Inicie la consola de Traps desde la barra de herramientas En la bandeja de Windows haga clic con el
129. ctivaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla forense Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Datos forenses y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Datos forenses Desde ah puede Activar o Desactivar la regla se
130. ctorio activo o endpoint en el cual se ha instalado Traps El ESM identifica los endpoints a trav s de mensajes que Traps env a al servidor Una condici n puede hacer referencia a un archivo un archivo y la versi n del archivo o una ruta de registro que debe existir en el endpoint Cuando un usuario intenta abrir un ejecutable el agente de Traps eval a las reglas de restricci n si las hay que deben aplicarse al archivo y realiza las acciones asociadas La acci n determina si el agente de Traps evitar o no la ejecuci n del archivo e informar al usuario cuando se active una regla de restricci n Puede crear o editar reglas de restricci n en el resumen Restricciones y la p gina de administraci n Pol ticas gt Malware gt Restricciones La selecci n de una regla muestra informaci n adicional acerca de la regla y otras acciones que se pueden tomar Borrar Activar Desactivar o Editar la regla Para obtener m s informaci n consulte Administraci n de restricciones en ejecutables A adir una nueva regla de restricci n Cree una nueva regla de restricci n para definir limitaciones sobre el modo en que los ejecutables se ejecutan en los endpoints A adir una nueva regla de restricci n Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Protecci n avanzada del endpoint Gu a del administrador 83 Administraci n de restricciones
131. ctualmente protegidos por Traps Por defecto la consola de Traps y Cytool muestran solo los procesos protegidos iniciados por el usuario actual Para ver los procesos protegidos iniciados por todos los usuarios especifique la opci n a La visualizaci n de procesos protegidos iniciados por todos los usuarios requiere la introducci n de la contrase a de supervisor desinstalaci n Ver procesos actualmente protegidos por Traps Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Vea los procesos protegidos iniciados por el usuario actual introduciendo el comando cytool enum Para ver procesos protegidos para todos los usuarios del endpoint especifique la opci n a e introduzca la contrase a de supervisor cuando as se le pida gt c Program FilesiPalo Alto NetworkslTraps gt cytool a enum Introducir contrase a de supervisor ID de proceso Versi n de agente 1000 3 1 1546 1468 3 1 1546 452 3 1 1546 es 176 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Administraci n de los ajustes de protecci n en el endpoint Por defecto Traps aplica protecci n a los procesos clave claves de registro archivos de Traps y servicios de Traps seg n las reglas de protecci n de servicio definidas en la pol tica de seguridad para informaci n acerca de la configuraci n de reglas de protecci n de servicios en el End
132. cundarios Por defecto se permiten los procesos secundarios generados desde un proceso protegido 1 Seleccione Procesos secundarios en la lista desplegable Restricciones 2 Seleccione el tipo de Procesos que desea restringir Protegido para mostrar procesos que protege activamente la pol tica de seguridad o Provisional y Desprotegido para mostrar procesos que est n sometidos a una ejecuci n del informe y procesos que no est n activamente protegidos por la pol tica de seguridad 3 Seleccione uno o m s procesos de la lista los que no deber n generar procesos secundarios y haga clic en A adir El proceso o procesos seleccionados aparecen en la lista Procesos seleccionados Mientras selecciona mantenga pulsada la tecla CTRL para seleccionar m ltiples procesos Para modificar las listas de procesos consulte Administraci n de procesos Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla d
133. d determina el tipo de EPM que Traps utiliza para proteger vulnerabilidades o errores del proceso y las acciones que se deben aplicar Las acciones pueden incluir especificaciones o si debe o no activarse el EPM terminar el proceso o informar al usuario acerca del evento de seguridad Cuando un evento de seguridad activa una regla el agente de Traps tambi n toma una instant nea de la memoria para la posterior investigaci n forense Encontrar un resumen de las reglas de prevenci n de exploits en la p gina Pol ticas gt Exploit gt M dulos de protecci n La selecci n de una regla de la p gina muestra informaci n adicional acerca de la regla y otras acciones que se pueden tomar Borrar Activar Desactivar o Editar la regla Para obtener m s informaci n consulte Administraci n de las reglas de protecci n de exploits Consulte al soporte de Palo Alto Networks antes de hacer ning n cambio en los EPM en las yA reglas de pol ticas de seguridad Pol tica de prevenci n de exploits por defecto Por defecto las pol ticas de seguridad del Endpoint Security Manager continenen Reglas de protecci n de exploits que se habilitan como protecci n contra ataques que aprovechan las vulnerabilidades comunes del software y exploits La tabla siguiente describe los ajustes de las pol ticas de prevenci n de exploits por defecto Para configurar nuevas reglas de prevenci n de exploits puede heredar la conducta por defecto que se muestra en
134. da del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaci n independiente Procesador Pentium 4 y superior Memoria 512MB de RAM Espacio en disco 100MB Aplicaci n de base de datos SQLite solo POC o MS SQL Para los requisitos de Traps consulte Requisitos previos para la instalaci n de Traps en un endpoint Protecci n avanzada del endpoint Gu a del administrador 11 Implementaciones peque as Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaciones peque as A Implementaciones peque as de un solo sitio A Implementaciones peque as de sitios m ltiples Implementaciones peque as de un solo sitio Endpoint Security Manager ESM Cai e Y a I 1 l I I I E i i l l l I I l l l A ib e e o e e e ed A Este escenario de implementaci n permite hasta 50 000 agentes de Traps en un entorno de un solo sitio y est compuesto de los siguientes componentes e Un servidor de base de datos dedicado e Una consola Endpoint Security Manager ESM que ejecute 3 2 para la administraci n de la pol tica de segutidad y los agentes de Traps e Dos servidores ESM que ejecuten ESM Core 3 2 uno principal y otro de respaldo en el mismo segmento de ted que el servidor de base de datos y la consola e Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiemp
135. de Traps en el endpoint Cuando un servicio o controlador est activo Cytool muestra el componente como En ejecuci n Cuando no se est ejecutando un servicio o controlador Cytool muestra el componente como Detenido Ver componentes de inicio de Traps en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso2 Para ver el estado de tiempo de ejecuci n actual de controladores y servicios de Traps utilice el comando siguiente C Program Files Palo Alto Networks Traps gt cytool runtime query Servicio Estado cyverak En ejecuci n cyvrmtgn En ejecuci n cyvrfsfd En ejecuci n cyserver En ejecuci n CyveraService Detenido 182 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Inicio o parada de los componentes de tiempo de ejecuci n de Traps en el endpoint En situaciones en las que no tiene permiso para cambiar la conducta de Traps desde el Endpoint Security Manager pero debe solucionar un problema urgente relacionado con los controladores y servicios Traps puede usar el comando cytool startup enable disable para cancelar la conducta del tiempo de ejecuci n por defecto El comando es til cuando se debe tomar una acci n inmediata para iniciar o detener todos los componentes de Traps o iniciar o detener un controlador o servicio espec fico de Traps ponen a cero cuando se reinicia el sistema Para realizar cambios en
136. de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la regla seg n sea necesario 88 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de restricciones en ejecutables Definici n de restricciones y excepciones de procesos secundarios En un intento de controlar un endpoint un atacante puede hacer que un proceso leg timo genere un proceso secundario malintencionado Defina una regla de restricci n para evitar que procesos secundarios sean activados desde uno o m s procesos Definici n de restricciones y excepciones de procesos secundarios Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Paso 2 Defina la conducta de restricci n para los procesos se
137. de sistema en Program Files Palo Alto Networks Traps y ProgramData Cyvera Para deshabilitar la protecci n de archivos Traps utilice el comando cytoo1 protect disable file La realizaci n de cambios en los ajustes de protecci n de archivos de Traps requiere la introducci n de la contrase a del supervisor cuando se le pida Habilitaci n o deshabilitaci n de ajustes de protecci n de Traps en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool 178 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Habilitaci n o deshabilitaci n de ajustes de protecci n de Traps en el endpoint Continuaci n Paso 2 Para gestionar los ajustes de protecci n de archivos de Traps en el endpoint utilice el comando siguiente C Program FilesiPalo Alto NetworksYTraps gt cytool protect enable disablel file El ejemplo siguiente muestra el resultado de la habilitaci n de la protecci n de archivos La columna Modo muestra el estado de protecci n revisado Habilitado O Deshabilitado o Pol tica cuando se utilizan los ajustes de la pol tica de seguridad local para proteger los archivos de Traps C Program FilesiPalo Alto NetworkslTraps gt cytool protect enable file Introducir contrase a de supervisor Protecci n Modo Estado Proceso Pol tica Deshabilitado Registro Pol tica Deshabilitado Archivo Habilitado Habilitado
138. del administrador 155 Monitorizado del estado de los endpoints Informes y logs Dominio El nombre del dominio del endpoint so El sistema operativo instalado en el endpoint Vista de detalles adicionales Arquitectura Tipo de arquitectura del sistema operativo SO Por ejemplo x64 ltimo heartbeat Fecha y hora del servidor que se ha comunicado por ltima vez con Traps Fecha de vencimiento de Fecha en la que vence la licencia del endpoint licencia DN base Ruta del Protocolo ligero de acceso a directorios LDAP del endpoint Bot n Detalles Seleccione Pol tica de agentes o logs Estado de servicio de la lista desplegable y haga clic en Detalles para revisar la lista completa para el endpoint Para m s informaci n consulte Ver el historial de reglas de un endpoint y Ver el historial de estado de servicio de un endpoint Seleccione la lista de nuevo para ocultar la vista de detalles adicionales Ver detalles de estado de Traps La consola muestra los servicios activos e inactivos mostrando un 4 o S a la izquierda del tipo de servicio Seleccione la pesta a Avanzado para mostrar pesta as adicionales a lo largo de la parte superior de la consola Las pesta as le permiten navegar a p ginas que muestran detalles adicionales acerca de eventos de seguridad procesos protegidos y actualizaciones para la pol tica de seguridad Normalmente un usuario no necesita ejecutar la consola de Traps pero
139. del b fer una t cnica de ataque com n que explota el c digo que no aplica las restricciones de tama o del b fer Un cambio en el tama o de la cookie de seguridad que se utiliza para asignar el espacio indica que la pila puede estar desbordada el proceso se termina si se detecta un valor diferente 70 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de las reglas de protecci n de exploits Mitigaci n de da os en la pila Corrupci n de Evita que se disparen las vulnerabilidades de da os en la pila como memoria las de tipo double free Protecci n de parches Fallo l gico de Evita el uso de una nueva t cnica que utiliza funciones del sistema activos software para evitar la DEP y la ASLR Address Space Layout Randomization Asignaci n previa de librer a Fallo l gico de Aplica la relocalizaci n de m dulos espec ficos que suelen utilizar software los intentos de exploit Comprobaci n de Heap Spray de l mite de memoria Corrupci n de memoria Detecta instancias de heap sprays utilizando nuestro algoritmo exclusivo cuando se produce un incremento repentino en el consumo de memoria indicativos de exploits en curso Protecci n de desreferencia nula Corrupci n de Evita que el c digo malintencionado mapee a direcci n cero en el memoria espacio de memoria haciendo que no se puedan atacar las vulnerabilidades de desreferencia nula DLL
140. dos los archivos ejecutables y los usuarios y o m quinas que han intentado abrir en su organizaci n Puede hacer una copia de seguridad peri dicamente de uno o m s hashes exportando el registro o registros a un archivo Protecci n avanzada del endpoint Gu a del administrador 97 Administraci n de hashes ejecutables Prevenci n de malware XML La exportaci n del registro o registros de los hashes tambi n puede ser de utilidad ante de migrar o actualizar a un nuevo servidor La importaci n de los registros de hashes a ade cualquier hash nuevo a la tabla de control de hashes existente Hash Control EEE pm fren veras i is a Pana 1 0f18 al E Export selected E Export all 3 Import hashes 1341231411700 No Connection None 18 12 2014 11 02 25 02 2015 12 22 11673 verm pryse exe Ww fc075f7b39e86 No Connection None 18 12 2014 9 33 25 02 2015 12 21 2985 3 SPppsvC exe spp 9c36a08d9e79 No Connection None 18 12 2014 9 13 25 02 2015 12 11 2023 3 GoogleUpdate e 499a803de149 No Connection None 11 02 2015 13 07 25 02 2015 12 08 409 2 taskhost exe tas gt E 00330a0e0eb No Connection None 18 01 2015 23 49 25 02 2015 11 36 6 2 BdeUISrv exe Bd gt E 00d2ce2c35e8 No Connection None 18 12 2014 14 30 25 02 201511 36 9 2 AcroRd32 exe A gt a 021d7ce4d95a Benign None 10 01 2015 17 30 25 02 2015 11 36 11 3 Ipremove exe lpr Exportaci n e importaci n de archivos de hashes Paso 1 En
141. dos PID 1592 y 1000 Las diferencias entre las dos pol ticas se muestra en rojo C Program FilesiPalo Alto NetworkslTraps gt cytool policy compare 1592 1000 Introducir contrase a de supervisor Gen rico Habilitar 0x00000001 0x00000001 SuspendOnce 0x00000001 0x00000001 AdvancedHooks 0x00000001 0x00000001 DllSec Habilitar 0x00000001 0x00000000 Optimizar 0x00000001 0x000000011 Protecci n avanzada del endpoint Gu a del administrador 185 Soluci n de problemas de Traps Soluci n de problemas Soluci n de problemas de Traps Este tema est dirigido a los siguientes problemas relacionados con Traps A Por qu no puedo instalar Traps A Por qu no puedo actualizar o desinstalar Traps A Por qu no se puede conectar Traps con el servidor ESM A C mo soluciono un error de certificado de servidor de Traps Por qu no puedo instalar Traps S ntoma Configuraci n de Traps informa del error siguiente No se ha podido iniciar el servicio Traps CyveraService Verifique que tiene los privilegios suficientes Causas posibles e No tiene privilegios administrativos para iniciar servicios en el endpoint Soluci n Despu s de cada paso del procedimiento siguiente verifique si puede instalar Traps Si Traps sigue informando de un ertor proceda con cada paso posterior hasta solucionar el problema Soluci n Por qu no puedo instalar Traps Paso 1 Verifique
142. dpoint usando Msiexec Paso 9 Verifique si la instalaci n se ha realizado Verificar una instalaci n correcta correctamente 26 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Actualizaci n de la infraestructura de endpoints Actualizaci n de la infraestructura de endpoints Utilice el siguiente flujo de trabajo para configurar la infraestructura de endpoints Tarea C mo obtener m s informaci n Paso 1 Revise los requisitos previos del software Consideraciones de instalaci n de la infraestructura de endpoints Requisitos previos para la instalaci n del servidor ESM Requisitos previos para la instalaci n de Traps en un endpoint Paso 2 Instale el software del servidor ESM Instalaci n del software del servidor Endpoint Security Manager Paso 3 Instale el software de la consola ESM Instalaci n del software de la consola Endpoint Security Manager Paso 4 Instale la pol tica de seguridad b sica Carga de las pol ticas de seguridad b sicas Paso 5 Instale Traps en los endpoints Instalaci n de Traps en el endpoint Paso 6 Verifique si la instalaci n se ha realizado Verificar una instalaci n correcta correctamente Advanced Endpoint Protection Administrator s Guide 27 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps Configuraci n del Endpoint Security Manager Consideraciones de instalaci n de la infr
143. e banda de red inactiva para cargar los datos en la carpeta forense Para analizar un evento de seguridad cree una regla de acci n para obtener los datos forenses del endpoint consulte Gesti n de datos recopilados por Traps Cuando Traps recibe la solicitud de env o de datos copia los archivos en la carpeta forense tambi n denominada en el Endpoint Security Manager carpeta de cuarentena que es una ruta local o de red que se especifica durante la instalaci n inicial Protecci n avanzada del endpoint Gu a del administrador 135 Administraci n de reglas y ajustes forenses Datos forenses Puede cambiar la ruta de la carpeta forense en cualquier momento usando el Endpoint Security Manager o la herramienta de configuraci n DB consulte Cambio del destino de la carpeta forense utilizando la herramienta de configuraci n DB Todos los endpoints deben tener permiso de escritura para esta carpeta Cambio del destino de la carpeta forense utilizando la consola ESM Paso 1 Seleccione Configuraci n gt General y a continuaci n seleccione Configuraci n del servidor de la lista desplegable Paso 2 Introduzca la URL basada en la web en el campo URL de carpeta forense con el fin de utilizar BITS para cargar los datos forenses Por ejemplo http ESMserver 80 BitsUploads Si utiliza SSL incluya el nombre de dominio totalmente cualificado FQDN en la ruta por ejemplo 15 1 https ESMserver Domain local 443 BitsUploads
144. e Directory Lightweight Directory Services Progress Active Directory Rights Management Services J Application Server DHCP Server DNS Server Fax Server Results L Hyper V _ Network Policy and Access Services _ Print and Document Services _ Windows Deployment Services _ Windows Server Update Services More about server roles a a 3 Haga clic en Siguiente Paso 4 Confirme los servicios de instalaci n 1 Verifique que aparecen los servicios de desarrollo de aplicaciones en la lista de Selecciones de instalaci n y haga clic en Instalar 2 Cierre el asistente Habilitaci n de servicios web en Windows Server 2012 Para habilitar los servicios web en Windows Server 2012 debe instalar NET Framework 3 5 y 4 5 Habilitaci n de servicios web en Windows Server 2012 Paso 1 Abra Server Manager en Windows Server 1 Seleccione Server Manager en el men Inicio 2 Seleccione A adir roles y caracteristicasy haga clic en Siguiente Paso 2 Seleccione el tipo de instalaci n Seleccione Instalaci n basada en roles o basada en caracter sticas y haga clic en Siguiente Paso 3 Especifique el servidor Advanced Endpoint Protection Administrator s Guide Seleccione el servidor del grupo de servidores y haga clic en Siguiente 29 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps Habilitaci n de servicios web en Wind
145. e de datos 1 CyveraLicense xml ruta completa gt DBConfig exe 1 2 3 Escribe una configuraci n para la base de datos 1 Tipo de configuraci n Servidor Reflector UserManagement 2 Nombre clave 3 Valor gt DBConfig exe 1 mostrar Muestra los valores de una configuraci n espec fica 1 Tipo de configuraci n Servidor Reflector UserManagement Ejemplos gt DBConfig exe importLicense c 1FoldernamelCyveraLicense xml gt DBConfig exe server inventoryinterval 200 gt DBConfig exe muestra el servidor Informaci n Informaci n 174 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Cytool Cytool es una interfaz de l neas de comando que se integra en Traps y le permite consultar y administrar funciones b sicas de Traps Los cambios realizados usando Cytool se activan hasta que Traps recibe la siguiente comunicaci n heartbeat del servidor ESM Puede acceder a la herramienta Cytool utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador Cytool se encuentra en la carpeta Traps en el endpoint Utilice Cytool para realizar las funciones siguientes A Acceso a Cytool Ver procesos actualmente protegidos por Traps A A Administraci n de los ajustes de protecci n en el endpoint A Administraci n de controladores Traps y servicios en el endpoint A Ver y comparar las pol ticas de seguridad en un endpoint Acceso a Cytool Para ver
146. e el agente de Traps env a al servidor ESM Estado de Traps El agente de Traps env a peri dicamente mensajes al servidor ESM para indicar que est operativo y para solicitar la pol tica de seguridad m s reciente Las p ginas de notificaciones y estado del Endpoint Security Manager muestran el estado de cada endpoint Por defecto la duraci n entre mensajes conocido como periodo heartbeat es de cinco minutos el periodo heartbeat es configurable Notificaciones El agente de Traps env a mensajes de notificaci n sobre los cambios del agente al servidor ESM por ejemplo cu ndo se inicia o se detiene un servicio El servidor almacena logs de estas notificaciones en la base de datos Pueden verse las notificaciones en el Endpoint Security Manager Por defecto Traps env a notificaciones cada dos horas Actualizar mensajes Un usuario final puede solicitar una actualizaci n inmediata de las pol ticas haciendo clic en el bot n Registrar ahora de la consola de Traps Esto hace que el agente de Traps solicite la pol tica de seguridad m s reciente al servidor ESM sin esperar a que transcurra el periodo heartbeat Informes de prevenci n Si ocurre un evento de prevenci n en un endpoint en el que se ha instalado un agente de Traps el agente env a toda la informaci n relacionada con el evento al servidor ESM en tiempo real Base de datos La base de datos almacena informaci n administrativa reglas de las pol ticas d
147. e en la tabla de las reglas de prevenci n de malware Paso 2 Inicie o modifique una regla de A ada una nueva regla o seleccione y Edite una regla existente prevenci n de malware Paso 3 Habilite la protecci n de suspensi n para 1 Seleccione Protecci n de suspensi n en la lista desplegable un proceso individual o para todos los 2 Solo reglas nuevas Para configurar la protecci n de suspensi n procesos para un proceso principal seleccione la opci n para Seleccionar un proceso e introduzca el nombre del proceso en el campo facilitado De lo contrario deje el valor por defecto para aplicar la protecci n de suspensi n a Todos los procesos 106 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de las reglas de protecci n de malware Configuraci n de la protecci n de suspensi n Continuaci n Paso 4 Defina los ajustes de la protecci n de suspensi n Para heredar los ajustes de la pol tica por defecto habilite el m dulo y vaya a Paso 5 Alternativamente cancele los ajustes por defecto para personalizar la configuraci n de protecci n de suspensi n seg n proceda para su organizaci n 1 Habilite o Deshabilite el m dulo de protecci n de suspensi n seleccionando la Activaci n de m dulos E Solo se pueden configurar ajustes de m dulos FLA adicionales cuando el m dulo est habilitado 2 Configure la acci n que se va a tomar cuando
148. e las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 119 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Definici n de las preferencias de logging de eventos El log de eventos de Windows guarda eventos de aplicaciones seguridad y el sistema que pueden ayudarle a diagnosticar la fuente de problemas del sistema Utilice el asistente de ajustes de agentes para especificar si enviar o no eventos de seguridad encontrados por Traps al log de eventos de Windows para definir un rango de tama o para la carpeta de almacenamiento local temporal que Traps utiliza para almacenar informaci n de eventos Definici n de las preferencias de logging de eventos Paso 1 Inicie una nueva regla de ajustes de agentes Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir una nueva regla Paso 2 Defina los ajustes de logging de eventos para los endpoints Seleccione Logging de eventos en la lista desplegable Ajustes de agentes 2 Realice una o m s de las siguientes acciones e Seleccione la
149. e reglas y ajustes de WildFire e Administraci n de restricciones en ejecutables e Administraci n de reglas de acci n de Traps e Administraci n de las reglas de ajustes de agentes e Administraci n de reglas y ajustes forenses A adir condiciones de activaci n de la regla es decir condiciones Condiciones que el endpoint debe cumplir para una regla Definir los objetos de destino usuarios equipos unidades de la Objetos de destino organizaci n grupos y endpoints Proporcionar un nombre descriptivo para la regla Nombrar o renombrar una regla Guardar y opcionalmente activar la regla e Guardar reglas e Administraci n de reglas guardadas Deshabilitar o habilitar todas las reglas de protecci n Deshabilitar o habilitar todas las reglas de protecci n Condiciones A Definici n de condiciones de activaci n para una regla A Borrado o modificaci n de una condici n de regla Definici n de condiciones de activaci n para una regla Las condiciones de activaci n de reglas son condiciones que debe cumplir el endpoint para la aplicaci n de una regla en un endpoint Para cada condici n se puede especificar una ruta de archivo ejecutable una ruta de archivo ejecutable y la versi n del archivo o una ruta de registro que debe existir en el endpoint 58 Protecci n avanzada del endpoint Gu a del administrador Primeros pasos con las reglas Componentes y acciones comunes de las reglas Definici
150. e restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 89
151. e seguridad Seleccione Seguridad Eventos gt Log de errores de seguridad para mostrar eventos de seguridad relacionados con la conducta del agente y la seguridad del endpoint El evento incluye cambios en el servicio como el inicio o parada de un servicio En raras ocasiones el log de errores de seguridad tambi n puede mostrar problemas encontrados durante la protecci n de un proceso en el que falla o se bloquea la inyecci n Security Error Log v M 4 Page 1 of6 Machine Name Message Severity Report Type 197 OR PC 195 PANW9RM8JX1HQ 193 PANW9RM8JX1HQ Process Name LogonUl exe Protected False Error Low ProcessCrashed 07 08 2014 18 30 12 message Faulting application name LogonUl exe version 6 3 9600 16384 time stamp 0x5215f6c5 Faulting module name MSVCR90 dll version 9 0 30729 8387 time stamp 0x51ea1bbd Exception 0x000000000001e3f0 Faulting process id 0x27e0 Faulting application start time 0x01cfb2a5f8ef5e23 Faulting application path CAWindows1system321LogonUI exe Faulting module path CAWindowsWinSxStamd64_microsoft vc90 crt 1f Report Id 8a5599ba 1e9b 11e4 8269 707a91042b4d Faulting package full name Faulting package relative application ID Service was stopped Low ServiceStopped 07 08 2014 11 35 58 Service was stopped Low ServiceStopped 07 08 2014 11 35 58 La tabla siguiente describe los campos mostrados en el log de errores de seguridad 152 Protecci n avanzada del endpoint Gu a del administr
152. e seguridad historial de los endpoints y otras informaciones sobre eventos de seguridad La base de datos se gestiona mediante la plataforma MS SQL Cada base de datos requiere una licencia y puede comunicarse con uno o m s servidores ESM Las base de datos puede instalarse en el mismo servidor que la consola ESM y el servidor ESM por ejemplo en un entorno independiente o puede instalarse en un servidor dedicado KJ Durante la etapa de prueba de concepto tambi n es compatible la base de datos SQLite Protecci n avanzada del endpoint Gu a del administrador 5 Componentes de la protecci n avanzada del endpoint Descripci n general de la protecci n avanzada del endpoint Endpoints Un endpoint es un equipo servidor m quina virtual o dispositivo m vil basado en Windows que ejecuta la aplicaci n de protecci n en el lado del cliente denominada Traps Para conocer los requisitos previos consulte Requisitos previos para la instalaci n de Traps en un endpoint Traps Traps est compuesto de una consola que incluye una aplicaci n de interfaz de usuario un agente que protege el endpoint y se comunica con el servidor ESM y el servicio que obtiene los datos forenses El agente de Traps protege el endpoint implementando la pol tica de seguridad definida para la organizaci n en el Endpoint Security Manager Cuando un usuario crea o abre un proceso protegido en el endpoint el agente de Traps inyecta sus controladores en el proceso en la et
153. ec fico e indica que el archivo es desconocido Si su pol tica de seguridad est configurada para bloquear todos los archivos desconocidos y usted cree que el archivo es benigno puede cancelar la pol tica para permitir la ejecuci n de un archivo espec fico sin alterar la pol tica global M s tarde si WildFire devuelve un nuevo veredicto que indica que el archivo ha sido analizado y se ha determinado que es malintencionado ver la notificaci n en la p gina de control de hashes En ese caso puede eliminar la cancelaci n y permitir que pol tica de seguridad bloquee el archivo malintencionado Gesti n de las decisiones de WildFire Paso 1 Cancelaci n de la decisi n local de 1 En la consola ESM seleccione Pol ticas gt Malware gt Control WildFire para un hash de hashes 2 Opcional Introduzca el hash o el nombre del proceso en el cuadro de b squeda y pulse Intro 3 Seleccione el hash de proceso Para cancelar el veredicto de WildFire haga clic en Permitir para permitir la ejecuci n del archivo o Bloquear para bloquear la ejecuci n de un archivo Protecci n avanzada del endpoint Gu a del administrador 99 Administraci n de hashes ejecutables Prevenci n de malware Gesti n de las decisiones de WildFire Continuaci n Paso 2 Visualice los cambios de veredictos de WildFire para tomar decisiones sobre si se elimina o no una cancelaci n local En intervalos preconfigurados el servidor ESM
154. ecci n de suspensi n protege contra una t cnica de malware com n en la que el atacante crea procesos en un estado suspendido para inyectar y ejecutar el c digo antes de iniciarse el proceso Cuando est habilitado el m dulo de protecci n de suspensi n protege todos los procesos contra ataques de protecci n de suspensi n y utiliza listas blancas para permitir que procesos leg timos comunes se inyecten en otros procesos y o m dulos Las reglas de pol ticas por defecto para la protecci n de suspensi n suelen almacenarse en la carpeta C Program Files Palo Alto Networks Endpoint Security Manager Web KnowledgeBase Malware modules SuspendGuard pero puede ser diferente si se ha especificado una localizaci n alternativa para la instalaci n Puede ver los archivos de esta carpeta para determinar si existe un archivo base de pol tica de protecci n de suspensi n para el proceso Tenga cuidado a la hora de configurar nuevas reglas de protecci n de suspensi n para evitar la cancelaci n de la pol tica por defecto lo que causar inestabilidad en el sistema operativo Para m s informaci n acerca de la configuraci n de reglas de prevenci n de malware p ngase en contacto con el equipo de soporte o su ingeniero de ventas Protecci n avanzada del endpoint Gu a del administrador 105 Administraci n de las reglas de protecci n de malware Prevenci n de malware Si el proceso no est ya protegido pot la pol tica de seguridad por d
155. eccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la re
156. eccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de ajustes de agentes Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una d
157. ecutando en el endpoint e Windows XP En el men de inicio seleccione Panel de control gt Herramientas administrativas gt Servicios e Windows Vista y posterior En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios 2 Localice el servicio de Traps denominado CyveraService en versiones anteriores de Traps y verifique que el estado del servicio sea Iniciado 3 Si el estado del servicio es Detenido haga doble clic en el servicio y seleccione Inicio Haga clic en Cerrar 188 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Soluci n de problemas de Traps Soluci n Por qu no se puede conectar Traps con el servidor ESM Continuaci n Paso 3 Verifique que el servicio b sico del Endpoint Security Manager se est ejecutando en el servidor ESM Paso 4 Verifique que puede llegar al servidor ESM desde el endpoint 1 Abra el administrador de servicios e Windows Server 2008 En el men de inicio seleccione Panel de control gt Herramientas administrativas gt Servicios e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios 2 Localice el servicio b sico del Endpoint Security Manager denominado CyveraServer en versiones anteriores del Endpoint Security Manager y verifique que el estado del servicio se
158. efecto puede crear una nueva regla que habilite la protecci n de suspensi n para un proceso que utilice los ajustes de protecci n de suspensi n por defecto o puede configurar los ajustes seg n sea necesario para su pol tica de seguridad Los ajuste incluyen el nombre del proceso Activaci n de m dulos Habilitar o Deshabilitar Modo de proceso fuente Terminar o Notificar Notificaci n al usuario On u Off y permitir m dulos de funci n que puede invocat a procesos secundarios Si el proceso ya est protegido por la pol tica de seguridad por defecto recomendamos importar la pol tica de protecci n de suspensi n por defecto como nueva regla y realizar cambios para adecuarla a su organizaci n De este modo cuando se activa la pol tica cancela la pol tica por defecto pero sigue conteniendo los ajustes de configuraci n por defecto adem s de los cambios realizados Configuraci n de la protecci n de suspensi n Paso 1 Opcional Importe una copia de la 1 Seleccione Pol ticas gt Malware gt M dulos de protecci n pol tica por defecto Esto es necesario 2 Enel men amp seleccione Importar reglas solo pata procesos que ya est n w p P qey H 3 Vaya a los archivos de pol ticas por defecto de la carpeta Traps protegidos por la configuraci n por a 5 f para acceder al proceso fuente deseado y haga clic en Cargar defecto y evita que se sobrescriba la pol tica por defecto La regla importada aparec
159. egla de A ada una nueva regla o seleccione y Edite una regla existente prevenci n de malware Paso 3 Habilite la protecci n de inyecci n de Seleccione Inyecci n de subprocesos en la lista desplegable subprocesos para un proceso individual o N Solo reglas nuevas Para configurar la protecci n de inyecci n para todos los procesos de subprocesos para un proceso principal seleccione la opci n para Seleccionar un proceso e introduzca el nombre del proceso en el campo facilitado De lo contrario deje el valor por defecto para aplicar la protecci n de inyecci n de subprocesos a Todos los procesos Paso 4 Opcional Defina los ajustes de inyecci n 1 Habilite o Deshabilite el m dulo de inyecci n de subprocesos de subprocesos utilizando los ajustes seleccionando la Activaci n de m dulos heredados Solo se pueden configurar ajustes de m dulos Para utilizar los ajustes definidos por la El adicionales cuando el m dulo est habilitado pol tica por defecto habilite el m dulo y 2 Configure la acci n que se va a tomar cuando un proceso fuente vaya a Paso 5 intenta inyectarse en otro proceso Modo de proceso fuente Alternativamente cancele los ajustes por e Heredar Hereda la conducta de la pol tica por defecto 3 s defecto para personalizar la configuraci n e Terminar Termina el proceso de inyecci n de subprocesos seg n proceda para su organizaci n e Notificar Hace un log del problema y
160. ejemplo esto significa que despu s de cinco minutos 300 segundos durante el que el servidor ESM no recibe comunicaci n del endpoint el Endpoint Security Manager informa del estado del endpoint como desconectado Protecci n avanzada del endpoint Gu a del administrador 169 Administraci n de preferencias de informes y logging Informes y logs 170 Protecci n avanzada del endpoint Gu a del administrador 2 Soluci n de problemas Recursos para la soluci n de problemas de la protecci n avanzada del endpoint Herramienta de configuraci n de bases de datos Cytool Soluci n de problemas de Traps gt gt gt gt p gt Soluci n de problemas de la consola ESM Protecci n avanzada del endpoint Gu a del administrador 171 Recursos para la soluci n de problemas de la protecci n avanzada del endpoint Soluci n de problemas Recursos para la soluci n de problemas de la protecci n avanzada del endpoint Para la soluci n de problemas de los componentes de la Protecci n avanzada del endpoint incluidos Traps y el Endpoint Security Manager utilice los siguientes recursos Endpoint Security Manager Interfaz web que proporciona informes y logs La informaci n es til para el monitorizado y la filtraci n de logs e interpretar conductas inusuales en su red Tras analizar un evento de seguridad puede crear una regla personalizada para el endpoint O proceso Log DebugWeb Indica informaci n advertencias
161. el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso7 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 8 Guarde la regla de prevenci n de malware Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt M dulos de protecci n y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt M dulos de protecci n Desde ah puede Borrar o Desactivar la regla seg n sea necesario Configuraci n de la protecci n de suspensi n La prot
162. el Equipo de inteligencia de subprocesos de Palo Alto Networks y de los clientes de WildFire actualiza su base de datos expansiva de hashes y vetedictos Para mantener un cach actualizado de hashes y veredictos de WildFire el servidor ESM consulta peri dicamente a WildFire los cambios en los veredictos por ejemplo de benignos a malintencionados El servidor ESM consulta a WildFire en lotes de hasta 500 hashes nicos en relaci n con archivos desconocidos una vez cada 30 minutos y tambi n consulta a WildFire acerca de archivos malintencionados y benignos conocidos cuyo veredicto ha cambiado en los ltimos 30 d as La consulta de cambios en los veredictos de archivos conocidos se ejecuta cada 1440 minutos 24 horas Utilice la consola ESM para cambiar la frecuencia de consultas y cambiar el n mero de d as en los que WildFire debe volver a buscar veredictos cambiados Actualizaciones manuales de veredictos Puede obtener un informe WildFire detallado para cada archivo ejecutable benigno o malintencionado analizado por WildFire consulte Visualizaci n de informes de WildFire El informe contiene informaci n de archivos un resumen de conducta acerca del ejecutable y detalles sobre la red y la actividad del host Utilice la informaci n del informe de WildFire para ayudarle a decidir si cancelar o revocar un veredicto La anulaci n de un veredicto solo cambia el veredicto para una archivo espec fico en el cach del servidor y no afect
163. eleccione Aprendizaje para permitir que el usuario abra un ejecutable malintencionado y haga un log del problema pero sin informar al usuario En la lista desplegable Notificaci n al usuario especifique si Traps informar al usuario acerca del ejecutable seleccionando On u Off Seleccione una de las siguientes opciones del cambio Sin conducta de comunicaci n para especificar lo que debe hacer el endpoint si no puede llegar al servidor ESM o WildFire Por defecto Traps intenta consultar a WildFire cada 2 horas 120 minutos e Seleccione Continuarpara permitir la apertura de un archivo ejecutable si Traps no puede llegar al servidor ESM o WildFire para verificar la seguridad del archivo e Seleccione Terminarpara bloquear un archivo ejecutable si Traps no puede llegar al servidor ESM o WildFire para verificar la seguridad del archivo Seleccione la Conducta de proceso desconocido la conducta de Traps cuando WildFire no reconoce un proceso e Seleccione Continuar para permitir que un usuario abra un ejecutable desconocido e Seleccione Terminar para bloquear un ejecutable desconocido Protecci n avanzada del endpoint Gu a del administrador 95 Administraci n de reglas y ajustes de WildFire Prevenci n de malware Configuraci n de una regla de WildFire Continuaci n Paso 4 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n s
164. eleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 5 Opcional Defina el Objetos de destino al que se aplica la regla de WildFire Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 6 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 7 Guarde la regla de WildFire Proceda con una de las sig
165. en ejecutables Prevenci n de malware A adir una nueva regla de restricci n Continuaci n Paso 2 Seleccione el tipo de regla de restricci n que desea a adir Seleccione uno de los siguientes y configure los ajustes seg n el tipo de restricci n Conducta de carpetas locales Para m s informaci n consulte Carpetas locales no permitidas Conducta de carpetas de red Pata m s informaci n consulte Lista blanca de carpetas de red e Medios externos Para m s informaci n consulte Definici n de restricciones y excepciones de medios externos e Procesos secundarios Para m s informaci n consulte Definici n de restricciones y excepciones de procesos secundarios e Java Para m s informaci n consulte Definici n de restricciones y excepciones de Java e Ejecutables sin firma Para m s informaci n consulte Definici n de restricciones y excepciones de ejecutables sin firma Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una reg
166. en un evento del rea Modo provisional para saltar a una vista filtrada de la p gina Monitor gt Modo provisional para eventos de ese tipo Por defecto la p gina Modo provisional muestra eventos relacionados con los m dulos siguientes Para obtener m s informaci n consulte Ver detalles de modo provisionales Log de errores de Muestra todos los errores y problemas recientes que los que informan los endpoints seguridad de su organizaci n Haga clic en cualquier tipo de error en la p gina Resumen para realizar una filtraci n por errores de ese tipo Para obtener m s informaci n consulte Ver detalles de log de errores de seguridad Ver detalles de amenazas Seleccione Eventos de seguridad gt Amenazas para visualizar una lista de las amenazas que han ocurrido en su red Desde esta p gina puede ver detalles relacionados con eventos de seguridad crear y ver notas acerca del evento recuperar datos de logs acerca del evento del endpoint o crear una regla de exclusi n para permitir la ejecuci n del proceso en un endpoint particular Por defecto la vista de detalles est ndar de la p gina Amenazas ofrece una tabla de eventos de seguridad con campos mostrados a lo largo de la parte superior Al seleccionar un evento en la tabla Amenazas se expande la hilera para mostrar detalles adicionales en relaci n con el evento de seguridad Tambi n puede exportar los logs a un archivo CSV haciendo clic en el icono del men y sele
167. ensaje de notificaci n personalizado Continuaci n Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de ajustes de agentes Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre y borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah
168. eredicto correspondiente en el cach del servidor Protecci n avanzada del endpoint Gu a del administrador 79 Flujo de prevenci n del malware Prevenci n de malware B squeda en el cach del servidor en el servidor ESM Tras recibir una solicitud de veredicto de hash el servidor ESM realiza una b squeda en su cach de servidor El cach del servidor contiene veredictos para todos los archivos ejecutables que se han abierto en todos los endpoints de su organizaci n Si la b squeda de hashes devuelve un veredicto malintencionado o benigno el servidor ESM comunica el veredicto a Traps en la siguiente comunicaci n heartbeat Si el archivo resulta ser benigno Traps permite al usuario abrir el ejecutable Si el archivo es malintencionado Traps realiza un log del evento de seguridad y gestiona el archivo seg n la pol tica de seguridad para archivos malintencionados generalmente el bloqueo Si el valor hash del cach del servidor es desconocido o el hash no se corresponde con un veredicto conocido el servidor ESM hace una consulta a WildFire B squeda en WildFire WildFire guarda veredictos para cada uno de los archivos enviados y o analizados por WildFire El servidor ESM consulta a WildFire cada 30 minutos o en un intervalo preconfigurado seg n sus preferencias para obtener veredictos de hash para archivos cuyos veredictos son desconocidos en el cach del servidor Si WildFire devuelve un veredicto que indica que un arch
169. erver 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Cortafuegos de Windows gt Ajustes avanzados b Seleccione Reglas entrantes c Cree una nueva regla para permitir que Traps se comunique con el Endpoint Security Manager en el puerto 2125 seleccionando el asistente de Nueva regla y siguiendo las instrucciones 3 Verifique que puede conectarse ahora con telnet en el puerto 2125 en el servidor ESM desde el endpoint Protecci n avanzada del endpoint Gu a del administrador 189 Soluci n de problemas de Traps Soluci n de problemas Soluci n Por qu no se puede conectar Traps con el servidor ESM Continuaci n Paso 7 Deshabilite temporalmente el 1 Abra los ajustes de Cambiar centro de acci n cortafuegos de Windows e Windows Server 2008 En el men de inicio seleccione Panel de control Haga doble clic en Centro de acci n y seleccione Ajustes de Cambiar centro de acci n e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad Haga doble clic en Centro de acci n y seleccione Ajustes de Cambiar centro de acci n 2 Deseleccione la opci n Cortafuegos de red 3 Haga clic en ACEPTAR Paso 8 Verifique que se recupera la conectividad En la consola Traps haga clic en Registrar ahora Si se establece la entre Traps y el servidor ESM conectividad el estado de conexi n aparece como Con xito Paso 9 Vea los logs
170. es consulte Definici n de condiciones de activaci n para una regla 90 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de restricciones en ejecutables Definici n de restricciones y excepciones de Java Continuaci n Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de restricci n organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p
171. esario recomendamos analizar el evento y definir una regla de seguridad espec fica para esta aplicaci n y volver a habilitar la protecci n del EPM Para obtener m s informaci n consulte Cerrar o suspender la protecci n del EPM Desinstalaci n y Cree una regla de acci n para desinstalar o actualizar Traps desde el Endpoint Security actualizaci n del Manager Para actualizar el software Traps en un endpoint cargue el archivo ZIP de software Traps software en el servidor Endpoint Security Manager y especifique la ruta cuando configure la regla de acci n Para obtener m s informaci n consulte Desinstalaci n o actualizaci n de Traps en el endpoint Actualizaci n o El Endpoint Security Manager distribuye licencias al agente de Traps Puede actualizar o revocaci n de la licencia revocar esa licencia en un endpoint en cualquier momento Para obtener m s de Traps informaci n consulte Actualizaci n o revocaci n de la licencia de Traps en el endpoint Traps no aplica reglas de acci n hasta que el agente recibe la pol tica de seguridad actualizada FLA generalmente con la siguiente comunicaci n heartbeat con el servidor Para obtener manualmente la pol tica de seguridad m s reciente del servidor ESM seleccione Actualizar ahora en la consola de Traps Puede crear o editar reglas de acci n en el resumen Acciones y la p gina de administraci n Ajustes gt Acciones de agentes La selecci n de una regla muestr
172. esario recomendamos analizar el evento y definir una regla de seguridad espec fica para esta aplicaci n y habilitar la protecci n del EPM En el caso de la suspensi n del EPM la regla habilita autom ticamente la protecci n de EPM despu s de transcurrir la duraci n especificada En el caso de cierre del EPM debe reiniciarse manualmente el endpoint para iniciar el servicio de Traps en el endpoint y volver a habilitar la protecci n del EPM Cerrar o suspender la protecci n del EPM Paso 1 Inicie una nueva regla de acci n Seleccione Ajustes gt Acciones de agentes y a continuaci n A adir una nueva regla Paso2 Defina la duraci n para la protecci n de Seleccione Servicio de agentes en la lista desplegable Tareas suspension 2 Seleccione Protecci n de suspensi n para y especifique la duraci n en minutos en la lista desplegable 10 30 60 o 180 minutos para suspender temporalmente la inyecci n de m dulos de seguridad Protecci n avanzada del endpoint Gu a del administrador 113 Administraci n de reglas de acci n de Traps Administraci n de endpoints Cerrar o suspender la protecci n del EPM Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici
173. esos Prevenci n de exploits A adir un proceso protegido provisional o desprotegido Por defecto Traps protege las aplicaciones m s vulnerables y las que se utilizan con m s frecuencia pero tambi n se pueden a adir a la lista de procesos protegidos otras aplicaciones propias y de terceros Ampliando la protecci n a las aplicaciones que son importantes para su organizaci n puede facilitar la m xima protecci n con la m nima alteraci n de las actividades diarias A ada procesos como protegidos provisionales o desprotegidos y config relos utilizando la p gina Administraci n de procesos Solo se pueden configurar reglas de prevenci n de exploits en procesos Protegidos o a Provisionales No puede cambiar los procesos Protegidos por defecto incluidos en la configuraci n inicial FLA Consulte sus dudas al equipo de soporte de Palo Alto Networks Process Management Add v is 4 Page 1 of19 gt Computers Linked Rules First Discovered On Discovery Time 0 PANWDMSOYZ1HO 30 01 2015 15 54 Process Name Protection Type gt MSIC624 exe Unprotected Process name f Computers that executed this process 1 Discovery time 30 01 2015 15 51 47 Linked Rules O First used on PANWDMSOYZ1HO SIS Unprotected ED E MSIA567 exe Unprotected 1 0 PANWDMSOYZ1HQ 30 01 2015 15 45 lodctr exe Unprotected 1 0 PANWDMSOYZ1HO 30 01 2015 15 43 A adir un proceso protegido provisional o desprotegido Paso 1 Vaya a
174. est ejecutando e Parado Se ha detenido el servicio del agente e Desconectado El servidor no ha recibido un mensaje heartbeat del agente durante un tiempo preconfigurado e Cierre Se ha cerrado el endpoint Distribuci n y versi n de Muestra la versi n de las instancias de agentes de Traps instalados en los endpoints por clientes n mero y porcentaje Capacidad de licencias Muestra la utilizaci n de las licencias de Traps para el servidor y el cliente por n mero de licencias utilizadas y disponibles Aplicaciones m s Muestra las aplicaciones que tienen la cantidad m s alta de prevenciones atacadas M quinas m s atacadas Muestra los endpoints que tienen la distribuci n m s alta de prevenciones Usuarios m s atacados Muestra los prevenciones que tienen la distribuci n m s alta por usuario final Protecci n avanzada del endpoint Gu a del administrador 147 Monitorizado de eventos de seguridad Informes y logs Monitorizado de eventos de seguridad Utilice la p gina Eventos de seguridad y sus pesta as para administrar alertas y detectar nuevas amenazas A Uso del panel de eventos de seguridad A Verel historial de eventos de seguridad en un endpoint A Exclusi n de un endpoint de una regla de prevenci n de exploits Uso del panel de eventos de seguridad Detected malware infections 0 0 Blocked memory corruption exploits 0 3 Blocked software logic flaw exploits Blocked malware activity 0
175. etalles relacionados con el EPM y el endpoint espec ficos El bot n solo est disponible para reglas de prevenci n de exploits 2 Si es necesario revise los detalles en las pesta as Procesos Condiciones Objetos y Nombre 3 Guarde y aplique la regla inmediatamente o Guarde la regla para activarla m s adelante Paso 4 Verifique que la regla de exclusi n 1 Abra la consola de Traps permite la ejecuci n del proceso en el 2 Seleccione Registrar ahora para solicitar la pol tica de endpoint seguridad m s reciente 3 Seleccione Avanzado gt Pol tica y verifique que aparece la regla 4 Lance la aplicaci n en el endpoint para verificar que el usuario puede ejecutar el proceso con xito 76 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Flujo de prevenci n del malware Administraci n de restricciones en ejecutables Administraci n de reglas y ajustes de WildFire Administraci n de hashes ejecutables gt gt gt gt p gt Administraci n de las reglas de protecci n de malware Protecci n avanzada del endpoint Gu a del administrador 77 Flujo de prevenci n del malware Prevenci n de malware Flujo de prevenci n del malware El motor de prevenci n del malware se centra en tres m todos principales de prevenci n reglas de pol ticas de restricci n que examinan la fuente del archivo m dulo de prevenci n del malware que se centran en las conductas con
176. evenci n de malware Continuaci n Definici n de restricciones y excepciones de ejecutables sin firma Continuaci n Paso 2 Defina las restricciones en los ejecutables sin firma j Seleccione Ejecutables sin firma en la lista desplegable Restricciones 2 Introduzca un n mero de minutos en el campo Periodo de lista negra para evitar que los procesos sin firma se ejecuten dentro de este intervalo tras la escritura del archivo ejecutable en el disco del endpoint 3 Para permitir la ejecuci n inmediata de un proceso sin esperar un n mero definido de minutos a ada el proceso a Procesos a E permitidos haciendo clic en EJ 4 Para permitir la ejecuci n inmediata de todos los procesos de una determinada carpeta sin esperar un n mero definido de minutos a ada el proceso a la lista Procesos permitidos haciendo clic en s Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regl
177. evento incluidos el nombre de la aplicaci n el editor y una descripci n de la regla de prevenci n o restricci n que ha activado la notificaci n Traps prevention alert Traps has prevented a malicious activity y Application name malware exe Application publisher Unknown Prevention description Attempted execution of restricted executable A For additional information contact yo tem administrator Puede crear una regla de ajustes de agentes para cambia la accesibilidad de la consola y especificar si se ocultan o no notificaciones del usuario Ocultaci n o restricci n de acceso a la consola de Traps Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Defina la visibilidad del usuario y los 1 Seleccione Disponiblidad y acceso de usuario en la lista ajustes de acceso para los endpoints desplegable Ajustes de agentes 2 Seleccione una o m s de las siguientes opciones e Ocultar icono de bandeja _La instalaci n de Traps en un endpoint a ade un icono al rea de notificaci n bandeja del sistema por defecto Utilice esta opci n para ocultar el icono de bandeja del endpoint Desactivar el acceso a la consola de Traps Por defecto el usuario puede acceder a la consola de Traps activ ndola desde la bandeja del sistema Utilice esta opci n para deshabilitar la capacidad de activaci n de la consola
178. external communication with WildFire servers Y Allow upload executables to WildFire servers Set to false to check verdict only v WildFire address https fwildfire paloaltonetworks com Maximal File size MB 10 Paso 2 Introduzca en minutos la frecuencia con la que el servidor ESM reenv a hashes a WildFire para archivos desconocidos Un archivo puede tener un veredicto desconocido si es la primera vez que un endpoint env a el hash al servidor o si WildFire no ha analizado todav a el archivo Por defecto son 30 minutos y debe tener un valor entre uno y 20 160 minutos Paso 3 Introduzca los minutos de la frecuencia con la que el servidor ESM vuelve a comprobar el valor de hashes conocidos benignos o maltencionados con WildFire Por defecto son 1 440 minutos 24 horas y debe tener un valor entre uno y 20 160 minutos Protecci n avanzada del endpoint Gu a del administrador 93 Administraci n de reglas y ajustes de WildFire Prevenci n de malware Habilitaci n de WildFire Continuaci n Paso 4 Por defecto cada 24 horas o seg n se especifique en Paso 3 el servidor ESM consulta a WildFire para determinar cu les de los veredictos si los hay han cambiado en los ltimos 30 d as Para cambiar cu nto retroceden las consultas de cambios del servidor ESM seleccione un valor entre uno y 30 d as y el campo Intervalo de comprobaci n de cambios de veredictos Por ejemplo si se especifica un valor de 15 significa que
179. fecto es 2125 e Uso Seleccione SSL para encriptar la comunicaci n con el servidor o No SSL para no encriptarla 2 Haga clic en Siguiente en los mensajes que aparezcan para finalizar la instalaci n Se recomienda reiniciar el ordenador tras finalizar la instalaci n Instalaci n de Traps en el endpoint usando Msiexec Windows Msiexec le proporciona un control completo del proceso de instalaci n y le permite instalar modificar y realizar operaciones en un instalador de Windows desde la l nea de comandos Cuando se utiliza junto con un System Center Configuration Manager SCCM Altiris Group Policy Object GPO o u otras aplicaciones de implementaci n de MSI Msiexec le permite instalar Traps en m ltiples endpoints de su organizaci n por primera vez Tras instalar con xito Traps en un endpoint y establecer una conexi n con el Endpoint Security Manager puede configurar reglas para actualizar o desinstalar Traps consulte Desinstalaci n o actualizaci n de Traps en el endpoint Antes de instalar Traps verifique que el sistema cumple los requisitos que se describen en Requisitos previos para la instalaci n de Traps en un endpoint Instalaci n de Traps en el endpoint usando Msiexec Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inic
180. forense Seleccione Pol ticas gt Datos forenses y a continuaci n haga clic en A adir Paso 2 Defina las preferencias del volcado de memoria cuando se produzca un evento de prevenci n en el endpoint 1 Seleccione Volcado de memoria en la lista desplegable Datos forenses y seleccione una de las siguientes preferencias e Env e autom ticamente los volcados de memoria al servidor seleccionando Enviar los volcados de memoria autom ticamente Especifique el tama o del volcado de memoria seleccionando la opci n Tama o de volcado de memoria y a continuaci n seleccionando Peque o Mediano o Completo en la lista desplegable 2 Seleccione una o m s aplicaciones Traps aplicar el ajuste a las aplicaciones seleccionadas 138 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Administraci n de reglas y ajustes forenses Definici n de las preferencias del volcado de memoria Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de a
181. forenses Obtenci n de datos acerca de un evento de seguridad Cuando ocurre un evento de seguridad en un endpoint Traps obtiene datos forenses incluidos contenidos de memoria y los guarda en el endpoint Utilice datos forenses para depurar un problema o investigue un problema espec fico con una aplicaci n La selecci n de esta opci n crea una regla de ajustes de agente para recopilar la informaci n obtenida por Traps Cuando Traps recibe la regla de configuraci n de agentes el agente env a todos los logs a la carpeta forense designada Click hereto clear the filter gt M 4 Page 1 ofli a Event Type Malware Faulting Process New vSphere Client Additional Information Prevention Mode Terminate Application Version 4 65 DANew vSphere Cheat exe Computer PANWDMSOYZIHQ Event Triggered By N A User Prevention Key f7dedeee fb8d 4606 8852 42790420c61a PALOALTONETWORKAcfleischer EPM Media Control DS Windows 7 Architecture x64 Traps Version 3 1 2 1546 Process Hash N A Latest Note Retrieve the preven Create an exclusion of the hash automatically from this prevention E EL Para crear una regla general y obtener datos desde un endpoint o m s consulte Gesti n de datos recopilados por Traps Obtenci n de datos acerca de un evento de seguridad Paso 1 Paso 2 En la consola ESM seleccione Eventos de seguridad gt Amenazas para visualizar eventos de seguridad relacionados con procesos pro
182. forenses creando una regla de acci n para recopilar los datos del endpoint Cuando el endpoint recibe la pol tica de seguridad que incluye la regla de acci n el agente de Traps env a toda la informaci n forense a la carpeta forense a la que en ocasiones se denomina carpeta de cuarentena Protecci n avanzada del endpoint Gu a del administrador 7 Componentes de la protecci n avanzada del endpoint Descripci n general de la protecci n avanzada del endpoint Durante la instalaci n inicial se especifica la ruta de la carpeta forense que utiliza el Endpoint Security Manager para almacenar la informaci n forense que recopila de los endpoints El ESM es compatible con m ltiples carpetas forenses en Protecci n avanzada del endpoint 3 2 o posterior y habilita el Servicio de transferencia inteligente en segundo plano BITS en la carpeta durante la instalaci n Si no se puede acceder a la carpeta forense especificada durante la instalaci n Traps utiliza por defecto la carpeta forense especificada en la consola ESM Puede cambiar la carpeta por defecto en cualquier momento utilizando el Endpoint Security Manager 8 Protecci n avanzada del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Puede implementar la soluci n de Protecci n avanzada del endpoint en una amplia variedad de entornos Los temas siguientes describen los escenarios t picos de implementaci n tomando en consideraci
183. formar al usuario sobre el evento de prevenci n Si no se aplica ninguna regla de pol ticas de restricciones al ejecutable Traps eval a a continuaci n las reglas que protegen contra el malware seg n se describe en Fase 3 Evaluaci n de las pol ticas de prevenci n de malware 78 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Flujo de prevenci n del malware Fase 2 Evaluaci n de veredictos de hashes El usuario abre un ejecutable cn X Ae 42 SO JE Ta Malintencionado H I I un e sao A A Albal 15 gt EEB Loan gt WildFire 2 Carga de Cach local Cach de servidor archivo desconocido Cuando se habilita WildFire consulte Habilitaci n de WildFire Traps crea un hash nico para cada archivo ejecutable que un usuario o m quina intentan abrir Traps realiza entonces una consulta en su cach local para determinar si el hash corresponde a una decisi n oficial conocida como Veredicto de WildFire y si el archivo es malintencionado o benigno Si el hash no se corresponde con un veredicto del cach local Traps hace una consulta al servidor ESM Si el servidor ESM no tiene un veredicto para el hash el servidor ESM hace una consulta a WildFire Las etapas de evaluaci n se describen de forma m s detallada en las secciones siguientes A B squeda de cach local en el endpoint A B squeda en el cach del servidor en el servidor ESM
184. frecuencia iniciadas por procesos maliciosos y el an lisis de WildFire Traps eval a las reglas Se crea un hash y se Traps eval a las reglas El administrador El usuario intenta de restricci n comprueba con WildFire de prevenci n de monitoriza y gestiona los abrir un archivo malware veredictos de hashes ejecutable El archivo se bloquea El archivo se bloqueasiel El archivo se bloquea si si se aplica una hash tiene un veredicto se detecta una conducta regla de restricci n malintencionado malintencionada iSeguro En Se informa del evento de seguridad al Administrador de Seguridad de Endpoints ESM Fase 1 Evaluaci n de las pol ticas de restricci n Fase 3 Evaluaci n de las pol ticas de prevenci n de malware Fase 2 Evaluaci n de veredictos de hashes gt gt gt gt Fase 4 Administraci n de veredictos Fase 1 Evaluaci n de las pol ticas de restricci n Cuando un usuario o m quina intenta abrir un ejecutable Traps verifica en primer lugar que el ejecutable no viole ninguna regla de restricci n Por ejemplo puede haber reglas de restricci n que bloquean archivos ejecutables no firmados o que bloquean ejecutables abiertos desde localizaciones de red Si se aplica alguna de las reglas de restricci n al ejecutable Traps bloquea la ejecuci n del archivo e informa del evento de seguridad al Endpoint Security Manager Dependiendo de la configuraci n de cada regla de restricci n Traps tambi n puede in
185. g n sea necesario Definici n de las preferencias de recopilaciones forenses Para ayudarle a entender mejor y derivar implicaciones acerca de la verdadera naturaleza de un evento de seguridad cuando se produce en un endpoint puede configurar las opciones de recopilaciones forenses Cuando se produzca un evento de seguridad Traps puede hacer un informe de los archivos a los que se ha accedido los m dulos que se han cargado en la memoria los URI a los que se ha accedido y los procesos antecesores del proceso que han activado el evento de seguridad Definici n de las preferencias de recopilaciones forenses Paso 1 Inicie una nueva regla forense Seleccione Pol ticas gt Datos forenses y a continuaci n haga clic en A adir Protecci n avanzada del endpoint Gu a del administrador 139 Administraci n de reglas y ajustes forenses Datos forenses Definici n de las preferencias de recopilaciones forenses Continuaci n Paso 2 Defina las preferencias de recopilaciones forenses Seleccione Recopilaci n de datos forenses de la lista desplegable Datos forenses y configure las preferencias en los campos siguientes e Informar de archivos accedidos Seleccione Habilitado para recopilar informaci n acerca de los archivos relacionados con un evento de seguridad y las DLL relevantes que se cargan en la memoria bajo el proceso atacado para una inspecci n en profundidad de los eventos e Informar de
186. gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la regla seg n sea necesario Definici n de restricciones y excepciones de ejecutables sin firma Un proceso firmado tiene una firma de autenticaci n digital que prueba su procedencia de una fuente de confianza Las pr cticas correctas dictan que todas las aplicaciones leg timas tenga firma Las restricciones sobre procesos sin firma evitan la ejecuci n de todos los procesos sin firma excepto aquellos permitidos expl citamente Tambi n puede definir un periodo de aplazamiento que evita la ejecuci n de procesos sin firma durante un plazo de tiempo determinado tras su escritura en el disco del endpoint Debido a que un ataque puede incluir la escritura de un ejecutable malintencionado en el disco y su ejecuci n inmediata la utilizaci n de un periodo de aplazamiento y la restricci n de procesos sin firma son medios efectivos para prevenir ataques de malware Definici n de restricciones y excepciones de ejecutables sin firma Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Protecci n avanzada del endpoint Gu a del administrador 91 Administraci n de restricciones en ejecutables Pr
187. gla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la regla seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 87 Administraci n de restricciones en ejecutables Prevenci n de malware Definici n de restricciones y excepciones de medios externos El c digo malintencionado puede acceder a endpoints a trav s de medios externos como unidades de disco desmontables y discos pticos Como medida de protecci n se pueden definir reglas de restricci n que evitan la ejecuci n de ejecutables de unidades de disco externas conectadas a los endpoints La definici n de una restricci n en medios externos protege contra cualquier intento para la ejecuci n de un ejecutable desde una unidad de disco externa Definici n de restricciones y excepciones de medios externos Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Paso 2 Defina la conducta de restricci n para medios externos Por defecto se permite la ejecuci n de aplicaciones no malintencionadas y desconocidas de discos desmontables y pticos 1 Seleccione Medios externos en la lista desplegable Res
188. glas de pol ticas Las acciones comunes que realiza Traps incluyen la recopilaci n de datos forenses y la informaci n al usuario en relaci n con el evento Traps no realiza ninguna acci n adicional de exploraci n o monitorizado Por defecto la pol tica de seguridad del endpoint protege las aplicaciones m s vulnerables y las que se utilizan con m s frecuencia pero tambi n se pueden a adir a la lista de procesos protegidos otras aplicaciones propias y de terceros Para obtener m s informaci n consulte A adir un proceso protegido provisional o desprotegido Para obtener m s informaci n consulte Reglas de protecci n de exploits Prevenci n del malware Los archivos ejecutables malintencionados conocidos como malware o softwate malintencionado habitualmente simulan ser archivos no maliciosos o van integrados en ellos Estos archivos en ocasiones denominados troyanos pueden da ar los equipos al intentar obtener el control al recopilar informaci n confidencial o al interrumpir las operaciones normales del sistema Para proteger los endpoints de archivos ejecutables malintencionados Traps emplea el Motor de prevenci n de malware como otro tipo de obst culo de seguridad El motor de prevenci n de malware utiliza una combinaci n de restricciones basadas en las pol ticas m dulos de prevenci n de malware y an lisis de WildFire para limitar el rea superficial de un ataque y controlar la fuente de instalaci n de archivos p
189. gs Monitorizado de notificaciones del servidor Monitorizado de notificaciones del servidor A Ver notificaciones acerca del servidor ESM A Ver detalles acerca de los logs de servidor ESM Ver notificaciones acerca del servidor ESM Ver notificaciones acerca del servidor ESM Paso 1 En la consola ESM seleccione Monitorizar gt Logs de ESM Paso 2 Para visualizar las entradas de la tabla utilice los controles de paginado de la parte superior derecha de cada p gina para ver diferentes partes de la tabla Paso 3 Opcional Para ordenar las entradas de las tablas seleccionado el encabezado de la columna para aplicar un orden ascendente Seleccione el encabezado de la columna de nuevo para aplicar un orden descendente Paso 4 Opcional Para filtrar las entradas de la tabla haga clic en el icono del filtro Y a la derecha de la columna para especificar hasta dos conjuntos de criterios para la filtraci n de los resultados Paso 5 Opcional Para exportar los logs a un archivo CSV haga clic en el icono de men y a continuaci n seleccione Exportar logs Ver detalles acerca de los logs de servidor ESM La p gina Logs de ESM muestra notificaciones acerca del servidor ESM incluidos fallos en la carga de archivos y acciones iniciadas desde el servidor ESM La tabla siguiente describe los campos mostrados en la p gina Monitorizar gt Logs de ESM ID Una ID num rica nica para el mensaje de notific
190. i n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes A adir una nueva regla de ajustes de agentes Continuaci n Paso 2 Seleccione el tipo de ajuste que desea cambiar y configure sus preferencias Seleccione uno de los siguientes y configure los ajustes seg n el tipo de preferencia Logging de eventos Para m s informaci n consulte Definici n de las preferencias de logging de eventos e Visibilidad y acceso de usuario Para m s informaci n consulte Ocultaci n o restricci n de acceso a la consola de Traps e Ajustes de heartbeat Para m s informaci n consulte Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM e Administraci n de procesos Para m s informaci n consulte Recopilaci n de informaci n de nuevos procesos e Protecci n de servicio Para m s informaci n consulte Gesti n de protecci n de servicios e Seguridad de agentes Para m s informaci n consulte Cambio de la contrase a de desinstalaci n Mensaje de prevenci n Para m s informaci n consulte Creaci n de un mensaje de prevenci n personalizado e Mensaje de notificaci n Para m s informaci n consulte Creaci n de un mensaje de prevenci n personalizado Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n sel
191. ic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Acciones de agentes Desde ah puede Duplicar Borrar o Desactivar la regla seg n sea necesario Actualizaci n o revocaci n de la licencia de Traps en el endpoint Cree una nueva regla de acci n para actualizar o revocar una licencia del servicio Traps bajo ejecuci n en un endpoint La revocaci n de una licencia le permite reasignar una licencia a otro endpoint Tras revocar una licencia Traps no proteger el endpoint Utilice la opci n de actualizaci n para sustituir una licencia en el endpoint y reanudar el servicio de Traps Actualizaci n o revocaci n de la licencia de Traps en el endpoint Paso 1 Inicie una nueva regla de acci n Seleccione Ajustes gt Acciones de agentes y a continuaci n A adir una nueva regla Paso 2 Defina las tareas que se van a realizar en la licencia de Traps en los endpoints Seleccione Licencia de agentes en la lista desplegable Tareas y seleccione una de las siguientes acciones e Actualizar Actualiza la licencia de Traps en un endpoint e Revocar Revoca una licencia y detiene el servicio del agente en un endpoint Protecci n avanzada del endpoint Gu a del administrador 115 Administraci n de reglas de acci n de Traps Administraci n de endpoints Actualizaci n o revocaci n de la licencia de Traps en el endpoint Co
192. ica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de acci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde l
193. icaci n ON Asignaci n previa de c digo shell P01 Y Terminar Notificaci n 0N Protecci n de ShellLink ShellLink Y Terminar Notificaci n 0N T01 Compatibilidad TO1 s Terminar Notificaci n ON UASLR UASLR s Terminar Notificaci n ON Protecci n URI URI Protecci n avanzada del endpoint Gu a del administrador 73 Administraci n de las reglas de protecci n de exploits Prevenci n de exploits Creaci n de una regla de prevenci n de exploits Cree una regla de prevenci n de exploits para definir el m dulo espec fico utilizado para proteger los procesos utilizados con m s frecuencia en su organizaci n Cada m dulo evita intentos de exploits en las vulnerabilidades de los programas basados en la corrupci n de la memoria o fallos l gicos y protege contra un m todo de ataque espec fico por ejemplo secuestro de DLL o da os en la pila Puede configurar un m dulo para proteger uno o m s procesos que puedan ser vulnerables a ese tipo de ataque Por defecto Traps protege los procesos utilizados con m s frecuencia usando reglas de prevenci n de exploits preconfiguradas Para una lista de procesos protegidos por la pol tica de seguridad por defecto consulte Protecci n de procesos Las reglas de prevenci n de exploits por defecto no se pueden modificar Para anular el comportamiento de las reglas de prevenci n de exploits por defecto cree una nueva regla para administrar ese proceso cambiar o anular una
194. icaci n de la regla de obtenci n Bot n Descargar Descarga el archivo de datos forenses Bot n Borrar Borra el archivo de datos forenses Se pueden ordenar las entradas de la tabla en orden ascendente seleccionando el encabezado de la columna Seleccione el encabezado de nuevo para ordenar las entradas de la tabla en orden descendente Para limitar los resultados haga clic en el icono de filtraci n Y a la derecha de la columna y especifique hasta dos conjuntos de criterios Tambi n puede exportar los logs a un archivo CSV haciendo clic en el icono del men y seleccionando Exportar logs 162 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizaci n de las notificaciones de los agentes Monitorizaci n de las notificaciones de los agentes A Ver notificaciones acerca de cambios en el estado de agentes A Ver detalles acerca del registro de agentes Ver notificaciones acerca de cambios en el estado de agentes Utilice la p gina Logs de agentes para visualizar notificaciones acerca de los cambios en el estado de los agentes incluido el inicio o parada de los servicios sistemas y procesos Ver notificaciones acerca de cambios en el estado de agentes Paso 1 En la consola ESM seleccione Monitorizar gt Logs de agentes Paso 2 Para visualizar las entrada de la tabla utilice los controles de paginado de la parte superior derecha de cada p gina para ver diferentes partes de la tabla
195. ido Desprotegido o Provisional La finalidad del estado Provisional es indicar que el proceso est sometido a una ejecuci n del informe como proceso protegido generalmente en un n mero reducido de endpoints y un peque o n mero de reglas Una vez finalizada la ejecuci n y tras realizar los ajustes necesarios a las reglas puede cambiar el tipo de protecci n del proceso a Protegido Con la creaci n de una regla de ajustes de agentes para recoger informaci n de nuevos procesos podr ver los procesos que Traps descubre en los endpoints de su organizaci n Esto es de utilidad para la detecci n de procesos no protegidos y su cambio para protegerlos consulte Recopilaci n de informaci n de nuevos procesos Tambi n puede a adir protecci n para otras aplicaciones propias y de terceros sin recoger informaci n de nuevos procesos a adi ndolos directamente a la lista de procesos protegidos en la p gina de Administraci n de procesos A Protecci n de procesos A A adir un proceso protegido provisional o desprotegido A Importaci n o exportaci n de un proceso A Ver modificar o borrar un proceso A Ver procesos actualmente protegidos por Traps 64 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de procesos Protecci n de procesos Traps protege los siguientes procesos por defecto 7z exe 7zFM exe 7zG exe Acrobat exe AcroRd32 exe acrord32info exe alg exe amp exe App
196. iento de los problemas que aparecen y su soluci n son m s sencillos cuando no afecta a un entorno grande o a un n mero de usuarios potencialmente grande La implementaci n de pasos m ltiples garantiza una implementaci n adecuada del software de Traps en toda la red Estos pasos permiten un mejor soporte y control sobre la protecci n a adida Paso 1 Instale Traps en los 1 semana Instale el Endpoint Security Manager ESM incluida una base de endpoints datos MS SQL la consola ESM y el servidor ESM e instale Traps en algunos 3 10 endpoints Compruebe el funcionamiento normal de los agentes de Traps inyecci n pol tica y verifique que no hay cambios en la experiencia del usuario Paso 2 Expanda la 2 semanas Expanda gradualmente la distribuci n de agentes a grupos m s grandes implementaci n de con atributos similares hardware software usuarios Transcurridas Traps dos semanas puede tener hasta 100 endpoints instalados Paso 3 Finalice la instalaci n de 2 o m s Haga una distribuci n amplia de los clientes en la organizaci n Traps semanas Advanced Endpoint Protection Administrator s Guide 39 Configuraci n de los endpoints Configuraci n de la infraestructura de Traps Paso 4 Defina la pol tica de la Hasta una A ada reglas de protecci n para aplicaciones de terceros o propias y empresa y los procesos semana compru belas con el probador de compatibilidad de endpoints protegidos
197. ifica el tipo de licencias el tama o del conjunto de agentes y la fecha de vencimiento Cada instancia de base de datos requiere una licencia v lida que le permite gestionar la pol tica de seguridad del endpoint habilitar WilFire y obtener soporte Para adquirir licencias p ngase en contacto con su ingeniero de cuentas de Palo Alto Networks o su distribuidor Tras obtener una licencia imp rtela a la base de datos utilizando uno de los m todos siguientes A Administraci n de las licencias Endpoint Security Manager usando la consola ESM A Administraci n de las licencias de Endpoint Security Manager usando la herramienta de configuraci n DB Administraci n de las licencias Endpoint Security Manager usando la consola ESM Administrar Endpoint Security Manager licencias usando la consola ESM Paso 1 Localice el archivo de su licencia Paso 2 Seleccione Configuraci n gt Licencias y a continuaci n A adir una nueva licencia Licensing Expiration Date Agent Pool Size Detached Count Date Added lil 4 Server Web Agent 20 1 22 01 2016 08 01 2016 WindowsServer WildFire Server Web Agent 250 0 21 01 2015 10 12 2015 WindowsServer WildFire Server Web Reflector Agent 11 0 28 08 2014 24 08 2015 WindowsServer WildFire Paso 3 Acceda y Cargue el archivo de licencia La consola ESM muestra informaci n acerca de la nueva licencia Paso 4 Opcional Para verificar la utilizaci n de la licencia de
198. int Antes de instalar Traps verifique que el sistema cumple los requisitos que se describen en Requisitos previos para la instalaci n de Traps en un endpoint Instalaci n de Traps en el endpoint Obtenga el software de su administrador de cuentas de Palo Alto Networks su vendedor o en Las Veron ONEONE Ce Traps https support paloaltonetworks com ED que instale en sus endpoints debe pe PESER i ser la misma o anterior a la versi n de ESM Core y la consola instalaci n Traps x64 o x68 Haga clic en Siguiente Paso 1 Inicie la instalaci n del software Traps Y Descomprima el archivo y haga doble clic en el archivo de 4 Seleccione la casilla Acepto los t rminos del contrato de licencia y a continuaci n haga clic en Siguiente 40 Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Configuraci n de los endpoints Instalaci n de Traps en el endpoint Paso 2 Configure los agentes de Traps para Puede configurar el agente de Traps para su conexi n a un servidor conectarlos al servidor ESM principal o secundario Si no puede acceder al servidor principal el agente de Traps intenta ponerse en contacto con el servidor secundario 1 Proporcione la siguiente informaci n para el servidor ESM Nombre del host Introduzca el nombre del host o la direcci n IP del servidor ESM e Puerto Si es necesario cambie el n mero de puerto por de
199. io En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Advanced Endpoint Protection Administrator s Guide 41 Configuraci n de los endpoints Configuraci n de la infraestructura de Traps Instalaci n de Traps en el endpoint usando Msiexec Continuaci n Paso 2 Ejecute el comando Msiexec seguido de una o m s de las siguientes opciones o propiedades e Opciones de instalaci n visualizaci n y logging e i lt installpath gt l lt installerfilename gt msi Instalar un paquete Por ejemplo msiexec i c linstallltraps msi e qn No muestra ninguna interfaz de usuario instalaci n silenciosa Como m nimo debe especificar el nombre del servidor host o la direcci n IP usando la propiedad CYVERA_SERVER e L v lt logpath gt lt logfilename gt txt Salida verbose de log a un archivo Por ejemplo L v c XMlogslinstall txt e x lt installpath gt l lt installerfilename gt msi gt txt Desintalar un paquete Por ejemplo msiexec x c linstallltraps msi Para una lista completa de los par metros de Msiexec consulte https www microsoft com resources documentation windows xp all proddocs en us msiexec mspx e Propiedades p blicas CYVERA SERVER lt servername gt Nombrte de servidor host principal o direcci n IP por defecto es CyveraServer CYVERA _SERVER_PORT lt serverport gt Puerto de servidor host princ
200. ipal por defecto es 2125 e SSL _TYPE No SSL ssL Solo instalaci n no silenciosa Define las preferencias de encriptaci n del servidor principal especificando No SSL por defecto o SSL USE_SSL _PRIMARY 0 1 Solo instalaci n silenciosa Define las preferencias de encriptaci n del servidor principal especificando un O para no usar SSL o un 1 para usar SSL por defecto USE_BACKUP_SERVER 0 1 Define las preferencias de copia de respaldo especificando 0 por defecto para no utilizar un servidor de copia de respaldo o 1 para utilizar un servidor de copia de respaldo CYVERA SERVER lt servername gt Nombre de servidor host principal o direcci n IP por defecto es CyveraServer CYVERA BACKUP SERVER_PORT lt serverport gt Puerto de servidor host secundario por defecto es 2125 SSL _TYPE_BACKUP No SSL ssL Solo instalaci n no silenciosa Define las preferencias de encriptaci n del servidor secundario especificando No SSL por defecto o SSL USE_SSL BACKUP 0 1 1 Solo instalaci n silenciosa Define las preferencias de encriptaci n del servidor secundario especificando un O para no usar SSL o un 1 para usar SSL por defecto UNINSTALL PASSWORD lt uninstallpassword gt Introduzca la contrase a de administrador Por ejemplo para instalar Traps sin una interfaz de usuario y para especificar un servidor principal con el nombre ESMServer un servidor de respaldo
201. ipse platiorm_4 4 0 v20140925 0400 splesh bp DS Windows 7 CA Usersrefleischer Downloads ec lpse java hma SR win32 Architecture x64 x86_ Meclpseleclipsec exe a Traps Version 3 1 2 1546 4 Process Hash N A Latest Note Retrieve the prevention data from Create an exclusion rule automatically from this prevention Create an exclusi the computer e Create prevention SA ES ES AA ma La tabla siguiente describe los campos y acciones que est n disponibles para cada evento de seguridad en modo provisional Vista de detalles est ndar Hora La fecha y hora a la que se ha producido la prevenci n Equipo El nombre del endpoint en el que ha ocurrido el evento de prevenci n Usuario El nombre del usuario bajo el que se est ejecutando el proceso que ha causado el evento so El sistema operativo instalado en el endpoint Agente versi n de Traps El versi n de Traps instalada en el endpoint Proceso El nombre del proceso que ha causado el evento EPM El M dulo de prevenci n de exploits EPM o la regla de restricci n que ha activado la prevenci n Vista de detalles adicionales Tipo de evento Tipo de amenaza detecci n de mensajes de WildFire l gica malware acciones sospechosas o corrupci n de memoria Protecci n avanzada del endpoint Gu a del administrador 151 Monitorizado de eventos de seguridad Informes y logs Modo de prevenci n Acci n que realiza l
202. ir este escenario cada sitio contiene un servidor ESM que recupera la pol tica de seguridad de la base de datos situada en el Sitio A Los endpoints internos se conectan al Endpoint Security Manager utilizando sus servidores ESM locales Los endpoints externos se conectan a trav s de un servidor ESM p blico localizado en un DMZ o a trav s de un puerto que se configura para permitir el tr fico de redes externas Si un endpoint est en itinerancia y no se puede conectar al servidor ESM Traps recoge los datos de prevenci n localmente hasta que el agente puede establecer una conexi n con la carpeta forense Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN Endpoint Security Manager ESM A A e e 1 NF x I Sitio A y 1 I i I i y i i 2 Sip SE Fe I Sitio B Sitio C Sitio D i l l pg A a E E E AN A e d g Protecci n avanzada del endpoint Gu a del administrador 19 Implementaciones grandes Escenarios de implementaci n de la Protecci n avanzada del endpoint Este escenario de implementaci n permite hasta 200 000 agentes de Traps 50 000 por sitio que se conectan a trav s de los sitios locales y localizaciones off site a trav s de un t nel VPN Este entorno de sitios m ltiples est compuesto de los componentes siguientes e Un servidor de base de datos dedicado e Una consola Endpoint Security Manager ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administ
203. ivo Windows XP 32 bit SP3 o posterior Windows 7 32 bit 64 bit RTM y SP1 todas las ediciones excepto Home Windows 8 32 bit 64 bit Windows 8 1 32 bit 64 bit Windows Server 2003 32 bit SP2 o posterior Windows Server 2003 R2 32 bit SP2 o posterior Windows Server 2008 32 bit 64 bit Windows Server 2012 todas las ediciones Windows Server 2012 R2 todas las ediciones Windows Vista 32 bit 64 bit y SP2 Entornos virtuales VDIs Para consideraciones de licencias p ngase en contacto con el equipo de soporte o con su ingeniero de ventas Citrix VM ESX VirtualBox Parallels Plataformas f sicas SCADA Tablets Windows NET 3 5 SP1 Permita la comunicaci n en el puerto TCP 2125 de clientes a servidor Advanced Endpoint Protection Administrator s Guide 23 Requisitos previos para la instalaci n de Traps en un endpoint 24 Requisitos previos Advanced Endpoint Protection Administrator s Guide Configuraci n de la infraestructura de Traps Los temas siguientes muestran c mo configurar los componentes de la infraestructura de Traps gt Configuraci n de la infraestructura de endpoints Actualizaci n de la infraestructura de endpoints Configuraci n del Endpoint Security Manager Configuraci n de los endpoints gt gt gt gt Verificar una instalaci n correcta Advanced Endpoint Protection Administrator s Guide
204. ivo es benigno o malintencionado el servidor ESM actualiza su cach del servidor A continuaci n en la siguiente comunicaci n heartbeat con Traps el servidor ESM comunica el veredicto a cualquier endpoint en el que un usuario ha intentado abrir el archivo ejecutable Si WildFire devuelve un veredicto desconocido WildFire no ha analizado el archivo previamente puede configurar el servidor ESM para el env o autom tico del ejecutable desconocido hasta 100 MB cada uno a WildFire para su an lisis Cuando WildFire ha analizado el archivo guarda el veredicto en su base de datos y devuelve ese veredicto en consultas posteriores acerca del hash desconocido Si la carga autom tica de archivos desconocidos est deshabilitada por defecto puede yA seleccionar manualmente archivos individuales para su env o a WildFire y su posterior an lisis Para habilitar la carga autom tica de archivos desconocidos consulte Habilitaci n de WildFire Si no es posible acceder a WildFire el servidor ESM recoge el veredicto del hash como Sin conexi n y comunica el veredicto en la siguiente comunicaci n con Traps Dependiendo de la conducta configurada para archivos desconocidos archivos sin conexi n y archivos malintencionados de su pol tica de seguridad Traps bloquea el archivo o permite su apertura al usuario Cuando Traps realiza las acciones asociadas con el veredicto del archivo ejecutable se pueden mantener los hashes y sus veredictos seg n
205. l n Los temas siguientes describen los elementos de forma m s detallada Consola Endpoint Security Manager Servidor Endpoint Security Manager Base de datos Endpoints Traps Plataforma de logging externa WildFire lt gt o gt gt gt gt gt Carpeta forense 4 Protecci n avanzada del endpoint Gu a del administrador Descripci n general de la protecci n avanzada del endpoint Componentes de la protecci n avanzada del endpoint Consola Endpoint Security Manager La consola Endpoint Security Manager ESM es una interfaz basada en la web que incluye un panel de administraci n para gestionar los eventos de seguridad el estado del endpoint y las reglas de las pol ticas Se puede instalar la interfaz web en el mismo servidor que el servidor ESM en un servidor separado o en un servidor en la nube La consola ESM se comunica con la base de datos de forma independiente del servidor ESM Servidor Endpoint Security Manager Cada servidor Endpoint Security Manager ESM funciona como un servidor de conexi n que transporta informaci n entre los componentes del ESM Traps y WildFire Cada servidor ESM tiene capacidad para hasta 50 000 agentes de Traps Con regularidad el servidor ESM recopila la pol tica de seguridad de la base de datos y la distribuye a los agentes de Traps Cada agente de Traps env a informaci n relacionada con los eventos de seguridad al servidor ESM La tabla siguiente muestra los tipos de mensajes qu
206. l administrador 149 Monitorizado de eventos de seguridad Informes y logs Vista de detalles est ndar Hora La fecha y hora a la que se ha producido la prevenci n Equipo El nombre de host del endpoint en el que ha ocurrido el evento de prevenci n Usuario El nombre del usuario bajo el que se est ejecutando el proceso que ha causado el evento so El sistema operativo instalado en el endpoint Agente versi n de Traps El versi n de Traps instalada en el endpoint Proceso El nombre del proceso que ha causado el evento EPM El M dulo de prevenci n de exploits EPM o la regla de restricci n que ha activado la prevenci n Vista de detalles adicionales Tipo de evento Tipo de amenaza detecci n de mensajes de WildFire l gica malware acciones sospechosas o corrupci n de memoria Modo de prevenci n Acci n que realiza la regla terminar el proceso o informaci n al usuario Arquitectura Tipo de arquitectura del sistema operativo SO Por ejemplo x64 Clave de prevenci n Identificador nico para el evento de seguridad Cuando se obtienen datos acerca de un evento Traps crea una clave de log utilizando esa clave de prevenci n como el nombre del archivo Desencadenador Archivo o archivos que activan un evento de seguridad Bot n Ver notas Visualiza notas acerca del evento de seguridad Si no hay notas est opci n queda oscutecida
207. l software del servidor del Endpoint Security Manager Continuaci n Paso 5 Configure ajustes adicionales para su servidor ESM 13 Endpoint Security Manager Core Setup 3 l01x Additional Settings ESM Console port 2125 Setup reporting configuration to external tools T Report to event viewer TT Report to Syslog 1 Configure los siguientes ajustes seg n sea necesario para su entorno e Puerto de consola ESM Especifique el puerto que va a utilizar para acceder a la interfaz web o dejar el ajuste por defecto 2125 e Opcional Seleccione una o m s opciones de herramientas de informaci n externas Informar a visor de eventos Informa de todos los eventos al visor de eventos de Windows Informar a Syslog Informa de todos los eventos a un servidor syslog externo Introduzca el Nombre del servidor syslog el Puerto de comunicaci n y la frecuencia heartbeat programada en minutos Haga clic en Siguiente Introduzca un valor de 0 si no desea enviar informaci n heartbeat al servidor syslog Paso 6 Defina una contrase a necesaria para la desinstalaci n del software del Endpoint Security Manager 12 Endpoint Security Manager Core Setup ioj xi Set Uninstall Authentication Please select an uninstall password CO Password confirmation eesse e Note The password should indude 8 characters or more ek mer _ coca Rh Introduzca y confirme una co
208. la Paso 4 Paso 5 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Opcional Revise el nombre de la regla y la descripci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de restricci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt Restricciones y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt Restricciones Desde ah puede Borrar o Desactivar la
209. la conducta de inicio de controladores y servicios de Traps consulteHabitaci n o deshabilitaci n del inicio de los componentes de Traps en el endpoint KJ Los cambios en la conducta de tiempo de ejecuci n de controladores y servicios de Traps se La realizaci n de cambios en la conducta de tiempo de ejecuci n requiere la introducci n de la contrase a del supervisor cuando se le pida Inicio o parada de los componentes de tiempo de ejecuci n de Traps en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para iniciar o detener un controlador o servicio utilice el comando siguiente C Program FilesiPalo Alto NetworkslTraps gt cytool runtime start lt component gt donde lt component gt es un controlador cyverak cyvrmtgn cyvrf sfd o un servicio cyserver CyveraService Alternativamente puede omitir lt component gt del comando para cambiar la conducta de tiempo de ejecuci n para todos los controladores y servicios El ejemplo siguiente muestra el resultado cuando se para el servicio cyserver La columna Inicio muestra el estado de los componentes revisados En ejecuci n O Parado C Program FilesiPalo Alto NetworksYTraps gt cytool runtime stop cyserver Introducir contrase a de supervisor Servicio Inicio cyverak En ejecuci n cyvrmtgn En ejecuci n cyvr std En ejecuci n cyserver Parado CyveraService En ejecuci n Ver y comp
210. la consola ESM seleccione Pol ticas gt Malware gt Control de hashes Paso2 Proceda con una de las siguientes opciones e Exportaci n de registros de hashes e Para exportar todos los registros seleccione el men de la parte superior de la tabla y a continuaci n seleccione Exportar todos e Para exportar uno o m s registros seleccione la casilla de verificaci n junto al registro o registros A continuaci n en el men de la parte superior de la tabla seleccione Exportar seleccionados El Endpoint Security Manager guarda las reglas seleccionadas en un archivo XML e Para restaurar o importar nuevas reglas de pol ticas seleccione Importar hashesen el men de la parte superior de la tabla Vaya al archivo de pol ticas y haga clic en Cargar Visualizaci n de informes de WildFire El ESM guarda los informes de WildFire que contienen un resumen de conducta para cualquier archivo ejecutable que WildFire ha analizado previamente El informe de WildFire est disponible en PDF e incluye informaci n que se puede usar para decidir si cancelar o no la decisi n de WildFire para un archivo ejecutable gt M 4 Page 1 ofl4 Number of E amber of Clier t gt E 021d7ce4d95 Benign None 10 01 201517 14 f01 20153 53 4 2 Ipremove exe E 043746cbe69 Benign None 28 08 2014 6 00 18 01 201516 16 2 cvtres exe Cvt a 09ab0535a54 Benign None 18 12 2014 11 22 01 20156 56 171 2 LogonUl exe L
211. la habilitaci n de protecci n de servicios La columna Modo muestra el estado de protecci n revisado Habilitado O Deshabilitado o Pol tica cuando se utilizan los ajustes de la pol tica de seguridad local para proteger los servicios de Traps C Program FilesiPalo Alto NetworkslTraps gt cytool protect enable service Introducir contrase a de supervisor Protecci n Modo Estado Proceso Pol tica Deshabilitado Registro Pol tica Deshabilitado Archivo Pol tica Deshabilitado Servicio Habilitado Habilitado Para usar los ajustes de reglas de pol ticas por defecto y proteger los servicios de Traps en el endpoint consulte Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Tras cambiar los ajustes de protecci n utilizando Cytool puede restaurar la pol tica de seguridad por defecto en cualquier momento utilizando el comando cytool protect policy lt feature gt Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para usar las reglas de la pol tica de seguridad y administrar la protecci n de servicios utilice el comando siguiente C Program FilesiPalo Alto NetworkslTraps gt cytool protect policy lt feature gt donde lt feature gt es proceso registro
212. la informaci n puede ser de utilidad cuando se investiga un evento relacionado con la seguridad Se puede decidir ocultar el icono de la bandeja de la consola que activa la consola o evitar su activaci n Para obtener m s informaci n consulte Ocultaci n o restricci n de acceso a la consola de Traps rro PES Traps l l AR paloalto Generation Protection is Enabled Connection Last Check in 02 0 5 124 73 Open Log File 43 13 Check in now Send Support File Protecci n anti exploits Indica si se activan o no las reglas de prevenci n de exploits en la pol tica de seguridad de endpoints Protecci n antimalware Indica si se activan o no los m dulos de restricci n y o prevenci n de malware en la pol tica de seguridad de endpoints 156 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado del estado de los endpoints Recopilaci n de datos forenses Indica si se ha habilitado o no la integraci n de WildFire Pesta a Estado Muestra el estado de Conexi n y el nivel de protecci n del endpoint La consola Traps abre la pesta a Estado por defecto Pesta a Eventos Muestra eventos de seguridad que se han producido en el endpoint Pesta a Protecci n Muestra los procesos que protege el agente de Traps que est n en ejecuci n en el endpoint Pesta a Pol tica Muestra cambios en la pol tica de seguridad de endpoints incluidas l
213. la m quina El nombre del endpoint que ha producido la notificaci n Mensaje El texto de mensaje de notificaci n Protecci n avanzada del endpoint Gu a del administrador 163 Monitorizaci n de las notificaciones de los agentes Informes y logs Gravedad La gravedad de la notificaci n que depende del tipo de informe Alta Media Baja Tipo de informe El tipo del evento que ha activado la notificaci n Estado de realizaci n de una acci n de una vez Una acci n realizada en el endpoint La gravedad es baja si se completa la acci n o media si falla la acci n Bloqueo de proceso Un proceso bloqueado en el endpoint Gravedad baja Inyecci n de proceso agotada Se ha agotado la inyecci n al proceso Gravedad media Servicio vivo Se ha iniciado el servicio del agente Gravedad baja Servicio detenido Se ha detenido el servicio del agente Gravedad baja Sistema cerrado Se ha cerrado el endpoint Gravedad baja Acceso DEP no asignado Un salto del puntero de instrucciones a una localizaci n no asignada en la memoria Suele deberse a un error de aplicaci n pero tambi n podr a indicar un intento fallido de exploit Gravedad media Ha fallado el inicio del servicio de informaci n nativo Ha fallado el inicio del servicio de informaci n Gravedad alta Hora La fecha y hora de env o de la notificaci n 164 Protecci n avanzada del endpoint Gu a del administrador Informes y lo
214. la pol tica de prevenci n de exploits el agente de Traps detiene el proceso de ejecuci n e informa del proceso malintencionado a la consola Endpoint Security Manager La p gina Eventos de seguridad gt Amenazas proporciona informaci n detallada acerca de los procesos que activan eventos de seguridad y el Exploit Prevention Modules EPMs que evita los ataques Para permitir que el proceso se ejecute en un endpoint espec fico sin borrar o deshabilitar la regla de pol ticas cree una regla de exclusi n seg n los detalles de los eventos de seguridad La definici n de una regla de exclusi n deshabilita el EPM que evitaba la ejecuci n del proceso en un endpoint espec fico Para evitar la exposici n de forma innecesaria de su organizaci n a los ataques cree reglas de exclusi n solo cuando sea necesario Tambi n puede crear reglas de exclusi n para uno o m s objetos de la organizaci n consulte Creaci n de una regla de prevenci n de exploits Exclusi n de un endpoint de una regla de prevenci n de exploits Paso 1 Lance la p gina Amenazas En la consola ESM seleccione Eventos de seguridad Amenazas gt Threats Paso 2 Seleccione el evento Seleccione el evento de seguridad para el que que desea crear la regla de exclusi n El evento se expande para mostrar detalles y acciones adicionales en relaci n con el evento de seguridad Paso 3 Cree una regla de exclusi n 1 Haga clic en Crear para poblar la regla con d
215. labilidad de privilegios locales UASLR Fallo l gico de Mejora o implementa la ASLR selecci n aleatoria de m dulos con software mayor entrop a robustez y un estricto cumplimiento La pol tica de seguridad por defecto de Endpoint Security Manager contiene reglas de prevenci n de exploits para un conjunto de procesos de uso com n Para crear reglas de prevenci n de exploits adicionales debn configurarse el EPM y los detalles del EPM utilizados para proteger uno o m s procesos y opcionalmente especificar el Objetos de destino Condiciones los procesos los EPM y las acciones que se deben realizar si se produce un ataque Un objeto de destino puede ser cualquier usuario grupo unidad de una organizaci n o Protecci n avanzada del endpoint Gu a del administrador 71 Administraci n de las reglas de protecci n de exploits Prevenci n de exploits equipo que aparece en el Directorio activo o endpoint en el cual se ha instalado Traps El ESM identifica los endpoints a trav s de mensajes que Traps env a al servidor Una condici n puede hacer referencia a un archivo un archivo y la versi n del archivo o una ruta de registro que debe existir en el endpoint El agente de Traps env a con regularidad la pol tica de seguridad m s reciente desde el servidor ESM Cuando un usuario abre un archivo o URL el agente de Traps inyecta el EPM en el proceso o procesos relacionados con la apertura del archivo La pol tica de segurida
216. laciones forenses Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Protecci n avanzada del endpoint Gu a del administrador 137 Administraci n de reglas y ajustes forenses Datos forenses Creaci n de una regla forense Continuaci n Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la de
217. ldFire A Vista y b squeda de hashes Visualizaci n de informes de WildFire Anulaci n de una decisi n de WildFire Revocaci n de una decisi n de WildFire gt gt gt p gt Carga de un archivo en WildFire para su an lisis Vista y b squeda de hashes La p gina Control de hashes muestra una tabla de todos los hashes ejecutables de los que han informado los agentes de Traps de su organizaci n y sus veredictos Un campo de b squeda en la parte superior de la p gina le permite filtrar los resultados por cadenas completas o parciales La b squeda consulta los valores de hashes y los nombres de procesos y devuelve cualquier resultado coincidente Los hashes son nicos mientras los nombres de procesos se pueden incluir m s de una vez AA dillhost iD CE 7 61b8955ce0a No Connection None 18 12 2014 8 58 22 01 20157 00 1572 2 dllhost exe dll gt m 4 Page 1 ofl Process Client First Seen Last Seen Bxecutions dllhosteos PANWDMSDYZI HQ 18 1 272014858 22 D1 2D157 DD 1564 dllho sto CYVERASERVER 22 01 2015 541 22 01 2015 541 8 Click to see the full list CASG Process Client First Seen Last Seen Becutions dllhostexe PANWDMSDYZ1HO 18 12 2014934 22 01 20151 53 57 dlihostaxe CYVERASERVER 07701720151142 D7 D1 201511 42 1 Click to see the fullist MM CHA Exportaci n e importaci n de hashes La p gina Control de hashes muestra informaci n acerca de los hashes y los veredictos que se asocian con to
218. leMobileDeviceService exe APWebGrb exe armsvc exe bsplayer exe chrome exe cmd exe CorelCreatorClient exe CorelCreatorMessages exe ctfmon exe cuteftppro exe DivX Player exe DivX Plus Player exe DivXConverterLauncher exe DivXUpdate exe dllhost exe dwm exe EXCEL EXE explorer exe filezilla exe firefox exe FlashFXP exe FotoSlate4 exe foxit reader exe ftp exe ftpbasicsvr exe GoogleUpdate exe GrooveMonitor exe i_view32 exe icq exe ICQLite exe iexplore exe INFOPATH EXE PodService exe itunes exe TunesHelper exe journal exe jqs exe mirc exe MSACCESS EXE msnmsgr exe MSPUB EXE netstat exe nginx exe notepad exe notepad exe nslookup exe Opera exe opera_plugin_wrapper exe OUTLOOK EXE plugin container exe POWERPNT EXE PPTVIEW EXE qgttask exe QuickTimePlayer exe rar exe reader_sl exe realconverter exe realplay exe realsched exe rundll32 exe RuntimeBroker exe Safari exe searchindexer exe skype exe soffice exe spoolsv exe svchost exe sws exe taskeng exe taskhost exe telnet exe unrar exe userinit exe vboxservice exe vboxsvc exe vboxtray exe VISIO EXE vlc exe VPREVIEW EXE webkit2webprocess exe wftp exe winamp exe winampa exe wintar exe WINWORD EXE winzip32 exe winzip64 exe wireshark exe wmiprvse exe wmplayer exe wmpnetwk exe wuauclt exe xftp exe xpstchvw exe Protecci n avanzada del endpoint Gu a del administrador 65 Administraci n de proc
219. lita 4 Para especificar si un proceso de Java puede modificar ajustes o deshabilita ninguna de las reglas de registros seleccione Habilitado en la lista desplegable de EPM Modificaciones de registro y configure los permisos de registro a Para cada ruta de registro ajuste los permisos Leer Escribir y Borrar en Permitir Bloquear o Heredar por defecto seg n sea necesario b Haga clic en el bot n st para a adir cualquier ruta de registro adicional 5 Para especificar si un proceso de Java puede leer o escribir un archivo seleccione Habilitado en la lista desplegable Modificaciones del sistema de archivos y configure los permisos de archivos a Para cada nuevo patr n de archivos ajuste los permisos de escritura O lectura en Permitir Bloquear o Heredar por defecto seg n sea necesario b Haga clic en el bot n a para agregar un nuevo patr n de archivos 6 En la lista Navegadores seleccione o deseleccione los navegadores en los que se implementa la protecci n de Java Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condicion
220. lizados previamente porque no era com n enviarlos utilizando m todos tradicionales Para reducir el n mero de archivos ejecutables desconocidos para el servidor ESM y WildFire se puede enviar de forma manual o autom tica el archivo a WildFire para su an lisis inmediato Para enviar archivos desconocidos a WildFire consulte Habilitaci n de WildFire Si se deshabilita la opci n de env a autom tico de archivos desconocidos puede cargar manualmente un archivo caso por caso Cuando un usuario abre un ejecutable desconocido Traps carga el archivo que no debe exceder el tama o m ximo configurado a la carpeta forense A continuaci n cuando se inicia una carga manual del archivo el servidor ESM env a el archivo desde la carpeta forense a WildFire Cuando WildFire completa su an lisis y devuelve el veredicto y el informe el servidor ESM env a el veredicto cambiado a todos los agentes de Traps e implementa la pol tica Seg n crece el n mero de agentes que habilitan el env o autom tico de archivos desconocidos o que se env an manualmente se espera que el n mero total de archivos desconocidos se reduzca significativamente para todos los usuarios Carga de un archivo en WildFire para su an lisis Paso 1 En la consola ESM seleccione Pol ticas gt Malware gt Control de hashes Paso 2 Para visualizar el veredicto de WildFire para un hash espec fico proceda con una de las opciones siguientes e Utilice la b squeda de
221. los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de acci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Acciones de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Acciones de agentes Desde ah puede Duplicar Borrar o Desactivar la regla seg n sea necesario Cerrar o suspender la protecci n del EPM Si una pol tica de seguridad interfiere con una aplicaci n leg tima puede cerrar o suspender temporalmente la inyecci n del M dulo de prevenci n de exploits EPM en un endpoint Para los endpoints que ejecutan Traps versi n 3 1 o posterior Traps no inyectar los EPM en los procesos mientras la regla est activa pero enviar notificaciones acerca de eventos de seguridad Tras realizar el trabajo nec
222. lto Networks configurar ajustes finos adicionales para cada EPM La tabla siguiente describe los tipos de EPM y el tipo de exploit contra el que puede proteger el m dulo DEP Corrupci n de Prevenci n de ejecuci n de datos DEP Evita que las reas de memoria memoria que contienen datos se ejecuten como c digo ejecutable Protecci n de secuestro de Fallo l gico de Evita ataques de secuestro de DLL en los que el atacante intenta DLL softwate cargar DLL de localizaciones no seguras para obtener el control de un proceso Tambi n evita que el atacante cargue archivos CPL panel de control malintencionados CPL Fallo l gico de Protege contra vulnerabilidades relacionadas con la rutina de software visualizaci n para im genes de acceso directo del panel de control de Windows que se pueden usar en la creaci n de malware Seguridad de DLL Fallo l gico de Evita el acceso a metadatos de DLL cruciales de localizaciones de software c digos sin confianza Comprobaci n de excepci n de Heap Spray Corrupci n de Detecta instancias de heap sprays cuando ocurren excepciones memoria sospechosas indicativas de intentos de exploits Protecci n de fuentes Fallo l gico de Evita una manipulaci n inapropiada de fuentes un objetivo com n software de los exploits Cookies GS Fallo l gico de Mejora la granularidad de las comprobaciones de seguridad del softwate b fer de Windows para proteger contra el desbordamiento
223. lto NetworkslEndpoint Security ManagerYServer gt dbconfig reporting maximumreportscount lt value gt Por ejemplo la especificaci n de un recuento m ximo de informes de 5000 notificaciones significa que el Endpoint Security Manager desechar las notificaciones m s antiguas superiores a 5000 Definir ajustes de comunicaci n usando la consola ESM El servicio de Traps env a peri dicamente mensajes al servidor Endpoint Security Manager ESM para informar del estado operativo del agente informar sobre procesos que se est n ejecutando en el endpoint y para solicitar la pol tica de seguridad m s reciente Puede cambiar la frecuencia de la comunicaci n entre el servidor y el endpoint usando la herramienta de configuraci n de bases de datos DB consulte Definir ajustes de comunicaci n usando la herramienta de configuraci n DB o usando la consola ESM Definir ajustes de comunicaci n usando la consola ESM Paso 1 Seleccione Configuraci n gt General y a continuaci n seleccione Configuraci n del servidor de la lista desplegable Paso 2 Opcional Introduzca la frecuencia en minutos con la que Traps env a la lista de aplicaciones que se est n ejecutando en el endpoint al Endpoint Security Manager en el campo Intervalo de inventario en minutos Paso 3 Opcional Introduzca el periodo de gracia permitido para un dispositivo que no ha respondido en segundos en el campo Periodo heartbeat en segundos El period
224. m dulos cargados Seleccione Habilitado para informar de los controladores cargados en el sistema en el momento de la aparici n de un evento de seguridad e Informar de URI accedido Seleccione Habilitado para recopilar informaci n de los URI de los plug ins de la web reproductores multimedia y clientes de correo e Informar de procesos antecesores Algunas aplicaciones pueden ejecutar applets de Java como proceso hijo e incluso como proceso hijo de un proceso hijo etc Seleccione Habilitado para registrar informaci n acerca de los procesos antecesores de navegadores no navegadores y procesos hijo de applets de Java para permitirle una mejor comprensi n de la ra z de un evento Alternativamente para cada tipo de datos puede deshabilitar o heredar los ajustes de la pol tica de seguridad por defecto Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el
225. m tica Paso 4 Verifique la instalaci n de la extensi n de Chrome En el navegador Chrome introduzca chrome extensions y pulse Intro La extensi n Palo Alto Networks Traps Chrome Monitor deber visualizarse en la lista de extensiones Instalaci n de la extensi n de Chrome utilizando GPO Instalaci n de la extensi n de Chrome en el endpoint Paso 1 Extraiga los archivos de extensi n 1 Descargue y extraiga el archivo de extensi n Palo Alto Networks Traps Chrome Monitor 142 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Habilitaci n de la obtenci n de URI en Chrome Instalaci n de la extensi n de Chrome en el endpoint Paso 1 A ada chrome adm como plantilla en un controlador de dominio 1 W En el escritorio seleccione Inicio introduzca gpmc msc en el campo de b squeda y a continuaci n pulse Intro Cree el GPO En el Administrador de pol ticas del grupo seleccione Bosque gt Dominios Haga clic con el bot n derecho en el dominio y seleccione Crear GPO en este dominio Cambie el nombre del GPO a TrapsChromeExtention y haga clic en Guardar Edite el GPO Haga clic con el bot n derecho en el GPP y seleccione Editar Expanda la secci n de ajuste del ordenador del GPO Haga clic en Pol ticas gt Plantillas administrativas y haga clic con el bot n derecho en Plantillas administrativas Seleccione A adir Eliminar plantillas A ada la plantill
226. mendamos importar y cambiar las pol ticas por defecto seg n sea necesario para adecuatlas a su pol tica de seguridad como describe en los flujos de trabajo siguientes A Reglas de prevenci n de malware A Configuraci n de protecci n de inyecci n de subprocesos A Configuraci n de la protecci n de suspensi n Reglas de prevenci n de malware Una regla de prevenci n de malware evita la ejecuci n de malware con frecuencia disimulado o embedido en archivos no malintencionados utilizando m dulos de malware dirigidos a conductas de procesos comunes activadas por el malware A diferencia de las reglas de prevenci n de exploits que son de inclusi n voluntaria se habilitan los m dulos para los procesos espec ficos que se desean proteger las reglas de prevenci n de malware son de exclusi n voluntaria se habilitan los m dulos para proteger procesos y especificar el proceso o procesos permitidos para realizar la conducta definida Puede habilitar la inyecci n de m dulos de prevenci n de malware en todos los procesos o habilitar la protecci n en uno o m s procesos protegidos de su organizaci n Para permitir la ejecuci n de procesos leg timos puede crear una lista blanca de procesos principales que se inyectan en otros procesos Tambi n se 102 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de las reglas de protecci n de malware dispone de opciones adicionales de list
227. ministrador Prevenci n de malware Administraci n de reglas y ajustes de WildFire Administraci n de reglas y ajustes de WildFire A Habilitaci n de WildFire A Reglas de WildFire A Configuraci n de una regla de WildFire Habilitaci n de WildFire WildFire es la soluci n de an lisis de Palo Alto Networks para el an lisis de archivos desconocidos incluidos ejecutables desconocidos utilizando un dispositivo WildFire local o la nube WildFire WildFire contiene veredictos para todos los archivos examinados benigno en el caso de un archivo seguro o malintencionado en el caso del malware La integraci n de WildFire con Traps es un servicio opcional que integra an lisis WildFire en la soluci n de endpoints de Traps Cuando un usuario o m quina intenta abrir un archivo ejecutable en el endpoint Traps crea un identificador nico conocido como hash y lo comprueba con la base de datos de WildFire Si WildFire confirma que un archivo es malwate conocido el agente de Traps bloquea el archivo e informa al ESM para m s informaci n consulte Administraci n de hashes ejecutables De forma predeterminada la integraci n de WildFire est deshabilitada Habilitaci n de WildFire Paso 1 En la consola ESM seleccione Ajustes gt General gt Amenazas General Unknown verdicts recheck interval minutes WildFire v 60 Benign Malware recheck verdict interval minutes 60 verdict change check interval days 30 Allow
228. mplo un sistema SIEM servicios SOC o syslog adem s de almacenar sus propios logs de forma interna Tambi n se puede integrar el servidor syslog con herramientas de monitorizado de terceros como Splunk para analizar los datos logs Descargue al aplicaci n Splunk para Palo Alto Networks en https apps splunk com app 491 Para a adir una plataforma de logging externa consulte Habilitar informes utilizando la consola ESM 6 Protecci n avanzada del endpoint Gu a del administrador Descripci n general de la protecci n avanzada del endpoint Componentes de la protecci n avanzada del endpoint WildFire E Veredicto Hash Archivo PRELA Y Hash Archivo Veredicto A i 3 Servidor ESM Las firmas generadas e R est n disponibles para E Po ay Ey los suscriptores en tan solo 15 minutos Da Red empresarial Endpoints empresariales El agente de Traps se ha dise ado para bloquear ataques antes de que se ejecute cualquier c digo malintencionado en el endpoint Aunque este enfoque garantiza la seguridad de los datos y la infraestructura permite recopilar informaci n forense solamente en el momento de la prevenci n De este modo no puede revelar completamente la finalidad del ataque y su flujo completo El servicio WildFire es un sistema opcional de an lisis post prevenci n que realiza an lisis forenses de archivos malintencionados Al activar la integraci n del de WildFire se permite a Traps crear un hash de a
229. n 2 Introduzca la contrase a que el usuario o administrador deben introducir para desinstalar Traps La contrase a debe tener una longitud m nima de ocho caracteres Protecci n avanzada del endpoint Gu a del administrador 125 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Cambio de la contrase a de desinstalaci n Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de ajustes de organizaci n Para definir un subconjunto m s peque o de agentes objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existen
230. n Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Guardar reglas Para guardar una regla debe rellenar todos los campos necesarios para ese tipo de regla Las pesta as con los campos obligatorios se indican con una l nea serpenteante bajo el nombre de la pesta a Rellene los campos obligatorios antes de intentar guardar o modificar una regla Forensics Conditions 0 S mandatory Summary amp Activation Rule summary Enter the rule name Forensics 2 3 2015 12 45 PM Auto Des Enter the rule description cription is Activated it immediately To save the rule and activate it at a later time click Save L Al Some fields are not valid Save Save 3 Apply Tras especificar los campos necesarios para una regla puede seleccionar una de las acciones siguientes Guardar Guarde la regla sin activarla El estado de la regla se muestra como Inactivo y puede activarse m s adelante Guardar y aplicar Guarde la regla y act vela inmediatamente 60 Protecci n avanzada del endpoint Gu a del administrador Primeros pasos con las reglas Componentes y acciones comunes de las reglas Administraci n de reglas guardadas Tras guardar la regla aparecen el nombre y la descripci n en diferentes logs del sistema y tablas Seleccione la
231. n DB hacen distinci n A entre may sculas y min sculas Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene la herramienta de configuraci n DB C lUserslAdministrator gt cd C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server Paso 3 Opcional Visualice los ajustes de administrador existentes C Program FilesiPalo Alto NetworksXEndpoint Security Manager Server gt dbconfig usermanagement show AuthMode Machine AllowedUsers Administrator AllowedGroups Paso 4 Opcional Especifique el modo de autenticaci n dominio o m quina C Program FilesiPalo Alto NetworksXEndpoint Security Manager Server gt dbconfig usermanagement authmode domain machine Paso 5 Opcional Especifique usuarios administrativos adicionales Utilice un punto y coma para separar valores m ltiples Por ejemplo administrator1 administrator2 C Program FilesiPalo Alto NetworkslEndpoint Security Manager Server gt dbconfig usermanagement allowedusers
232. n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de acci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de acci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Acciones de agentes y haga
233. na vulnerabilidad de software los m dulos de protecci n de Traps entran en acci n para detener la conducta de proceso malintencionado y finalmente bloquear el ataque Por ejemplo considere el caso en el que un archivo intenta acceder a metadatos de DLL cruciales desde localizaciones de c digos que no son de confianza Si se activa el m dulo de seguridad de DLL para proteger procesos de su organizaci n Traps detiene inmediatamente el proceso que intenta acceder a los metadatos de DLL Traps registra el evento en su log de eventos e informa al usuario del evento de seguridad Se as se ha configurado Traps muestra un mensaje de notificaci n personalizado para m s informaci n consulte Creaci n de un mensaje de prevenci n personalizado Tras detener con xito un intento de exploit Traps recoge y analiza los datos relacionados con el evento seg n se describe en Fase 2 An lisis automatizado Fase 2 An lisis automatizado Cuando se produce un evento de seguridad en un endpoint Traps congela los contenidos de la memoria y los guarda en un archivo conocido como volcado de memoria Desde la consola ESM se puede ajustar la configuraci n del volcado de memoria que especifica su tama o como peque o mediano o completo el conjunto de informaci n m s grande y m s completo y Traps cargar autom ticamente el volcado de memoria en la carpeta forense Para obtener m s informaci n consulte Definici n de las preferencias del volcad
234. ncedHooks 0x00000001 Comparar pol ticas En intervalos regulares Traps solicita una pol tica de seguridad actualizada del Endpoint Security Manager y la guarda en el registro del sistema Cuando un usuario inicia un proceso Traps determina si protege o no el proceso seg n los ajustes de la pol tica de seguridad En escenarios de soluci n de problemas en los que Traps no se comporta seg n lo previsto utilice el comando cytool policy compare para ver las diferencias en pol ticas que se aplican a procesos que se ejecutan en el endpoint Utilizando el comando puede comparar una pol tica para un proceso con la pol tica de seguridad por defecto o comparar una pol tica para un proceso con una pol tica para otro proceso En ambos casos puede especificar el nombre del proceso o la ID del proceso DIP La especificaci n del nombre del proceso simula la aplicaci n de la pol tica para el proceso Al especificar el PID se consulta la pol tica efectiva para el proceso en ejecuci n Cytool muestra los ajustes de pol ticas punto por punto e indica cualquier diferencia entre los pol ticas en rojo Para comparar pol ticas debe introducir la contrase a del supervisor cuando as se solicita Comparar pol ticas Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool 184 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Cytool Comparar pol
235. nci n de malware Administraci n de reglas y ajustes de WildFire Configuraci n de una regla de WildFire Paso 1 Verifique que WildFire est habilitado Consulte Habilitaci n de WildFire Paso 2 Inicie una nueva regla de WildFire j Seleccione Pol ticas gt Malware gt WildFire A ada una nueva regla o seleccione y Edite una regla existente Paso 3 Opcional Configure los ajustes de WildFire Por defecto WildFire hereda la conducta de la pol tica por defecto Para cancelar los ajustes configure los ajustes de WildFire para cumplir con las necesidades de su organizaci n 6 A la izquierda Deshabilite o Habilite la integraci n de WildFire La habilitaci n de la integraci n de WildFire permite a Traps crear y comprobar veredictos de hash frente a su cach local de hashes Para habilitar que el agente de Traps cargue archivos desconocidos en el servidor ESM seleccione Habilitado en la lista desplegable Carga de ejecutables Seleccione el Modo de terminaci n la conducta de Traps cuando WildFire confirma que un archivo ejecutable es malintencionado e Seleccione Heredar para usar la conducta definida por la pol tica por defecto la pol tica por defecto se utiliza para el modo de aprendizaje e Seleccione Terminar para bloquear el ejecutable malintencionado e Seleccione Notificar para permitir que el usuario abra el ejecutable haga un log del problema e informe al usuario e S
236. ndpoint KA Los cambios en los controladores y servicios de Traps no se hacen efectivos hasta el reinicio del Protecci n avanzada del endpoint Gu a del administrador 181 Cytool Soluci n de problemas Habilitaci n o deshabilitaci n del inicio de los componentes de Traps en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para cambiar la conducta de inicio para un controlador o servicio espec ficos utilice el comando siguiente C Program FilesiPalo Alto NetworksYTraps gt cytool startup enable disablel lt component gt donde lt component gt es un controlador cyverak cyvrmtgn cyvrf sfd o un servicio cyserver CyveraService Alternativamente puede omitir lt component gt del comando para cambiar la conducta de inicio para todos los controladores y servicios El ejemplo siguiente muestra el resultado para la deshabilitaci n de la conducta de inicio del controlador cyvrmtgn La columna Inicio muestra la conducta revisada como Deshabilitada C Program FilesiPalo Alto NetworkslTraps gt cytool startup disable cyvrmtgn Introducir contrase a de supervisor Servicio Inicio cyverak Sistema cyvrmtgn Deshabilitado cyvrfsfd Sistema cyserver Autom tico CyveraService Autom tico Ver componentes de tiempo de ejecuci n de Traps en el endpoint Utilice el comando cytool runtime query para visualizar el estado de los componentes
237. ne la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de ajustes de organizaci n Para definir un subconjunto m s peque o de agentes objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguie
238. nga la pol tica de seguridad activa en un endpoint ejecute lo siguiente desde una l nea de comando cyveraconsole exe export 641980 c TargetFolderjpolicy txt Ver cambios en la pol tica de seguridad del endpoint Paso 1 Proceda de una de las maneras siguientes para activar la consola de Traps en el endpoint En la bandeja de Windows haga clic con el bot n derecho en el icono de Traps y y seleccione la Consola o haga doble clic en el icono e Ejecute CyveraConsole exe desde la carpeta de instalaci n de la consola de Traps Paso 2 Ver los eventos de seguridad 1 Si es necesario haga clic en Avanzado para mostrar pesta as adicionales A continuaci n haga clic en la pesta a Pol tica para mostrar las reglas de protecci n que se est n ejecutando en el endpoint 2 Utilice las flechas ascendente y descendente para desplazarse a trav s de la lista de reglas de protecci n E Traps Lix e paloalt NETWORKS Modified 57 disk quota 9 2 2014 1 41 34 AM 59 Collect New Process Data 11 5 2014 3 27 09 PM 116 Restriction FoldersBehaviour 1 7 2015 11 42 AM 1 24 2015 8 14 39 AM 160 WildFire 12 18 2014 3 56 AM 1 21 2015 1 49 AM 228 Forensics 1 25 2015 6 30 AM 2 10 2015 8 45 17 AM 230 Anti Exploitation policy 2 3 2015 7 40 AM 2 3 2015 7 40 50 AM 232 Agent Setting 2 3 2015 9 18 AM 2 3 2015 9 18 59 AM 310 disable sp 2 11 2015 1 57 45 PM Connection Connected to 10 5 124 73 Open Log File Las
239. nos Habilitar informes externos utilizando la consola ESM Paso 1 Vaya a la p gina de Informes externos Seleccione Ajustes gt General y a continuaci n seleccione Informes externosde la lista desplegable Paso 2 Configure los ajustes de informes e Seleccione verdadero en la lista desplegable Habilitar Syslog OS e Introduzca el nombre del host o la direcci n IP del Servidor Syslog e Opcional Introduzca el puerto de comunicaci n para el servidor syslog en el campo Puerto Syslog un valor entre 1 y 65535 por defecto es 514 e Seleccione verdadero en la lista desplegable Habilitar log de eventos e Opcional En el campo Agotada conexi n de mensajes de mantenimiento introduzca un intervalo de tiempo en minutos un valor de 0 o superior durante el que el endpoint env a un mensaje de mantenimiento al log o registro el valor por defecto es 0 e Opcional En el campo Enviar intervalo de informes introduzca la frecuencia de informes enviados desde el endpoint en minutos un valor de 0 o superior el valor por defecto es 10 Introduzca un valor de O si no desea recibir informes del gwl endpoint Habilitar informes externos usando la herramienta de configuraci n DB El ESM puede escribir logs en una plataforma de creaci n de logs externa como por ejemplo un sistema SIEM servicios SOC o syslog adem s de almacenar sus propios logs de forma interna Al especificar una plataforma de creaci n de logs externa
240. ntes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Recopilaci n de informaci n de nuevos procesos Con la recopilaci n de informaci n procesos nuevos del endpoint puede analizar si se crear n o no reglas de seguridad Por defecto el agente de Traps no recopila informaci n sobre procesos nuevos Puede configurar Traps para informar de cada proceso ejecutado en un endpoint al Endpoint Security Manager habilitando el ajuste Administraci n de procesos La p gina de administraci n de procesos muestra todos los procesos a adidos manualmente o descubiertos autom ticamente Recopilaci n de informaci n de nuevos procesos Paso 1 Inicie una nueva regla de ajustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla Paso 2 Habilite la recopilaci n de nuevos 1 Seleccione Administraci n de procesos en la lista desplegable procesos en los endpoints Ajustes de agentes 2 Seleccione la casilla de verificaci n Recopilar informaci n de nuevos procesos Seg n se detectan nuevos procesos el ESM los muestra en la p gina Pol ticas gt Exploit gt Administraci n de
241. ntinuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de acci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y
242. ntrase a con una longitud m nima de ocho caracteres Haga clic en Siguiente Paso 7 Finalice la instalaci n 1 2 Haga clic en Instalar Cuando finalice la instalaci n haga clic en Finalizar Instalaci n del software de la consola Endpoint Security Manager Antes de instalar el software de la consola del Endpoint Security Manager ESM verifique que el sistema cumple los requisitos que se describen en Requisitos previos para la instalaci n del servidor ESM Advanced Endpoint Protection Administrator s Guide 35 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps Instalaci n del software de la consola Endpoint Security Manager Paso 1 Inicie la instalaci n del software de la 1 Obtenga el software de su administrador de cuentas de Palo consola ESM Alto Networks su vendedor o en https support paloaltonetworks com 2 Descomprima el archivo y haga doble clic en el archivo de instalaci n ESMConsole 3 Haga clic en Siguiente para comenzar el proceso de configuraci n 4 Seleccione la casilla Acepto los t rminos del contrato de licencia y a continuaci n haga clic en Siguiente Paso 2 Indique la carpeta de instalaci n para el Deje la carpeta de instalaci n por defecto o haga clic en Cambiar Endpoint Security Manager para especificar una carpeta de instalaci n diferente y haga clic en Siguiente Paso 3 Introduzca los ajustes de configuraci n 1
243. ntro de acci n y seleccione Ajustes de Cambiar centro de acci n 2 Deseleccione la opci n Cortafuegos de red 3 Haga clic en ACEPTAR Paso 6 Verifique que se recupera la conectividad entre Traps y el servidor ESM En la consola Traps haga clic en Registrar ahora Si se establece la conectividad el estado de conexi n aparece como Con xito Si el problema persiste p ngase en contacto con el equipo de asistencia t cnica de Palo Alto Networks 196 Protecci n avanzada del endpoint Gu a del administrador
244. o de memoria 132 Protecci n avanzada del endpoint Gu a del administrador Datos forenses Descripci n general de datos forenses Tras crear un volcado de memoria Traps decodifica el archivo y extrae la informaci n para identificar la causa subyacente y verificar la validez de la prevenci n Utilice los resultados del an lisis para diagnosticar y comprender el evento Dependiendo del tipo de evento Traps tambi n puede usar herramientas de detecci n automatizadas para explorar la conducta malintencionada seg n se describe en Fase 3 Detecci n automatizada Fase 3 Detecci n automatizada Tras analizar el volcado de memoria Traps realiza autom ticamente un an lisis secundario cuyos resultados se pueden usar para verificar la legitimidad de un evento de prevenci n El an lisis secundario proporciona una visi n m s amplia de la naturaleza del evento usando las herramientas de detecci n incluida la detecci n de la cadena ROP y la detecci n de heap spray para identificar rastros de actividades malintencionadas adicionales Si las herramientas de detecci n identifican con xito los restos de actividades malintencionadas Traps guarda la informaci n en un archivo de log del sistema en el endpoint usando la sintaxis siguiente Prefijo nico de Traps client ID event ID Traps tambi n informa de la detecci n al servidor ESM La consola ESM muestra los resultados en la secci n An lisis de vuelco autom tico de Traps para cada
245. o de un ataque El ataque ha sido Se informa del evento un archivo no perfectamente de exploits el exploit bloqueado de seguridad al ejecutable controladores en el llega a una trap antes Administrador de procesos que han de iniciarse la actividad Seguridad de abierto el archivo malintencionada Endpoints ESM Cuando un usuario abre un archivo no ejecutable por ejemplo un documento de PDF o Word el agente de Traps inyecta controladores en el software que abre el archivo Los controladores se inyectan en la etapa m s temprana posible antes de que se cargue en la memoria cualquier archivo perteneciente al proceso Si el proceso que abre el archivo est protegido Traps inyecta un m dulo de c digo denominado M dulo de prevenci n de exploits EPM en el proceso El EPM se dirige a una t cnica de exploits espec fica y se ha dise ado para evitar ataques a las vulnerabilidades de los programas bas ndose en la corrupci n de memoria o fallos l gicos Los ejemplo de ataques que pueden evitar los EPM incluyen secuestro de librer as DLL sustituci n de una DLL leg tima por una malintencionada con el mismo nombre suplantaci n del flujo de control de un programa y la inserci n de un c digo malintencionado como gestor de excepciones Adem s de proteger autom ticamente los procesos contra los citados ataques Traps informa de cualquier evento de prevenci n al Endpoint Security Manager y realiza acciones adicionales seg n los ajustes de las re
246. o heartbeat por defecto es de cinco minutos 168 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Administraci n de preferencias de informes y logging Definir ajustes de comunicaci n usando la herramienta de configuraci n DB El servicio de Traps env a peri dicamente mensajes al servidor ESM para informar del estado operativo del agente informar sobre procesos que se est n ejecutando en el endpoint y para solicitar la pol tica de seguridad m s reciente Puede cambiar la frecuencia de la comunicaci n entre el servidor y el endpoint usando el Endpoint Security Manager consulte Definir ajustes de comunicaci n usando la consola ESM o usando la herramienta de configuraci n de bases de datos DB La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La herramienta de configuraci n DB se encuentra en la carpeta Servidor del servidor ESM Todos los comandos ejecutados utilizando la herramienta de configuraci n DB hacen distinci n KA entre may sculas y min sculas Definir ajustes de comunicaci n usando la herramienta de configuraci n DB Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt A
247. o real los detalles forenses relacionados con eventos de seguridad e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire 12 Protecci n avanzada del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaciones peque as En este escenario de implementaci n un solo sitio contiene la base de datos las consola ESM para la administraci n de las pol ticas locales y los endpoints y servidores ESM redundantes Si no se puede acceder al servidor ESM principal los agentes de Traps se conectan al Endpoint Security Manager utilizando el servidor de respaldo Ambos servidores obtienen la pol tica de seguridad de la base de datos y la distribuyen a los agentes Implementaciones peque as de sitios m ltiples Endpoint Security Manager ESM N a o gt l g Este escenario de implementaci n permite hasta 100 000 agentes de Traps 5 000 por sitio en un entorno de sitios m ltiples y est compuesto de los siguientes componentes Una base de datos dedicada en uno de los sitios Una consola Endpoint Security Manager ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administrar la pol tica de seguridad y los agentes de Traps Un servidor ESM por sitio o dos servidores ESM por sitio para la redundancia
248. occcccococoncococcc rr 123 Gesti n de protecci n de SELVICIOS seses ess settee sar ra EEO RAEE RES 124 Cambio de la contrase a de desinstalaci n oooooocccccconocorccco or 125 Creaci n de un mensaje de prevenci n personalizadO ooooooooocccccononcccccc 126 Creaci n de un mensaje de prevenci n personalizadO oooooooococcccncnoococrc 128 Beroni e nao ESAS 131 Descripci n general de datos fOrenses ooooooccccccnnonorrr S SEERE E DE RIAA 132 Flujo de datos forenses ssrsseccssrist enes e a a a KEE EE a a a a 132 Tiposde datos forenses iia ndo dic iidia di ia ib a a 134 Administraci n de reglas y ajustes fOrenses ooooooomooccccnnan arar 135 Reglas forenses cl e a ia A EAN 135 Cambio de la carpeta forense por defecto csesscceecsssns ee dasto uT EN EEn DEEA ERRE ES 135 Creaci n deuna reola fotensE sest sos A ibi 137 Definici n de las preferencias del volcado de Memorla oooooocccocoorocccccccaoo 138 Definici n de las preferencias de recopilaciones fOrenses ooooooocccccccnoon occ 139 Obtenci n de datos acerca de un evento de seguridad oooooccccccconococccco 141 Habilitaci n de la obtenci n de URI en Chtome ooooooocccccccnooocrcc rrr nrr rnrn 142 Instalaci n de la extensi n de Chrome en el ENdpolMt oooooccccccooncccccccoo 142 Instalaci n de la extensi n de Chrome utilizando GPO ooooocccccccncccccc ro 142 a A ip aee a EE E pigne a Pf iore dai ja 145 Mantenimiento de los endpoints y Traps oocooooccc
249. ocidas dejando el endpoint vulnerable hasta que se actualizan las firmas La soluci n de Protecci n avanzada del endpoint que consiste en un administrador de seguridad de endpoints EMS y el software de protecci n de endpoints llamado Traps es m s efectiva en la prevenci n de ataques En vez de intentar seguir la siempre creciente lista de amenazas conocidas Traps configura una serie de obst culos que previenen los ataques en sus puntos de entrada inicial cuando los ejecutables leg timos est n a punto de permitir accesos malintencionados al sistema Traps se centra en las vulnerabilidades del software en procesos que abren archivos no ejecutables utilizando t cnicas de prevenci n de exploits Traps tambi n utiliza t cnicas de prevenci n de malware para evitar la ejecuci n de archivos ejecutables malintencionados Con este doble enfoque la soluci n AEP puede evitar todo tipo de ataques ya sean amenazas conocidas o desconocidas Todos los aspectos de los ajustes de seguridad del endpoint son altamente configurables los endpoints y los grupos a los que se aplican las aplicaciones que protegen y las reglas restricciones y acciones definidas Esto permite a cada organizaci n configurar Traps a medida de sus necesidades para obtener la m xima protecci n con una m nima alteraci n de sus actividades diarias A Prevenci n de exploits A Prevenci n del malware Prevenci n de exploits Un exploit es una secuencia de comandos
250. onal Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire Protecci n avanzada del endpoint Gu a del administrador 17 Implementaciones grandes Escenarios de implementaci n de la Protecci n avanzada del endpoint En este ejemplo se asume que cada uno de los sitios A B C y D necesita hasta 50 000 agentes de Traps Para permitir este escenario cada sitio administra pol ticas de seguridad de forma independiente frente a otros sitios utilizando un Endpoint Security Manager local compuesto de un servidor ESM una base de datos y una consola ESM Los agentes se conectan al Endpoint Security Manager utilizando sus servidores ESM locales como servidor principal y utilizan los servidores ESM de otros sitios como servidores secundarios No se recomienda el uso de bases de datos en un cl ster debido a la posibilidad de colisi n entre las bases de datos En los casos en que ya est en funcionamiento la soluci n de bases de ria datos configure los agentes de Traps para la utilizaci n de una sola direcci n IP virtual VIP para acceder al cl ster de bases de datos Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN Endpoint Security Manager ESM Y bo 7 PE N l Sitio A 1 El 0 I e l I l l I S ES I l Sitio B Sitio C DMZ I E E E E i I I I sx Y a a a a a a a E a Este escenario de implementaci n permite hasta 200 000 agentes de Traps 5
251. one el encabezado de la columna de nuevo para aplicar un orden descendente Paso 4 Opcional Para filtrar las entradas de la tabla haga clic en el icono del filtro Y a la derecha de la columna para especificar hasta dos conjuntos de criterios para la filtraci n de los resultados Paso 5 Opcional Para expandir una entrada de regla haga clic en la flecha de expansi n del lado derecho de la regla En la vista expandida puede ver los detalles de las reglas adicionales o realizar cualquier acci n para administrar una regla Consulte Guardar reglas Ver detalles acerca de las reglas Cada resumen de regla y p gina de administraci n de la consola ESM muestra detalles acerca de las reglas que incluye la pol tica de seguridad de su organizaci n La tabla siguiente describe los campos y acciones disponibles para cada p gina de administraci n de reglas incluidos la prevenci n de exploits prevenci n de malware restricci n ajustes de WildFire acci n ajustes de agentes y reglas forenses La vista de detalles est ndar proporciona informaci n resumida para cada regla y muestra una tabla de reglas con campos mostrados a lo largo de la parte superior Al seleccionar una regla de la tabla se expande la fila para mostrar detalles adicionales acerca de la regla y las acciones que se pueden realizar Vista de detalles est ndar ID Una ID num rica nica para la regla Estado e Ej Activa ES Inactiva 160 Pr
252. onfiguraci n DB Paso 4 Si no puede iniciar sesi n como administrador reinstale el Endpoint Security Manager como administrador local Paso 5 Reinicie IIS Haga clic en Iniciar gt Ejecutar tipo Reiniciar IIS y haga clic en ACEPTAR Paso 6 Verifique que puede iniciar sesi n en la consola del Endpoint Security Manager usando la cuenta Si el problema persiste p ngase en contacto con el equipo de asistencia t cnica de Palo Alto Networks Por qu recibo un error de servidor cuando inicio la consola ESM S ntoma Cuando se abre la consola del Endpoint Security Manager ESM se recibe un error en el navegador que indica un error de servidor en la aplicaci n CyveraManagement or EndpointSecurityManager A Could not load file or assemb x C D localhost CyveraManagement Server Error in CyveraManagement Application Could not load file or assembly System Core Version 2 0 5 0 Culture neutral PublicKeyToken 7cec85d7bea7798e Retargetable Yes or one of ts dependencies The given assembly name or codebase was invalid Exception from HRESULT 0x80131047 Description An unhandied exception occurred during the execution of the current web request Please review the stack trace for more information about the error and where tt originated in the code Exception Details System O FleLoadException Could not load file or assembly System Core Version 2 0 5 0 Culture neutral PublicKeyToken 7cec85d7bea
253. ontiene la herramienta de configuraci n DB C UserslAdministrator gt cd C Program FilesiPalo Alto NetworksEndpoint Security Manager Server Paso 3 Opcional Visualice los ajustes de informes existentes C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig reporting show EnableSyslog True SyslogServer CyveraServer SyslogPort 514 EnableEventLog True KeepAliveTimeout 0 SendReportsInterval 10 MaximumReportsCount 5000 MinReportsCount 4000 Paso 4 Habilite los informes syslog C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig server enablesyslog true Paso 5 Introduzca la direcci n IP del servidor syslog C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig server syslogserver lt ipaddress gt Paso 6 Especifique el puerto de comunicaci n para el servidor syslog un valor entre 1 y 65535 por defecto es 514 C Program FilesiPalo Alto Networks Endpoint Security Manager Server gt dbconfig server syslogport lt portnumber gt Paso 7 Opcional Habilite el logging de eventos para enviar eventos de seguridad que Traps encuentra en el log de eventos de Windows C Program FilesiPalo Alto NetworkslEndpoint Security ManagerYServer gt dbconfig server enableeventlog true Protecci n avanzada del endpoint Gu a del administrador 167 Administraci n de preferencias de informes y logging Informes y logs Habilit
254. ontrase a del supervisor cuando se le pida Habilitaci n o deshabilitaci n de ajustes de protecci n de registro en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para gestionar los ajustes de protecci n de claves de registro en el endpoint utilice el comando siguiente C Program FilesiPalo Alto NetworksYTraps gt cytool protect enable disablel registry El ejemplo siguiente muestra el resultado de la habilitaci n de protecci n de claves de registro La columna Modo muestra el estado de protecci n revisado Habilitado O Deshabilitado O Pol tica cuando se utilizan los ajustes de la pol tica de seguridad local para proteger las claves de registro C Program FilesiPalo Alto NetworksYTraps gt cytool protect enable registry Introducir contrase a de supervisor Protecci n Modo Estado Proceso Pol tica Deshabilitado Registro Habilitado Habilitado Archivo Pol tica Deshabilitado Servicio Pol tica Deshabilitado Para utilizar los ajustes de la pol tica de seguridad local y proteger las claves de registro en el endpoint consulte Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Habilitaci n o deshabilitaci n de ajustes de protecci n de Traps en el endpoint Para evitar que los atacantes alteren los archivos de Traps utilice el comando cytool protect enable file para restringir el acceso a los archivos
255. oo 165 Ver notificaciones acerca del servidor ESM oooococccccocococccrr runner 165 Ver detalles acerca de los logs de servidor ESM ooooocoooooocccccco roo 165 Administraci n de preferencias de informes y logging o ooooooooocorcccocnonrocrc nro 166 Protecci n avanzada del endpoint Gu a del administrador Habilitar informes utilizando la consola ESM o o ooooooorooo nere r neee 166 Habilitar informes externos usando la herramienta de configuraci n DB oooooocccoooooo 166 Definir ajustes de comunicaci n usando la consola ESM ooccooococcccccccnoor 168 Definir ajustes de comunicaci n usando la herramienta de configuraci n DB o o o oo ooo o 169 Soluci n de PODEMOS brrr trasero 171 Recursos para la soluci n de problemas de la protecci n avanzada del endpoint ooommmm o o o 172 Herramienta de configuraci n de bases de datos ooooccccccccococccccn ro 173 Acceso a la herramienta de configuraci n de bases de dat0S ooooooooooooocccccnoo o 173 o l asais eea a e A E A E E ER E E AEA ENAS 175 Acceso a CYO lasus di EE RA E E ii caia 175 Ver procesos actualmente protegidos por Traps lt ssorronie esdir sis ii ettr penaa ETEK ESSA ESNA 176 Administraci n de los ajustes de protecci n en el endpoint n sunus sns rr rrr rrrr nr rr rro 177 Administraci n de controladores Traps y servicios en el endpolMt ooooooocccccncooonmmo 181 Ver y comparar las pol ticas de seguridad en un endpoint s
256. opci n Ajustar tama o de disco MB para especificar el tama o de la carpeta de almacenamiento temporal que utilizar Traps para almacenar logs de eventos Especifique el tama o m ximo en MB El valor predeterminado es de 1000 MB 10 GB El m ximo es de 10 000 000 MB 10 TB e Seleccione la opci n Escribir eventos de agentes en el log de eventos de Windows para enviar los eventos de Traps al log de eventos de Windows Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de ajustes de agentes Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la
257. or ejemplo medios externos El motor de prevenci n de malware tambi n utiliza mitigaciones basadas en la t cnica que limitan o bloquean procesos secundarios procesos de Java iniciados en los navegadores web creaci n de subprocesos y procesos remotos y la ejecuci n de procesos sin firma Cuando se produce un evento de seguridad las acciones comunes realizadas por Traps incluyen la prevenci n de la ejecuci n del archivo recopilaci n de datos forenses e informaci n al usuario en relaci n con el evento Traps no realiza ninguna acci n adicional de exploraci n o monitorizado Para obtener m s informaci n consulte Flujo de prevenci n del malware Protecci n avanzada del endpoint Gu a del administrador 3 Componentes de la protecci n avanzada del endpoint Descripci n general de la protecci n avanzada del endpoint Componentes de la protecci n avanzada del endpoint La soluci n AEP utiliza un Endpoint Security Manager ESM central compuesto de una consola ESM una base de datos y un servidor ESM para administrar las reglas de las pol ticas y distribuir la pol tica de seguridad a los endpoints de su organizaci n Los componentes del Endpoint Security Manager se comunican con el software de protecci n denominado Traps que se instala en cada endpoint de su organizaci n El diagrama siguiente muestra los componentes de la Protecci n avanzada del endpoint Endpoint Security Manager ESM 1 l l l l l l I I l I
258. organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 7 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 8 Guarde la regla de prevenci n de malware Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt M dulos de protecci n y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Malware gt M dulos de protecci n Desde ah puede Borrar o Desactivar la regla seg n sea necesario 108 Protecci n avanzada del endpoint Gu a del administrador 2 Administraci n de endpoints Los siguientes temas describen c mo administrar los endpoints usando el Endpoint Security Manager A Administraci n de reglas de acci n de Traps A Administraci n de las reglas de ajustes de agentes Protecci n avanzada del endpoint Gu a del administrador 109 Administraci n de reglas de acci n de Traps Administraci n de endpoints
259. otecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado de las reglas Tipo e Protecci n contra exploits e Restricci n e Protecci n de malware e WildFire e Acci n de agente e Ajuste de agente e Datos forenses Fecha modificada La fecha y la hora de creaci n o ltima modificaci n de la regla Nombre El nombre de la regla Descripci n La descripci n de la regla Asociado Los objetos de destino a los que se aplica la regla Condici n Las condiciones que deben cumplirse si las hay para aplicaci n de la regla Vista de detalles adicionales Creador El usuario que ha creado la regla Creado La fecha y hora de creaci n de la regla Modificador La cuenta de usuario que ha modificado la regla por ltima vez si se conoce Procesos Solo reglas de prevenci n de exploits Los procesos de destino de la regla EPM Solo reglas de prevenci n de exploits El M dulo de prevenci n de exploits EPM que protege el proceso Acci n de una vez Solo reglas de acci n La acci n que se va a realizar en el endpoint Restricciones Solo reglas de restricci n El m todo de restricci n que protege contra ejecutables maliciosos Ajustes de agentes Solo reglas de ajustes de agentes La acci n que se va a realizar en el software Traps Duplicar Solo reglas de acci n Vuelve a ejecutar la regla de
260. ows Server 2012 Continuaci n Paso 4 A ada el rol y las caracter sticas de Web Seleccione la opci n Servidor web IIS 1 Services 2 Haga clic en A adir caracter sticas 3 Haga clic en Siguiente 4 Seleccione Caracter sticas de NET Framework 3 5 uu Seleccione Caracter sticas de NET Framework 4 5 y ASP NET 4 5 6 Haga clic en Siguiente Haga clic en Siguiente de nuevo 7 Bajo Servidor web seleccione Desarrollo de aplicaciones y expanda las caracter sticas para mostrar selecciones adicionales Seleccione las caracter sticas siguientes Si as se pide haga clic en A adir caracter sticas e ASPNET 3 5 ASP NET 4 5 e Extensiones de ISAPI e Filtros de ISAPI e NET Extensibility 3 5 e NET Extensibility 4 5 8 Haga clic en Siguiente Paso 5 Confirme los servicios de instalaci n 1 Verifique que aparecen las caracter sticas en la lista de Selecciones de instalaci n y haga clic en Instalar DESTINATION SERVER Confirm installation selections VINESLTMTAIGEA To install the following roles role services or features on selected server click Install C Restart the destination server automatically if required Optional features such as administration tools might be displayed on this page because they have been selected automatically If you do not want to install these optional features click Previous to clear their check boxes NET Framework 3 5 Features NET Framework 3 5 includes N
261. para comprobar si Traps En la consola de Traps seleccione Abrir archivo de log informa de un error espec fico A n P e Desde la consola de Traps seleccione Enviar archivo de soporte para enviar los logs al servidor ESM e Cree una regla de acci n para recuperar los logs del endpoint consulte Gesti n de datos recopilados por Traps Paso 10 Si el problema persiste p ngase en contacto con el equipo de asistencia t cnica de Palo Alto Networks C mo soluciono un error de certificado de servidor de Traps S ntoma Aparece el siguiente error en services log del endpoint Se ha producido un error durante la solicitud HTTP a https lt hostname gt 2125 CyveraServer Esto puede deberse al hecho de que el certificado del servidor no se configura correctamente con HTTP SYS en el caso de HTTPS Esto tambi n puede deberse a una falta de coincidencia del enlace de seguridad entre el cliente y el servidor Causas posibles Cuando se instala el software del servidor ESM se dispone de los siguientes ajustes de configuraci n de certificados Sin certificado Sin SSL y certificado externo SSL Para instalar Traps debe seleccionar SSL si ha seleccionado Certificado externo durante la instalaci n del software del servidor ESM o Sin SSL si ha seleccionado Sin certificado La falta de coincidencia en los ajustes causa el error del que se informa a service log 190 Protecci n avanzada del endpoint Gu a del administ
262. permite que el proceso se inyecte en otro proceso 3 Configure la conducta de notificaci n cuando el proceso fuente intenta inyectarse en otro proceso Notificaci n de usuario e Heredar Hereda la conducta de la pol tica por defecto e On _nforma al usuario cuando un proceso intenta inyectarse en otro proceso e Off No informa al usuario cuando un proceso intenta inyectarse en otro proceso 4 Para a adir un proceso objetivo a una lista blanca haga clic en el icono YH del modo ninja e introduzca la contrase a de supervisor A ada uno o m s procesos a la lista 104 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de las reglas de protecci n de malware Configuraci n de protecci n de inyecci n de subprocesos Continuaci n Paso 5 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 6 Opcional Defina el Objetos de destino al que se aplica la regla de prevenci n de malware Por defecto
263. ples grandes con m ltiples Endpoint Security Manager Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN gt o gt gt gt Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN Implementaciones grandes de un solo sitio Endpoint Security Manager ESM ss e e _ Este escenario de implementaci n permite hasta 200 000 agentes de Traps 50 000 por sitio en un entorno de un solo sitio y est compuesto de los siguientes componentes e Un servidor de base de datos dedicado e Una consola Endpoint Security Manager ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administrar la pol tica de seguridad y los agentes de Traps Protecci n avanzada del endpoint Gu a del administrador 15 Implementaciones grandes Escenarios de implementaci n de la Protecci n avanzada del endpoint e Servidores ESM uno para cada 50 000 agentes de Traps y cada uno de ellos ejecutando ESM Core 3 2 e Carpeta forense una por servidor ESM a la que puedan acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire En este ejemplo se puede conectar hasta 200 000 agentes de Traps al End
264. point Security Manager Para permitir este escenario los endpoints se conectan a cuatro servidores ESM a trav s de un equilibrador de carga opcional Cada servidor ESM se conecta a una base de datos central administrada por una consola ESM dedicada Aplicaci n de sitios m ltiples grandes con un Endpoint Security Manager Endpoint Security Manager ESM ne Sitio A Sitio B Sitio C Sitio D y N Y e os as NS so j a TR e A Este escenario de implementaci n permite hasta 200 000 agentes de Traps 50 000 por sitio en un entorno de sitios m ltiples y est compuesto de los siguientes componentes e Un servidor de base de datos dedicado e Una consola Endpoint Security Manager ESM que ejecuta 3 2 en la misma localizaci n que la base de datos para administrar la pol tica de seguridad y los agentes de Traps e Servidores ESM uno para cada 50 000 agentes de Traps en cada sitio y cada uno de ellos ejecutando ESM Core 3 2 e Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS 16 Protecci n avanzada del endpoint Gu a del administrador Escenarios de implementaci n de la Protecci n avanzada del endpoint Implementaciones grandes e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n Wild
265. point Security Manager consulte Gesti n de protecci n de servicios Puede usar Cytool para cancelar las reglas de seguridad y administrar las capas siguientes de protecci n que Traps aplica en el endpoint A Habilitaci n o deshabilitaci n de protecci n de procesos clave en el endpoint Habilitaci n o deshabilitaci n de ajustes de protecci n de registro en el endpoint Habilitaci n o deshabilitaci n de ajustes de protecci n de Traps en el endpoint Habilitaci n o deshabilitaci n de ajustes de protecci n de servicio en el endpoint gt gt gt gt Uso de la pol tica de seguridad para la administraci n de protecci n de servicios Habilitaci n o deshabilitaci n de protecci n de procesos clave en el endpoint Por defecto Traps protege procesos clave incluidos Cyserver exe y CyveraService exe bas ndose en las reglas de protecci n de servicio definidas en la pol tica de seguridad local Si es necesario puede cancelar la conducta de protecci n de procesos clave utilizando el comando cytool protect enable disable process El cambio de los ajustes de protecci n requiere el acceso del supervisor desinstalar contrase a Habilitaci n o deshabilitaci n de ajustes de protecci n de procesos clave en el endpoint Paso 1 Abra una l nea de comandos como administrador y vaya a la carpeta Traps consulte Acceso a Cytool Paso 2 Para gestionar los ajustes de protecci n de procesos clave en el endpoint utilice el com
266. procesos como procesos desprotegidos Defina reglas para proteger los nuevos procesos seg n sea necesario Protecci n avanzada del endpoint Gu a del administrador 123 Administraci n de las reglas de ajustes de agentes Administraci n de endpoints Recopilaci n de informaci n de nuevos procesos Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de ajustes de organizaci n Para definir un subconjunto m s peque o de agentes objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5
267. quisitos previos e Debe reiniciarse el servicio b sico del Administrador de seguridad de endpoints Esto ocurre si se espera m s de una hora para instalar la clave de licencia tras la instalaci n inicial del software de la consola ESM e No se permite tr fico entrante en el puerto asociado con el servidor ESM por defecto es 2125 Soluci n Tras cada paso en el procedimiento siguiente verifique si Traps puede conectarse con el servidor ESM seleccionando Registrar ahora Si Traps no puede conectarse con el servidor proceda con cada paso posterior hasta solucionar el problema Soluci n Por qu aparecen todos los endpoints como desconectados en la consola ESM Paso 1 Verifique que el servidor cumple los Consulte Requisitos previos para la instalaci n del servidor ESM requisitos previos p Abra el administrador de servicios ejecutando en el endpoint Paso 2 Verifique que el servicio de Traps se est Windows XP En el men de inicio seleccione Panel de control gt Herramientas administrativas gt Servicios e Windows Vista y posterior En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios 2 Localice el servicio de Traps denominado CyveraService en versiones anteriores de Traps y verifique que el estado de servicio sea Iniciado 3 Si el estado del servicio es Detenido haga doble clic en el servicio y seleccione Inicio Haga
268. r El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 6 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Protecci n avanzada del endpoint Gu a del administrador 75 Administraci n de las reglas de protecci n de exploits Prevenci n de exploits Creaci n de una regla de prevenci n de exploits Continuaci n Paso 7 Guarde la regla de prevenci n de exploits Proceda con una de las siguientes opciones e Guarde la regla Para activar la norma m s adelante seleccione la regla en la p gina Pol ticas gt Exploit gt M dulos de protecci n y haga clic en Activar Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Exploit gt M dulos de protecci n Desde ah puede Borrar o Desactivar la regla seg n sea necesario Exclusi n de un endpoint de una regla de prevenci n de exploits Cuando un endpoint intenta lanzar una aplicaci n que incumple
269. r ejemplo http ESMServer1 2125 e Direcci n externa y puerto del servidor que Traps utiliza para comunicarse con el servidor por ejemplo http 10 5 0124 73 2125 e Carpeta forense por ejemplo http ESMSERVER 80 BitsUploads Si se utiliza SSL para la comunicaci n con la carpeta forense incluya el nombre de dominio totalmente GEN cualificado FQDN por ejemplo HTTPS ESMserver Domain local 443 BitsUploads Para especificar la carpeta forense por defecto cuando no se puede acceder a la carpeta asociada con JEJ el servidor ESM seleccione Configuraci n gt General gt Configuraci n del servidor e introduzca la URL de la carpeta forense Paso 2 Guarde sus cambios Paso 3 Opcional Para eliminar o deshabilitar temporalmente un ESM seleccione la acci n del men de la parte superior de la p gina Esta acci n elimina el servidor ESM del conjunto de servidores disponibles desde el que pueden conectarse los agentes de Traps Protecci n avanzada del endpoint Gu a del administrador 47 Gesti n de las licencias del Endpoint Security Manager Administraci n del servidor ESM Gesti n de las licencias del Endpoint Security Manager Antes de poder utilizar la consola Endpoint Security Manager ESM deber obtener y activar la licencia La licencia impone la fecha de vencimiento y el n mero m ximo de endpoints que usted puede gestionar Los endpoints obtienen sus licencias del servidor ESM Cada licencia espec
270. ra el que que 1 Seleccione la pesta a Procesos desea aplicar la regla 2 Reduzca la lista de procesos seleccionando el tipo de proceso en el men desplegable Protegido o Provisional Los procesos provisionales son aquellos que se est n sometiendo a una ejecuci n del informe y se monitorizan por separado de los procesos protegidos 3 Seleccione uno o m s procesos a los que se aplicar la regla y a continuaci n haga clic en A adir O para aplicar la regla a todos los procesos protegidos o provisionales seleccione Todos los procesos Paso 4 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 5 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de restricci n organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Exclui
271. raci n DB Habilitar informes externos usando la herramienta de configuraci n DB Acceso a la herramienta de configuraci n de bases de datos Ejecute la herramienta de configuraci n DB de la carpeta Servidor en un servidor ESM para ver la sintaxis y ejemplos de uso Todos los comandos ejecutados utilizando la herramienta de configuraci n DB hacen distinci n entre may sculas y min sculas Acceso a la herramienta de configuraci n de bases de datos Paso 1 Abra una l nea de comando como administrador e Seleccione Inicio gt Todos los programas gt Accesorios Haga clic con el bot n derecho en L nea de comandos y seleccione Ejecutar como administrador e Seleccione Inicio En la casilla Iniciar b squeda escriba cmd A continuaci n para abrir la l nea de comando como administrador pulse CTRL May s INTRO Paso 2 Vaya a la carpeta que contiene la herramienta de configuraci n DB C lUserslAdministrator gt cd C Program FilesiPalo Alto Networks Endpoint Security Manager Server Protecci n avanzada del endpoint Gu a del administrador 173 Herramienta de configuraci n de bases de datos Soluci n de problemas Acceso a la herramienta de configuraci n de bases de datos Paso 3 Vea el uso y opciones para la herramienta de configuraci n DB c Program FileslPalo Alto NetworkslEndpoint Security Manager YServer gt dbconfig Uso gt DBConfig exe importLicense 1 A ade una nueva licencia a la bas
272. rador Requisitos previos Los temas siguientes describen los requisitos previos para la instalaci n de la infraestructura de Traps A Requisitos previos para la instalaci n del servidor ESM A Requisitos previos para la instalaci n de Traps en un endpoint Advanced Endpoint Protection Administrator s Guide 21 Requisitos previos para la instalaci n del servidor ESM Requisitos previos Requisitos previos para la instalaci n del servidor ESM Antes de instalar el software de Protecci n avanzada del endpoint 3 2 en el servidor ESM aseg rese de que el servidor cumple con los siguientes requisitos previos C ESM Core y la consola ESM ejecut ndose en la misma versi n de la Protecci n avanzada del endpoint C 300 MB de espacio libre en disco m s espacio adicional para la carpeta forense se recomiendan 600 GB de espacio en disco O 2GB RAM se recomienda 4GB RAM C Windows Server f sico o virtual Utilice uno de los siguientes Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 C Internet Information Services AIS 7 0 o posterior conASP NET y componentes de compresiones de contenidos est ticos C NET Framework Windows Server 2008 R2 NET Framework 4 con parche KB2468871 Windows Server 2012 NET Framework 3 5 y 4 5 O Aplicaciones de bases de datos Las aplicaciones del lado del servidor requieren una base de datos SQL que sea una base de datos local instalada en el mismo servidor que el
273. rador Soluci n de problemas Soluci n Soluci n de problemas de Traps Soluci n C mo soluciono un error de certificado de servidor de Traps Paso 1 Reinstale el software Traps Verifique los ajustes SLL para el servidor ESM y reinstale Traps en el endpoint teniendo cuidado de seleccionar el ajuste de SLL apropiado durante la instalaci n consulte Instalaci n de Traps en el endpoint Paso 2 Verifique que el error no aparece en el log En la consola de Traps seleccione Abrir archivo de log o abra services log en el endpoint y revise cualquier error reciente Si el error de certificado de servidor persiste p ngase en contacto con el equipo de soporte de Palo Alto Networks Protecci n avanzada del endpoint Gu a del administrador 191 Soluci n de problemas de la consola ESM Soluci n de problemas Soluci n de problemas de la consola ESM Este tema est dirigido a los siguientes problemas relacionados con la consola del Endpoint Security Manager ESM A Por qu no puedo iniciar sesi n en la consola ESM A Por qu recibo un error de servidor cuando inicio la consola ESM A Por qu aparecen todos los endpoints como desconectados en la consola ESM Por qu no puedo iniciar sesi n en la consola ESM S ntoma La consola del Endpoint Security Manager ESM muestra un mensaje de error en el que se indica que el nombre de usuario o la contrase a no son v lidos paloalto NETWORK
274. rar la pol tica de seguridad y los agentes de Traps e Servidores ESM uno para cada 50 000 agentes de Traps en cada sitio y cada uno de ellos ejecutando ESM Cote 3 2 e Conexi n VPN para proporcionar a los usuarios en itinerancia una direcci n IP interna para la conexi n al servidor ESM e Carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los detalles forenses relacionados con eventos de seguridad e Opcional Equilibrador de carga para la distribuci n del tr fico a trav s de los servidores EMS e Opcional Plataforma de logging externa como un SIEM o syslog e Opcional Integraci n WildFire En este ejemplo se asume que los sitios A B C y D requieren hasta 50 000 agentes de Traps cada uno y que algunos de esos agentes pueden estar localizados off site Para permitir este escenario cada sitio contiene un servidor ESM que recupera la pol tica de seguridad de la base de datos situada en el Sitio A Los endpoints internos se conectan al Endpoint Security Manager utilizando sus servidores ESM locales Los endpoints externos se conectan a trav s de un t nel VPN que protrporciona el endpoint con una direcci n IP interna para la conexi n al sitio Si un endpoint est en itinerancia y no se puede conectar a trav s de VPN Traps recoge los datos de prevenci n localmente hasta que el agente puede establecer una conexi n con la carpeta forense 20 Protecci n avanzada del endpoint Gu a del administ
275. rchivo del archivo ejecutable y comprobarlo en la nube de WildFire o en un aparato WildFire local Si WildFire confirma que un archivo es malware conocido el agente de Traps bloquea el archivo para futuras exposiciones e informa al ESM Cuando WildFire detecta un nuevo malware genera nuevas firmas en un plazo de una hora tras la detecci n Los cortafuegos de siguiente generaci n de Palo Alto Networks equipados con una suscripci n de WildFire pueden recibir las nuevas firmas en los siguientes 3015 minutos los cortafuegos con solo una suscripci n de Threat Prevention pueden recibir las nuevas firmas en la siguiente actualizaci n de firma del antivirus en las pr ximas 24 48 horas Si se habilita la integraci n de WildFire en la consola ESM la p gina de estado de la consola de Traps muestra un Y junto a Recopilaci n de datos forenses Si WildFire no est habilitado la consola de Traps muestra un OQ junto a Recopilaci n de datos forenses Para m s informaci n consulte Habilitaci n de WildFire y Flujo de prevenci n del malware Carpeta forense Cuando Traps encuentra un evento relacionado con la seguridad como una ejecuci n de un archivo interferencias con el servicio de Traps o un ataque de exploits realiza un log de detalles forenses en tiempo real en relaci n con el evento del endpoint Los datos forenses incluyen el historia del evento volcado de memoria y otras informaciones asociadas con el evento Puede obtener los datos
276. regla seg n sea necesario 84 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de restricciones en ejecutables Administraci n de listas blancas globales Para permitir la ejecuci n de ejecutables de carpetas locales y medios externos y permitir el inicio de procesos secundarios de procesos principales de una carpeta espec fica puede configurar una lista blanca global De forma similar a la funcionalidad de listas blancas existente para procesos de Java ejecutables sin firma e inyecci n de subprocesos se pueden especificar rutas completas y variables de rutas y tambi n comodines para coincidencias de patrones Yo para la coincidencia de t rminos similares y para la coincidencia de cero o m s caracteres Los elementos de la secci n de la lista blanca tienen prioridad sobre cualquier elemento no permitido y se eval an en primer lugar en la pol tica de seguridad Restriction Settings Restrictions Global Settings Select the global configuration for Folder Behavior Child Process and Media Control Termination Mode Notification Mode Monitor y on y Whitelist Folders Please specify the foldersfull path to add to the Whitelist e g CAWindowsTemp Local Folder Whitelist ata Child Process Whitelist gat s Media Control Whitelist gates itempi fA a c install Administraci n de listas blancas globales Paso 1 En la consola ESM seleccione Pol tica
277. regla para ver los detalles y realizar cualquiera de las acciones siguientes Duplicar Solo reglas de acci n Crea una nueva regla basada en un modo existente Borrar Borra la regla La regla se elimina desde el sistema Para borrar las reglas de una vez seleccione la casilla de verificaci n junto a la regla y seleccione Borrar reglas no por defecto seleccionadas del men en la parte superior de la tabla Activar Desactivar Si la regla se ha guardado previamente pero no se ha aplicado puede Activar la regla para a adirla a la pol tica de seguridad actual Si la regla est activa puede Desactivar la regla para eliminarla de la pol tica de seguridad actual pero no borrar la regla del sistema Para activat desactivar reglas m ltiples de una vez seleccione la casilla de verificaci n junto a la regla y seleccione Activar seleccionado o Desactivar seleccionado del men en la parte superior de la tabla Para deshabilitar habilitar todas las reglas de exploits malware o forenses consulte Deshabilitar o habilitar todas las reglas de protecci n Editar Edita la definici n de la regla La selecci n de esta opci n abre el asistente de reglas y le permite cambiar la definici n de la regla Para obtener m s informaci n consulte Creaci n de una regla de prevenci n de exploits Importar reglas Exportar En el men de la parte superior de la tabla puede importar reglas o exportar reglas seleccionados
278. rencia inteligente en segundo plano BITS basada en la web que utiliza ancho de banda de red inactiva para cargar los datos Para obtener m s informaci n consulte Cambio de la carpeta forense por defecto Tambi n puede obtener manualmente datos forenses para un evento de seguridad espec fico creando una regla de acci n de una vez para obtener los datos Para obtener m s informaci n consulte Obtenci n de datos acerca de un evento de seguridad Para ver el estado de la carga forense seleccione Monitor gt Obtenci n de informes forenses Protecci n avanzada del endpoint Gu a del administrador 133 Descripci n general de datos forenses Datos forenses Tipos de datos forenses Cuando se produce un evento de seguridad en un endpoint Traps puede recopilar la informaci n siguiente Volcado de memoria Contenidos de localizaciones de memoria capturados cuando se produce un evento Archivos accedidos Archivos que se cargan en la memoria bajo el proceso atacado para la inspecci n detallada del evento incluidos Logs detallados de rastros de aplicaci n e Obtenci n de DLL relevantes incluida su ruta e Archivos relevantes de la carpeta de archivos temporales de Internet e Archivos abiertos ejecutables y no ejecutables M dulos cargados Controladores que se cargan en el sistema en el momento de un evento de seguridad URI accedido Un identificador de recursos uniformes URI habilita la interacci n con el recurso y
279. renses 144 Protecci n avanzada del endpoint Gu a del administrador 2 Informes y logs El Endpoint Security Manager proporciona informes y logs que son de utilidad para el monitorizado de los endpoints de su organizaci n Puede monitorizar los logs y filtrar la informaci n para interpretar conductas inusuales en su red Tras analizar un evento de seguridad puede crear una regla personalizada para el endpoint O proceso Los temas siguientes describen c mo visualizar y monitorizar informes sobre el estado de seguridad de los endpoints Mantenimiento de los endpoints y Traps Uso del Endpoint Security Manager panel Monitorizado de eventos de seguridad Monitorizado del estado de los endpoints Monitorizado de las reglas Monitorizaci n de la obtenci n de informes forenses Monitorizaci n de las notificaciones de los agentes Monitorizado de notificaciones del servidor gt _ gt gt r gt gt gt o gt o gt gt gt Administraci n de preferencias de informes y logging Protecci n avanzada del endpoint Gu a del administrador 145 Mantenimiento de los endpoints y Traps Informes y logs Mantenimiento de los endpoints y Traps De forma diaria o semanal realice las siguientes acciones C Examine el panel para verificar que el agente de Traps est activo en todos los endpoints instalados Consulte Uso del Endpoint Security Manager panel C Examine la p gina Notificaciones e investigue informes de bloqueos e informes de segu
280. ridad Tras analizar un evento de seguridad quiz s desee realizar cualquiera de las tareas siguientes Activar la protecci n para una aplicaci n desprotegida Consulte Ver modificar o borrar un proceso Deshabilitar temporalmente reglas que interfieren en el trabajo diario En casos en que un evento de seguridad no indique un ataque y est interfiriendo con el trabajo diario puede deshabilitar una regla de prevenci n o restricci n de exploits en un endpoint espec fico Consulte Exclusi n de un endpoint de una regla de prevenci n de exploits Aplicar un parche actualizar o corregir un error del software que indique una conducta err nea o una vulnerabilidad de seguridad La aplicaci n de parches o la actualizaci n de aplicaciones de terceros o la correcci n de errores en las aplicaciones que se desarrollan internamente pueden reducir el n mero de eventos de seguridad enviados al Endpoint Security Manager C Revisar procesos desprotegidos en la vista Administraci n de procesos y decidir si se habilita la protecci n en ellos Consulte Ver modificar o borrar un proceso Tras un cambio en la organizaci n o en las versiones disponibles del software Traps puede C A adir una aplicaci n de reciente instalaci n en la lista de procesos protegidos Consulte A adir un proceso protegido provisional o desprotegido Instalar Traps en un nuevo endpoint Consulte Instalaci n de Traps en el endpoint C Actualizar la ve
281. rio para su pol tica de seguridad Los ajuste incluyen el nombre del proceso Activaci n de m dulos Habilitar o Deshabilitar Modo de proceso fuente Terminar o Notificar Notificaci n al usuario On u Off y permitir procesos objetivo a los que se puede inyectar el proceso fuente Protecci n avanzada del endpoint Gu a del administrador 103 Administraci n de las reglas de protecci n de malware Prevenci n de malware Si el proceso ya est protegido por la pol tica de seguridad por defecto recomendamos importar la inyecci n de subprocesos por defecto como nueva regla y realizar cambios para adecuatla a su organizaci n De este modo cuando se activa la pol tica cancela la pol tica por defecto pero sigue conteniendo los ajustes de configuraci n por defecto adem s de los cambios realizados Configuraci n de protecci n de inyecci n de subprocesos Paso 1 Opcional Importe una copia de la 1 Seleccione Pol ticas gt Malware gt M dulos de protecci n pol tica por defecto Esto es necesario 2 Enel men seleccione Importar reglas solo para procesos que ya est n 3 protegidos por la configuraci n por a defecto y evita que se sobrescriba la pol tica por defecto La regla importada aparece en la tabla de las reglas de prevenci n de malware Vaya a los archivos de pol ticas por defecto de la carpeta Traps para acceder al proceso fuente deseado y haga clic en Cargar Paso 2 Inicie o modifique una r
282. rity Manager Server gt dbconfig importlicense C 1 lt PathtoLicenseFile gt 1 lt LicenseFilename gt xml La herramienta de configuraci n DB carga el archivo de licencia Para verificar la licencia usando la consola ESM consulte Administraci n de las licencias Endpoint Security Manager usando la consola ESM Paso 5 Opcional Si es necesario cree una regla de acci n en la consola ESM para enviar la nueva licencia a los endpoints consulte Actualizaci n o revocaci n de la licencia de Traps en el endpoint Protecci n avanzada del endpoint Gu a del administrador 49 Configuraci n del acceso administrativo Administraci n del servidor ESM Configuraci n del acceso administrativo Cuando instale la consola Endpoint Security Manager ESM especifique la cuenta administrativa y el tipo de autenticaci n que los administradores utilizar n para acceder a la consola Tras la instalaci n puede cambiar el modo de autenticaci n a una cuenta local o una cuenta de dominio definida en el Directorio activo una o m s cuentas administrativas y o cualquier grupo o grupos de autenticaci n que se utilicen para acceso administrativo Para la configuraci n de ajustes avanzados como m dulos de protecci n contra exploits EPM debe introducir la contrase a de modo ninja Puede cambiar la contrase a con la herramienta de configuraci n DB A Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM A Config
283. rname2 gt Paso 4 Opcional Especifique Grupos permitidos Utilice un punto y coma para separar valores m ltiples Por ejemplo lt group1 gt lt group2 gt 50 Protecci n avanzada del endpoint Gu a del administrador Administraci n del servidor ESM Configuraci n del acceso administrativo Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB Cuando instale la consola Endpoint Security Manager ESM especifique la cuenta administrativa y el tipo de autenticaci n que los administradores utilizar n para acceder al servidor Tambi n puede especificar el uso de un grupo de autenticaci n preexistente para el acceso administrativo Por defecto no se especifica ning n grupo Puede cambiar estas preferencias usando la consola ESM consulte Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM o usando la herramienta de configuraci n de bases de datos DB La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La herramienta de configuraci n DB se encuentra en la carpeta Servidor del servidor ESM Todos los comandos ejecutados utilizando la herramienta de configuraci
284. rror siguiente No se ha podido iniciar el servicio Traps CyveraService Verifique que tiene los privilegios suficientes Service Endpoint Security Manager Core A CyveraServer failed to start Verify that you have suffident privileges to start system services cor Causas posibles En versiones anteriores de Traps la funci n de protecci n de servicio evita la modificaci n o alteraci n de los archivos de sistema de Traps Soluci n Soluci n Por qu no puedo actualizar Traps Paso 1 Cree una regla de acci n para deshabilitar la protecci n de servicio consulte Gesti n de protecci n de servicios Paso 2 Verifique que puede instalar o desinstalar Traps Paso 3 Borre la regla de acci n consulte Guardar reglas Paso 4 Intente actualizar Traps Para la soluci n de un problema relacionado con el servicio de Traps visualice los logs para ver si Traps informa de un error espec fico En la consola de Traps seleccione Abrir archivo de log e Desde la consola de Traps seleccione Enviar archivo de soporte para enviar los logs al servidor ESM e Cree una regla de acci n para recuperar los logs del endpoint consulte Gesti n de datos recopilados por Traps Paso 5 Si el problema persiste p ngase en contacto con el equipo de asistencia t cnica de Palo Alto Networks Protecci n avanzada del endpoint Gu a del administrador 187 Soluci n de problemas de Traps Soluci n de problemas
285. rs Rm A guest INFORMATION_SCHEMA sys La Roles A Schemas 1 A Asymmetric Keys 1 y Certificates O Symmetric Keys A Database Audit Specifications Verifique que se selecciona db_owner en las secciones Esquemas en propiedad y Miembros de roles del cuadro de di logo Usuario de base de datos y haga clic en ACEPTAR Instalaci n del software del servidor Endpoint Security Manager Antes de instalar el software del servidor del Endpoint Security Manager ESM verifique que el sistema cumple los requisitos que se describen en Requisitos previos para la instalaci n del servidor ESM Instalaci n del software del servidor del Endpoint Security Manager Paso 1 Inicie la instalaci n del software del servidor ESM i Obtenga el software de su administrador de cuentas de Palo Alto Networks su vendedor o en https support paloaltonetworks com Descomprima el archivo y haga doble clic en el archivo de instalaci n ESMCore En el di logo del Contrato de licencia de usuario final seleccione la casilla Acepto los t rminos del contrato de licencia y a continuaci n haga clic en Siguiente Deje la carpeta de instalaci n por defecto o haga clic en Cambiar para especificar una carpeta de instalaci n diferente y haga clic en Siguiente Advanced Endpoint Protection Administrator s Guide 33 Configuraci n del Endpoint Security Manager Configuraci n de la infraestructura de Traps
286. rsi n del agente de Traps en los endpoints Consulte Desinstalaci n o actualizaci n de Traps en el endpoint Actualizar la licencia de agentes en los endpoints Consulte Actualizaci n o revocaci n de la licencia de Traps en el endpoint 146 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Uso del Endpoint Security Manager panel Uso del Endpoint Security Manager panel El panel es la primera p gina que se visualiza tras el inicio de sesi n en el Endpoint Security Manager Tambi n puede acceder o actualizar esta p gina haciendo clic en Panel en el men superior El panel muestra varios cuadros que presentan estad sticas relacionadas con instancias de agentes de Traps El panel no es configurable Dashboard 2 0 3079 1 EE Client 1 used 220 total MM3 2 0 2736 2 220 IA Server 1 used 61 total 2007 1804 1604 140 1204 1004 204 604 404 204 ol W Disconnected 1 W Running 2 Client Server 1304 1204 1104 1004 304 80 504 704 404 607 504 304 407 307 204 104 o jexec LOOK llhost 104 WmiPrwSE powercfg onhost o L E ONETWORK cfleischer CYVERASERVER Administrator La siguiente tabla describe cada cuadro Estado de servicio Muestra el estado de las instancias de agentes de Traps instalados en los endpoints por n mero y porcentaje Los posibles estados son e Ejecuci n El agente se
287. s Herramienta de l neas de comando de supervisor cytool exe Le permite enumerar procesos protegidos habilitar o deshabilitar caracter sticas de protecci n y habilitar o deshabilitar acciones de administraci n de Traps de una interfaz de l neas de comando Para obtener m s informaci n consulte Cytool 172 Protecci n avanzada del endpoint Gu a del administrador Soluci n de problemas Herramienta de configuraci n de bases de datos Herramienta de configuraci n de bases de datos La herramienta de configuraci n DB es una interfaz de l nea de comandos que proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador La herramienta de configuraci n DB se encuentra en la carpeta Servidor del Endpoint Security Manager ESM Utilice la herramienta de configuraci n DB para realizar las funciones siguientes A Acceso a la herramienta de configuraci n de bases de datos A Administraci n de las licencias de Endpoint Security Manager usando la herramienta de configuraci n DB A Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB Cambio de la contrase a de modo ninja utilizando la herramienta de configuraci n DB Definir ajustes de comunicaci n usando la herramienta de configu
288. s gt Exploit gt Ajustes de restricci n Paso 2 Para especificar si Traps debe o no bloquear el ejecutable cuando se abre desde localizaciones no incluidas en la lista blanca configure el Modo de terminaci n e Monitor No bloquea el acceso a ejecutables y procesos sino realiza un log cuando se abren los archivos desde localizaciones que no est n en la lista blanca e informa de los eventos al ESM e Prevenir Bloquea los ejecutables y procesos Paso 3 Para especificar si Traps debe o no informar al usuario cuando el ejecutable se abre desde una localizaci n no incluida en la lista blanca configure el Modo de notificaci n e On Se notifica al usuario e Off No se notifica al usuario Paso 4 Haga clic en el icono A adir carpeta situado junto a las reas de listas blancas de Carpeta local Proceso secundario o Control de medios e introduzca la ruta de la carpeta por ejemplo C Windows Temp Paso 5 Haga clic en Confirmar Puede volver a la p gina Ajustes de restricci n en cualquier momento para modificar los ajustes de listas blancas globales Protecci n avanzada del endpoint Gu a del administrador 85 Administraci n de restricciones en ejecutables Carpetas locales no permitidas Prevenci n de malware Muchos escenarios de ataques se basan en la escritura de archivos ejecutables malintencionados en ciertas carpetas como temp y descarga y la ejecuci n de los ejecutables Se puede re
289. s Server 2008 En el men de inicio seleccione Panel de control gt Herramientas administrativas gt Servicios e Windows Server 2012 En el men de inicio seleccione Panel de control gt Sistema y seguridad gt Herramientas administrativas gt Servicios 2 Si el servicio ESM Core est detenido o deshabilitado haga doble clic en el servicio y haga clic en Inicio Carga de las pol ticas de seguridad b sicas Por defecto la pol tica de seguridad de endpoints contiene un conjunto de reglas predefinidas que protegen los procesos comunes que se ejecutan en los endpoints Tras instalar el software del EMS y cargar con xito la licencia se recomienda encarecidamente importar los archivos de seguridad b sicos facilitados por Palo Alto Networks Las pol ticas solucionan problemas de compatibilidad as como problemas de estabilidad con prevenci n de malware y m dulos de inyecci n de subprocesos y configuran notificaciones acerca de los ejecutables que se ejecutan de medios externos y carpetas del sistema operativo Puede importar las pol ticas de seguridad b sicas de cualquier p gina de reglas donde se pueden importar restricciones EPM etc Importaci n de las pol ticas de seguridad b sicas Paso 1 Descargue las pol ticas de https live paloaltonetworks com docs DOC 7829 u gu rdelas en una carpeta local o una carpeta de red a la que pueda acceder desde el Endpoint Security Manager Paso 2 En el
290. s en los endpoints de su red Reglas de restricci n A adir una nueva regla de restricci n Administraci n de listas blancas globales Carpetas locales no permitidas Lista blanca de carpetas de red Definici n de restricciones y excepciones de medios externos Definici n de restricciones y excepciones de procesos secundarios Definici n de restricciones y excepciones de Java lt gt gt gt gt Definici n de restricciones y excepciones de ejecutables sin firma Reglas de restricci n Con frecuencia los atacantes ocultan archivos ejecutables malintencionados o se incluyen como embedidos en archivos no malintencionados Causan da os en los equipos al intentar obtener el control al recopilar informaci n confidencial o al interrumpir las operaciones normales del sistema La tabla siguiente muestra reglas de restricci n que se pueden configurar para limitar o colocar excepciones sobre el modo en que se gestionan los ejecutables en su red Ejecuci n de ejecutables Muchos escenarios de ataques se basan en la escritura de archivos ejecutables provenientes de carpetas malintencionados en ciertas carpetas y su ejecuci n Generalmente es aconsejable concretas restringir el acceso a carpetas locales temp y de descarga y a carpetas de red Para hacer una excepci n en la restricci n general puede permitir carpetas espec ficas Para m s informaci n consulte Administraci n de listas blancas globales Carpetas locale
291. s no permitidas Lista blanca de carpetas de red Ejecuci n de ejecutables El c digo malintencionado puede acceder a endpoints a trav s de medios externos provenientes de medios como unidades de disco desmontables y discos pticos Como medida de protecci n externos se pueden definir restricciones sobre la ejecuci n de ejecutables de discos externos en los endpoints de su red Para obtener m s informaci n consulte Definici n de restricciones y excepciones de medios externos Procesos que diseminan Un c digo malintencionado se puede activar y legitimar procesos para diseminar procesos secundarios procesos secundarios malintencionados Bloquee el c digo malintencionado definiendo una regla de restricci n apropiada Para obtener m s informaci n consulte Definici n de restricciones y excepciones de procesos secundarios 82 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de restricciones en ejecutables Procesos de Java que se Un punto de entrada com n para c digos malintencionados son los procesos de Java ejecutan desde los importados desde un host remoto y ejecutados bajo los navegadores de Internet navegadores Como protecci n contra estos exploits evite que un applet de Java ejecute objetos bajos los navegadores al tiempo que se permite la ejecuci n de ciertos procesos de confianza Puede elegir selectivamente las acciones permitidas lectura escritura o
292. sactivar la regla seg n sea necesario 86 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Lista blanca de carpetas de red Administraci n de restricciones en ejecutables Para evitar escenarios de ataque basados en la escritura de ejecutables malintencionados en carpetas remotas puede crear una regla de restricci n de conducta de carpetas de red que define las localizaciones de red permitidas para las que se pueden ejecutar ejecutables Cuando un usuario intenta abrir un ejecutable de una carpeta que no se ha especificado en la regla de restricci n Traps bloquea el intento e informa del evento de seguridad al ESM Lista blanca de carpetas de red Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Paso 2 Defina la conducta de la carpeta de red Paso 3 Opcional A ada Condiciones a la regla al Seleccione Conducta de carpeta de red en la lista desplegable Restricciones 2 Para permitir la ejecuci n de ejecutables de carpetas de red espec ficas seleccione la casilla de verificaci n haga clic en el icono A adir carpeta s y a ada la ruta de la carpeta a la secci n Lista negra 3 Repita seg n sea necesario para a adir carpetas m ltiples Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n sel
293. scripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla forense Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Datos forenses y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Pol ticas gt Datos forenses Desde ah puede Activar o Desactivar la regla seg n sea necesario Definici n de las preferencias del volcado de memoria Cuando un proceso protegido se ha bloqueado o ha terminado de forma an mala Traps registra informaci n acerca del evento incluidos los contenidos de las localizaciones de memoria y otros datos acerca del evento en lo que se conoce como volcado de memoria Cree una regla forense para determinar el modo en que Traps administra volcados de memoria relacionados con el proceso incluido si se env an volcados de memoria autom ticamente a la carpeta forense o si se cambia el tama o del volcado de memoria peque o mediano o completo el conjunto de informaci n m s grande y m s completo Definici n de las preferencias del volcado de memoria Paso 1 Inicie una nueva regla
294. se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de acci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de acci n Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Acciones de agentes y haga cl
295. se puede deshabilitar habilitar la protecci n para todas las reglas de ese tipo Protection Modules gt m 4 Page ofli Aba Exploit Protection Default Exploit Protection Policy Is Enabled Anti Exploitation policy Font Protection on all processes is enabled on prevention mode with user notifications 0 AM enabled on prevention mode with user notifications Type Exploit Protection Associated Conditions 0 Processes EPMs 3 Status Active All computers All Protected Processes FontProt Enable 1 Creator Administrator FontProt Mode Terminate Created 03 02 15 7 40 FontProt UserNotification 1 Modifier Administrator Modified 03 02 15 7 40 Protecci n avanzada del endpoint Gu a del administrador 57 Componentes y acciones comunes de las reglas Primeros pasos con las reglas Componentes y acciones comunes de las reglas Cada tipo de regla tiene un conjunto espec fico de campos obligatorios y opcionales que se pueden personalizar para cumplir con las necesidades de la pol tica de seguridad de la organizaci n La tabla siguiente describe los pasos comunes para la creaci n de una regla de pol tica Defina los ajustes y o acciones espec ficos para el tipo de regla Para m s detalles sobre los ajustes espec ficos necesarios para cada regla consulte e Administraci n de las reglas de protecci n de exploits e Administraci n de las reglas de protecci n de malware e Administraci n d
296. seleccionadas seg n sea necesario La exportaci n de reglas guarda las reglas seleccionadas en un archivo XML Para obtener m s informaci n consulte Exportaci n e importaci n de archivos de las pol ticas Deshabilitar o habilitar todas las reglas de protecci n Si la pol tica de seguridad est causando problemas para los endpoints de su organizaci n puede deshabilitar r pidamente todas las reglas de pol ticas activas incluidas las reglas de pol ticas por defecto La deshabilitaci n de la protecci n detiene la inyecci n de Traps en todos los procesos futuros la validaci n con respecto a WildFire posteriores recopilaciones de datos y elimina efectivamente todas las restricciones Los cambios en las reglas de seguridad mientras toda la protecci n est deshabilitada no se har n efectivos hasta que se habilite nuevamente la protecci n Tras deshabilitar la protecci n e investigar los problemas puede volver a activar las reglas de pol ticas habilitando toda la protecci n La habilitaci n de la protecci n no activa las reglas que se han desactivado anteriormente En situaciones en las que solo se necesita deshabilitar una regla o un peque o grupo de reglas las puede seleccionar individualmente y desactivarlas desde la p gina de administraci n de reglas espec fica para este tipo de regla Protecci n avanzada del endpoint Gu a del administrador 61 Componentes y acciones comunes de las reglas Primeros pasos con
297. siguientes describen la Protecci n avanzada del endpoint de forma m s detallada A Descripci n general de la Protecci n avanzada del endpoint A Componentes de la protecci n avanzada del endpoint Protecci n avanzada del endpoint Gu a del administrador 1 Descripci n general de la Protecci n avanzada del endpoint Descripci n general de la protecci n avanzada del endpoint Descripci n general de la Protecci n avanzada del endpoint Los ciberataques se realizan en redes o endpoints para causar da os robar informaci n o lograr otros objetivos que incluyen la toma de control de los sistemas inform ticos que pertenecen a otros Los adversarios perpetran los ataques haciendo que un usuario ejecute de forma no intencionada un ejecutable malintencionado o explotando una debilidad en un ejecutable leg timo para ejecutar un c digo malintencionado sin que el usuario tenga conocimiento de ello Una forma de evitar estos ataques es la identificaci n de ejecutables librer as de enlace din mico DLL u otras partes del c digo como malintencionadas y entonces evitar su ejecuci n probando cada m dulo de c digo potencialmente peligroso frente una lista de firmas de amenazas espec ficas La debilidad de este m todo es que las soluciones basadas en firmas necesitan tiempo para identificar las amenazas de nueva creaci n conocidas solo por el atacante tambi n denominadas ataques d a cero o exploits y a adirlas a la lista de amenazas con
298. sondea WildFire para ver si el veredicto ha cambiado para alg n hash que se ha guardado en esta base de datos Revise con regularidad los cambios en el veredicto en la p gina Pol tica gt Malware gt Control de hash de la consola ESM Paso 3 Eliminaci n de una cancelaci n local para un veredicto de WildFire Las decisiones de cancelaci n se agrupan para permitir decisiones el veredicto se sobrescribe para permitir la ejecuci n del archivo y bloquear decisiones el veredicto se sobrescribe para bloquear la ejecuci n del archivo 1 Enla consola ESM seleccione Pol ticas gt Malware gt Cancelar veredictos 2 Seleccione uno o m s hashes de proceso y haga clic en Deshacer para volver al ltimo veredicto en el servidor Override Verdicts Processes manually set to allow A seri M 4 Page 1 ofl ol WildFire Verdict a n Number of Clients 2 Sfdcf73191bff9dbb03886755ffcf0bc15849f taskeng exetaskeng exe Unknown 24 01 20155 01 2 Revocaci n de una decisi n de WildFire Para forzar una inmediata recomprobaci n de un veredicto revoque el hash en el servidor ESM Esto sirve de ayuda cuando se sospecha que WildFire ha cambiado el veredicto de un archivo y quiere forzar al servidor ESM a consultar en WildFire el veredicto actualizado Tras recibir la respuesta de WildFire el servidor ESM actualiza el cach del servidor A continuaci n en la siguiente comunicaci n heartbeat con Traps el servidor
299. sos por defecto y a adidos y muestra sus tipos de protecci n Process Management cf19 al MO Process Name Protection Type malware exe Unprotected 1 0 CYWVERASERVER J 40 0 2214 11140 0 221494_ Unprotected 1 0 CYVERASERVER JJ GoogleUpdateComRegisterSh Unprotected 1 0 CYWERASERVER 05 02 2015 7 06 Importaci n o exportaci n de un proceso Paso 1 Vaya a la p gina de Administraci n de En la consola ESM seleccione Pol ticas gt Exploit gt Administraci n procesos de procesos Paso 2 Importe o exporte uno o m s procesos Paraimportar procesos haga clic en el men y a continuaci n seleccione Importar procesos Vaya a los procesos y Cargue los que desea importar Los procesos aparecen en la tabla tras finalizar la carga Para exportar procesos seleccione uno o m s procesos que desee exportar En el men seleccione Exportar seleccionados La consola ESM guarda los procesos en un archivo XML Ver modificar o borrar un proceso La p gina de Administraci n de procesos de la consola Endpoint Security Manager muestra todos los procesos que protege su organizaci n Para cambiar o borrar un proceso en primer lugar deber eliminar el proceso y cualquier regla asociada Ver modificar o borrar un proceso Paso 1 Vaya a la p gina de Administraci n de En la consola ESM seleccione Pol ticas gt Exploit gt Administraci n procesos de procesos Protecci n a
300. sta desplegable Ajustes de agentes 2 Seleccione Habilitar protecci n de servicios o Deshabilitar protecci n de servicios 124 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Gesti n de protecci n de servicios Continuaci n Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino Por defecto el ESM aplica las nuevas reglas a todos los objetos de su al que se aplica la regla de ajustes de organizaci n Para definir un subconjunto m s peque o de agentes objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores
301. sta desplegable de la derecha Aparece la informaci n de estado actual en el secci n Pol tica de agentes y logs de la p gina Paso 4 Haga clic en Detalles para ver el log del historial completo del estado de servicio Eliminaci n de un endpoint de la p gina de estado La p gina Estado muestra una tabla de todos los endpoints que se han conectado con xito al Endpoint Security Manager En situaciones en las que se debe eliminar uno o m s endpoints del Endpoint Security Manager por ejemplo para limpiar duplicados o eliminar endpoints que ya no se usan puede utilizar la opci n Borrar seleccionado del men de la parte superior de la tabla Eliminaci n de un endpoint de la p gina de estado Paso 1 En la consola ESM seleccione Monitorizar gt Estado Paso 2 Seleccione la fila o filas del endpoint o endpoints para lo que desea borrar Paso 3 Seleccione Borrar seleccionados en el men de la parte superior de la tabla Estado Haga clic en OK para confirmar que desea borrar Health Heartbeat Computer Agent Computer PANWDMSO0YZ1HO Agent Policy and Service Status Agent Policy Y 0S Windows 7 Architecture x64 Time Source Rule Name Description Status Status A Disconnected 25 01 15 6 31 Remote Forensics 1 25 20 Forensics settings Active Last User cfleischer 21 01 15 117 Remote WildFire 12 18 201 WildFire Enabled U Active IP 10 35 35 205 14 01 15 7 40 Remote Restriction Folder
302. stringir el acceso a carpetas locales comunes a adiendo la carpeta a una lista negra Cuando un usuario intenta abrir un ejecutable de una carpeta no permitida Traps bloquea el intento e informa del evento de seguridad al ESM Para hacer una excepci n en la restricci n general a ada una carpeta a una lista blanca consulte Administraci n de listas blancas globales Carpetas locales no permitidas Paso 1 Inicie una nueva regla restricci n Seleccione Pol ticas gt Malware gt Restricciones y A adir una nueva regla Paso 2 Defina la conducta de la carpeta local 1 Seleccione Conducta de carpeta local en la lista desplegable Restricciones 2 Para bloquear la ejecuci n de ejecutables de carpetas locales seleccione la casilla de verificaci n haga clic en el icono A adir carpeta y a ada la ruta de la carpeta a la secci n Lista negra 3 Repita seg n sea necesario para a adir carpetas m ltiples Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n par
303. t Tambi n se puede definir una condici n para una versi n espec fica de un archivo ejecutable definido en la ruta del archivo En intervalos regulares se env a la pol tica de seguridad m s reciente a los endpoints de su red Puede definir la frecuencia de las actualizaciones de las pol ticas de seguridad en el endpoint a trav s del ajuste de heartbeat Tambi n puede recuperar manualmente la pol tica de seguridad m s reciente de la consola de Traps Traps aplica ajustes de agentes o reglas de pol ticas de acci n cuando el endpoint recibe la actualizaci n de la pol tica de seguridad y una regla coincide con los Objetos de destino Condiciones y los ajustes del endpoint Traps eval a cada una de las reglas de la pol tica de seguridad secuencialmente a trav s del n mero de ID cuanto m s alto es el n mero de ID mayor es la prioridad de la regla Se asigna a las reglas creadas o modificadas recientemente un n mero de ID m s alto y por lo tanto se eval an en primer lugar A diferencia de los cortafuegos de Palo Alto Networks que eval an las reglas jer rquicamente Traps eval a toda las reglas de las pol ticas de seguridad de endpoints secuencialmente Cada tipo de regla tiene una p gina de resumen espec fico de las reglas que muestra todas las reglas de ese tipo y permite a adir nuevas reglas ver detalles adicionales acerca de cada regla y realizar tareas de administraci n de reglas Desde la p gina de resumen tambi n
304. t Check in 19 2015 21 43 13 Check in now Send Support File Ver el historial de estado de servicio de un endpoint Por defecto la vista de detalles est ndar de la p gina Estado ofrece una tabla de endpoints con campos mostrados a lo largo de la parte superior La selecci n de un endpoint de la tabla Estado expande la fila para mostrar detalles adicionales acerca del endpoint y le permite ver el historial del estado del agente de Traps en el endpoint Una lista desplegable de la secci n Pol tica de agentes y estado de servicio le permite visualizar una lista parcial de eventos del Estado de servicio En esta secci n tambi n puede ver el log del historial completo del estado de servicio Cada evento del log muestra la fecha y la hora del cambio de servicio la versi n de Traps que se est ejecutando en el endpoint y el cambio del estado desconectado en ejecuci n cerrado o parado Ver el historial de estado de servicio de un endpoint Paso 1 En la consola ESM seleccione Monitorizar gt Estado 158 Protecci n avanzada del endpoint Gu a del administrador Informes y logs Monitorizado del estado de los endpoints Ver el historial de estado de servicio de un endpoint Continuaci n Paso 2 Seleccione la fila del endpoint para el que desea visualizar el historial de reglas La fila se expande para mostrar detalles y acciones adicionales que se pueden realizar Paso 3 Seleccione Estado de servicio en la li
305. tegidos o Monitor gt Modo provisional para visualizar eventos de seguridad relacionados con procesos provisionales Seleccione el evento de seguridad para el que desea obtener datos El evento se expande para mostrar detalles y acciones adicionales en relaci n con el evento de seguridad Paso 3 Haga clic en Obtener La consola ESM rellena los ajustes para una regla de configuraci n de agentes Paso 4 Revise los detalles de la regla y haga clic en Guardar y aplicar para activar la regla inmediatamente o Guardar para activar En el siguiente heartbeat el agente de Traps recibe la nueva regla y env a datos de prevenci n a la carpeta forense Para ver el estado de la carga forense seleccione Monitor gt Obtenci n de informes forenses El agente env a todos los datos relacionados con el evento incluido un vuelco de memoria del proceso a la carpeta forense designada Paso 5 Navegue a la carpeta forense para revisar los datos de prevenci n Protecci n avanzada del endpoint Gu a del administrador 141 Habilitaci n de la obtenci n de URI en Chrome Datos forenses Habilitaci n de la obtenci n de URI en Chrome A diferencia de otros navegadores Chrome registra los URI de todas las pesta as de un proceso Como resultado debe instalar una extensi n de Chrome para habilitar la obtenci n de URI en Chrome Esto permite a Traps evitar intentos de explotaci n en ese navegador Tras la instalaci n de la extensi n
306. tes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Creaci n de un mensaje de prevenci n personalizado Traps muestra mensajes de prevenci n cuando un archivo o proceso violan una pol tica de seguridad y la conducta de terminaci n se configura para bloquear el archivo e informar al usuario Utilice una regla de ajustes de agentes para personalizar el t tulo pie e imagen de pantalla para los mensajes emergentes de prevenci n que Traps muestra cuando se produce un evento de seguridad en el endpoint Creaci n de un mensaje de prevenci n personalizado Paso 1 Inicie una nueva regla de aj
307. tion Shellcode Preallocation ShellLink Protection SysExit UASLR Save Save 8 Apply Creaci n de una regla de prevenci n de exploits Paso 1 Inicie una nueva regla de prevenci n de Seleccione Pol ticas gt Exploit gt M dulos de protecci n y a exploits continuaci n A ada una nueva regla 74 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de exploits Administraci n de las reglas de protecci n de exploits Creaci n de una regla de prevenci n de exploits Continuaci n Paso 2 Configure los detalles del EPM 1 Habilitar o Deshabilitar la inyecci n de m dulos de prevenci n de exploits EPM en los procesos seleccionados 2 Para habilitar uno o m s EPM seleccione el EPM de la lista y configure sus ajustes en la secci n Detalles Los ajustes de cada tipo de EPM son diferentes pero pueden incluir preferencias sobre si terminar o no un proceso e informar a un usuario acerca de un evento de seguridad Repita el proceso para a adir m s EPM Para obtener m s informaci n sobre los diferentes tipos de EPM consulte Reglas de protecci n de exploits El cambio de las definiciones de los EPM puede afectar H a su nivel de protecci n y cambia el orden en el que se eval an las reglas consulte Aplicaci n de las pol ticas Para no comprometer la seguridad de su organizaci n consulte al equipo de soporte de Palo Alto Networks Paso 3 Seleccione el proceso pa
308. tricciones 2 Seleccione la casilla de verificaci n para el tipo de medio externo del que se desea evitar la ejecuci n de aplicaciones e Discos desmontables e Discos pticos Paso 3 Opcional A ada Condiciones a la regla Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista Condiciones y haga clic en A adir La condici n se a ade a la lista Condiciones seleccionadas Repita el procedimiento para a adir m s condiciones si as lo desea Para a adir una condici n a la lista Condiciones consulte Definici n de condiciones de activaci n para una regla Paso 4 Opcional Defina el Objetos de destino al que se aplica la regla de restricci n Por defecto el ESM aplica las nuevas reglas a todos los objetos de su organizaci n Para definir un subconjunto m s peque o de objetivos seleccione la pesta a Objetos e introduzca uno o m s Usuarios Equipos Grupos Unidades de la organizaci n o Endpoints existentes en las reas Incluir o Excluir El ESM consulta al Directorio activo para verificar los usuarios equipos grupos o unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y la descripci n La consola ESM genera autom ticamente el nombre de la regla y la descripci n
309. ue as de un solo sitio ooooooccccoorocrcccccno rr 12 Implementaciones peque as de sitios m ltiples oooo ooooooooocccoonnco corr 13 Implementaciones grandes juccicis ir rc a a paa 15 Implementaciones grandes de un solo S tIO oooooococcocooroccrcccro or 15 Aplicaci n de sitios m ltiples grandes con un Endpoint Security Managet oooooocccccoomo 16 Aplicaci n de sitios m ltiples grandes con m ltiples Endpoint Security Manager ooooo o oo o 17 Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN oooo o 18 Implementaci n grande de sitios m ltiples con agentes en itinerancia sin VPN oooo o 19 Requisitos previos 00 ds ei id al de sa ele 21 Requisitos previos para la instalaci n del servidor ESM oooocoooococcccccrnc ro 22 Requisitos previos para la instalaci n de Traps en un endpolMt ooooocccccococoonccrcccoo rnn 23 Configuraci n de la infraestructura de TrapS o oooooooo 25 Configuraci n de la infraestructura de ENOpOiNtS oooooccccoccooonococccr rreren rennrno 26 Actualizaci n de la infraestructura de endpoints o o ooooooococcccnn oro 27 Configuraci n del Endpoint Security Manager ooooooocccccnnnnoco cc 28 Consideraciones de instalaci n de la infraestructura de endpoints ooooooooccccccnoonooo 28 Habilitaci n de Servicios Weiss 28 Configuraci n de SSL en la consola ESM ooooocococoonocrcccccr ono 31 Configur
310. uientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Pol ticas gt Malware gt WildFire y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas de WildFire aparecen en la p gina Pol ticas gt Malware gt WildFire Desde ah puede Borrar o Desactivar la regla seg n sea necesario 96 Protecci n avanzada del endpoint Gu a del administrador Prevenci n de malware Administraci n de hashes ejecutables Administraci n de hashes ejecutables Cuando se habilita la integraci n de WildFire Traps crea un hash nico para archivos ejecutables ejecutados en un endpoint y lo comprueba con WildFire La p gina Control de hashes muestra la respuesta de WildFire para cada hash enviado a WildFire Si WildFire ya ha analizado un ejecutable y ha determinado que es malware responde que el ejecutable es Malintencionado Si WildFire ya ha analizado un ejecutable y ha determinado que no contiene un c digo o conducta malintencionados WildFire responde que el ejecutable es Benigno Si WildFire no ha analizado previamente el ejecutable responde que el estado del archivo es Desconocido Si el servidor ESM no llega al WildFire el estado del archivo se marca como Sin conexi n Especifique las acciones asociadas con veredictos malintencionados benignos desconocidos y sin conexi n en los ajustes de integraci n de WildFire consulte Habilitaci n de Wi
311. un proceso fuente intenta inyectarse en otro proceso Modo de proceso fuente e Heredar Hereda la conducta de la pol tica por defecto e Terminar Termina el proceso e Notificar Hace un log del problema y permite que el proceso se inyecte en otro proceso 3 Configure la conducta de notificaci n cuando el proceso fuente intenta inyectarse en otro proceso Notificaci n de usuario e Heredar Hereda la conducta de la pol tica por defecto e On _nforma al usuario cuando un proceso intenta inyectarse en otro proceso e Off No informa al usuario cuando un proceso intenta inyectarse en otro proceso 4 Por defecto la lista blanca evita que todos los m dulos de funci n del proceso principal se inyecten en procesos secundarios Alternativamente se puede permitir expl citamente la inyecci n en las funciones y procesos secundarios a adi ndolos a una lista blanca Para configurar los ajustes de la lista blanca haga clic en el icono Q del modo ninja e introduzca la contrase a de supervisor 5 Herede los ajustes de lista blanca por defecto o configure procesos de funci n y secundarios espec ficos Por defecto la lista blanca habilita todos los m dulos de funci n para iniciar cualquier proceso secundario Alternativamente puede configurar cualquiera de los siguientes y A adir el nombre del m dulo y el proceso secundario a la lista blanca Una funci n espec fica que inicia cualquier proceso secundario e
312. unidades de la organizaci n o identifica los endpoints existentes de los mensajes de comunicaci n anteriores Paso 5 Opcional Revise el nombre de la regla y La consola ESM genera autom ticamente el nombre de la regla y la la descripci n descripci n de acuerdo a los detalles de la regla Para cancelar el nombre generado autom ticamente seleccione la pesta a Nombre borre la opci n Descripci n autom tica est activada y a continuaci n introduzca un nombre de regla y la descripci n de su elecci n Paso 6 Guarde la regla de ajustes de agentes Proceda con una de las siguientes opciones e Guarde la regla Para activar la regla m s adelante seleccione la regla en la p gina Ajustes gt Ajustes de agentes y haga clic en Activar e Guarde y aplique la regla para activarla inmediatamente Las reglas guardadas aparecen en la p gina Ajustes gt Ajustes de agentes Desde ah puede Borrar o Desactivar la regla seg n sea necesario Definici n de ajustes de comunicaci n entre el endpoint y el servidor ESM Con regularidad el endpoint se comunica con el Endpoint Security Manager enviando mensajes heartbeat e informa al servidor ESM Durante la comunicaci n heartbeat el agente de Traps solicita la pol tica de seguridad actual y env a una respuesta al Endpoint Security Manager para informar del estado del endpoint Se denomina ciclo heartbeat la frecuencia con la que el agente de Traps env a mensajes heartbeat al
313. uraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB A Cambio de la contrase a de modo ninja utilizando la herramienta de configuraci n DB Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM Cuando instale la consola Endpoint Security Manager ESM especifique la cuenta administrativa y el tipo de autenticaci n que los administradores utilizar n para acceder a la consola Puede cambiar estas preferencias usando la herramienta de configuraci n de bases de datos DB consulte Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la herramienta de configuraci n DB o con la consola ESM Tambi n puede especificar el uso de un grupo de autenticaci n preexistente para el acceso administrativo Por defecto no se especifica ning n grupo Configuraci n de acceso administrativo al Endpoint Security Manager utilizando la consola ESM Paso 1 Seleccione Configuraci n gt General gt Administraci n de usuarios CANTE User Management 7 v Administrator Paso 2 Opcional Seleccione el Modo de autenticaci n ya sea M quina para utilizar una cuenta local o Dominio para usa una cuenta definida en el Directorio activo Paso 3 Opcional Especifique administradores adicionales en el campo Usuarios permitidos Utilice un punto y coma para separar valores m ltiples Por ejemplo lt usernamel gt lt use
314. ustes de Seleccione Ajustes gt Ajustes de agentes y a continuaci n A adir agentes una nueva regla 126 Protecci n avanzada del endpoint Gu a del administrador Administraci n de endpoints Administraci n de las reglas de ajustes de agentes Creaci n de un mensaje de prevenci n personalizado Continuaci n Paso 2 Personalice una o m s opciones de mensajes de prevenci n Paso 3 Opcional A ada Condiciones a la regla pa Seleccione Mensaje de prevenci n en la lista desplegable 2 Seg n realiza los cambios la vista previa a la derecha de los ajustes de configuraci n muestra los cambios e T tulo de prevenci n Introduzca un m ximo de 50 caracteres en el campo facilitado para mostrar un t tulo de notificaci n personalizado e Acci n de prevenci n Para facilitar informaci n de contacto o de otro tipo en la parte inferior del mensaje introduzca hasta 250 caracteres en el campo de acci n de notificaci n Para especificar una direcci n de correo electr nico utilice el formato HTML est ndar por ejemplo lt a href mailto supporteyour_organization com gt Help Desk lt a gt e Imagen de prevenci n Paza sustituir el logotipo de Traps por una nueva imagen Vaya a una nueva imagen y haga clic en Cargar Por defecto el ESM no aplica condiciones a una regla Para especificar una condici n seleccione la pesta a Condiciones A continuaci n seleccione la condici n en la lista
315. vanzada del endpoint Gu a del administrador 67 Administraci n de procesos Prevenci n de exploits Ver modificar o borrar un proceso Continuaci n Paso 2 Visualice los procesos en la p gina de Use los controles de la parte superior de la tabla para ver sus Administraci n de procesos diferentes partes Se muestran los campos siguientes Nombre de proceso Nombre de archivo del ejecutable del proceso Tipo de protecci n Protegido desprotegido o provisional Ordenadores N mero de endpoints en el que se ejecuta el proceso Reglas vinculadas N mero de reglas configuradas para el proceso Primero descubierto Nombre del endpoint en el que se descubri el proceso por primera vez Tiempo de descubrimiento Fecha y hora en las que se descubri el proceso por primera vez en el endpoint tras recibir una regla para informar de nuevos procesos Paso 3 Administre o cambie el proceso Seleccione el nombre del proceso y elija una de las siguientes opciones Seleccione Borrar para borrar el proceso Cambie el Nombre de proceso y a continuaci n Guarde los cambios Cambie el Tipo de protecci n y a continuaci n Guarde los cambios Ver procesos actualmente protegidos por Traps Cuando un usuario crea o abre un proceso protegido en el endpoint Traps inyecta un m dulo de protecci n conocido como EPM Exploitation Prevention Module en el proceso Las reglas de las pol ticas de seguridad
316. y errores relacionados con el Endpoint Security Manager El log DebugWeb se encuentra en la carpeta ProgramData Cyveral Logs del servidor ESM Log de servidor Log de servicio Indica informaci n advertencias y errores relacionados con la base de datos de endpoints y el servidor ESM El log de servidor se encuentra en la carpeta ProgramData l Cyveral Logs del servidor ESM Indica informaci n advertencias y errores relacionados con el servicio de Traps El log de servicio se encuentra en la carpeta siguiente en el endpoint e Windows Vista y posterior VoProgramDataY Cyveral Logs e Windows XP CA Document and Settings All Usersl Application Data Cyveral Logs Log de consola Indica informaci n advertencias y errores relacionados con la consola de Traps El log de consola se encuentra en la carpeta siguiente en el endpoint e Windows Vista y posterior C Users lt username gt 1 AppDatal Roamingl Cyvera e Windows XP C 1A Document and Settingsl lt username gt Application Data Cyveral Logs Herramienta de configuraci n de bases de datos DB dbconfig exe La interfaz de l neas de comando proporciona una alternativa a la gesti n de los ajustes b sicos del servidor utilizando la consola EMS Puede acceder a la herramienta de configuraci n DB utilizando una l nea de comandos de Microsoft MS DOS ejecutado como administrador Para obtener m s informaci n consulte Herramienta de configuraci n de bases de dato
Download Pdf Manuals
Related Search