Configuración de la evaluación de riesgos

Permisos requeridos

La evaluación de riesgos es visible para todos los usuarios de la consola web, pero para su configuración es necesario disponer del rol control total. Para más información, consulta Gestión de roles y permisos . La configuración de la evaluación de riesgos se aplica por igual a todos los equipos del parque informático.

Acceso a la configuración

Haz clic en el menú superior Configuración, menú lateral Riesgos. Se abrirá la ventana Riesgos. La información se distribuye en dos zonas principales: la lista de riesgos y los desplegables para asignar los niveles de riesgo correspondientes.

Lista de riesgos

La mayoría de los riesgos tienen que ver con las diferentes configuraciones implementadas por Advanced EDR. Otros riesgos están relacionados con la información sobre el estado de la protección que los equipos envían a los servidores de Cytomic.

Los riesgos disponibles para su evaluación varían en función del sistema operativo instalado en los equipos.

Riesgo	Comentario
Sin protección	El equipo presenta errores en la instalación de la protección o no dispone de licencia. Consulta Estado de protección
Protección desactualizada	La versión del motor de la protección instalada en el equipo no está actualizada. El equipo es vulnerable frente a las amenazas. Consulta Sección Detalles (3).
Conocimiento desactualizado (más de 30 días)	La versión del fichero de firmas instalada en el equipo no está actualizada, por lo que el equipo es vulnerable frente a las amenazas. Consulta Protección desactualizada.
Sin conectividad con servidores de conocimiento	Las comunicaciones entre el equipo y los servidores de Cytomic no están funcionando correctamente. El equipo no está debidamente protegido. Consulta Funcionalidades del producto y requisitos para comprobar que el equipo cumple los requisitos de conexión necesarios.
Sin protección ante desinstalación	El equipo no está protegido con contraseña para evitar la desinstalación o modificación de la protección. Consulta Configurar la seguridad frente a manipulaciones no deseadas de las protecciones.
Protección antitamper desactivada	El funcionamiento de la protección podría ser modificado y manipulado. Consulta Configurar la seguridad frente a manipulaciones no deseadas de las protecciones.
Protección avanzada Windows en modo Audit o desactivada	La protección avanzada no está activa o solo informa de las amenazas, pero no bloquea ni desinfecta el malware. Consulta Protección avanzada
Protección avanzada Windows en modo Hardening	La configuración de la protección avanzada permite la ejecución de programas desconocidos ya instalados en el equipo y bloquea los provenientes del exterior. Consulta Protección avanzada
Protección avanzada Linux en modo Auditar o No detectar o desactivada	La protección avanzada no está activa o se limita a informar de las amenazas pero no las bloquea. Consulta Detectar actividad maliciosa (Sólo Linux).
Antiexploits en modo Auditar o desactivado	La protección antiexploit no está activa o se limita a informar de la detección pero no emprende acciones contra las amenazas. Consulta Configuración de la detección anti - exploits.
Exclusiones de carpetas, archivos o extensiones	Hay extensiones, archivos o carpetas que no están siendo analizados en busca de malware. Para saber cómo configurar los elementos que no serán bloqueados, borrados o desinfectados, consulta Archivos y rutas excluidas del análisis Para saber cómo evitar el bloqueo de determinados programas, consulta Software autorizado y exclusiones de elementos. Para tener más información sobre cómo añadir exclusiones de carpetas, archivos o extensiones, sin que ello repercuta en el nivel de riesgo del equipo, consulta Gestión de las exclusiones.
Indicadores de ataque recientes	El equipo ha informado de la detección de algún indicador de ataque (IOA) en los últimos 30 días. Consulta Gestión de indicadores de ataque.
Parches críticos pendientes de instalación	El equipo tiene instalado Cytomic Patch y notifica la existencia de parches críticos pendientes de instalar. Esta notificación puede producirse de forma inmediata o una vez transcurrido un determinado número de días desde la publicación de los parches. Por defecto el número de días es 30, pero el administrador puede modificarlo al activar este riesgo para su evaluación. Consulta Configuración del descubrimiento de parches sin aplicar.
Modo auditoría activado	Al activar el modo auditoría en una configuración, no se modifica el estado global de las diferentes protecciones en los equipos asignados a esa configuración, ni la configuración de las protecciones en la consola web. Las protecciones continúan detectando amenazas en los equipos e informando de ellas, pero no se llevan a cabo labores de bloqueo o desinfección. Consulta Modo auditoría
Network Attack Protection disabled or in "Audit" mode	Debido a la configuración de esta protección, el análisis en tiempo real del tráfico de red no está detectando ni deteniendo los movimientos laterales de las amenazas fileless (sin fichero) y ataques avanzados mediante exploits. Consulta Protección contra ataques de red
Lista de riesgos

Funcionamiento de la evaluación de riesgos

De forma predeterminada, Cytomic asigna un nivel de riesgo específico a cada riesgo detectado en el equipo. Este nivel de riesgo asignado por defecto se muestra al acceder por vez primera a la ventana Configuración, Riesgos. El administrador puede cambiar el nivel de riesgo asignado por defecto y seleccionar el que desee, en función de sus necesidades.

Para configurar la evaluación de riesgos:

• En la lista de riesgos (1), activa los que quieres detectar. Para ello, utiliza los controles deslizantes.

• Utiliza el desplegable Nivel de riesgo (2), para asignar a cada riesgo su nivel : Crítico, Alto, Medio.

  Si el nivel de riesgo que has seleccionado no coincide con el recomendado por Cytomic, se mostrará el icono (3). Al situar el cursor sobre el icono se mostrará el mensaje (4) recordando cuál es el nivel de riesgo recomendado por Cytomic.

• Haz clic en el botón Guardar.

  La actualización de riesgos es asíncrona, es decir, puede transcurrir un pequeño margen de tiempo entre la aplicación de la configuración de riesgos y la aparición de los datos en los listados y widgets.

Establecer el nivel de riesgo para IOAs recientes

El riesgo Indicadores de ataque recientes se activa cuando se detecta un IOA en el equipo.

A la hora de establecer su nivel de riesgo, el usuario puede:

• Seleccionar en el desplegable Nivel de riesgo (2) el nivel Crítico, Alto o Medio.

• Seleccionar en el desplegable Nivel de riesgo (2) la opción Riesgo de los indicadores de ataque. De esta forma, el nivel de riesgo se corresponderá con el nivel más alto de riesgo de entre todos los IOAs detectados en el equipo.

Solo se evalúan aquellos IOAs que no han sido previamente archivados o cuya fecha de detección es menor a 30 días.

Por ejemplo:

Se reciben 25 IOAs: algunos de nivel bajo, otros de nivel medio, y uno de nivel alto. El nivel de riesgo para Indicadores de ataque recientes, será Alto.

Si se archiva el IOA de nivel alto recibido o transcurren los 30 días de plazo, al existir más IOAs sin archivar se establecerá de nuevo el nivel de riesgo que, de acuerdo con la lógica anterior, será de nivel Medio.

Por ejemplo:

El equipo informa de la detección de 25 IOAs, todos ellos de nivel bajo excepto 2 de nivel medio. En este caso, el nivel de riesgo es Medio.

Si se archiva un IOA de nivel medio el riesgo seguirá siendo el mismo, ya que existe otro IOA de ese nivel. Una vez archivado el IOA de riesgo medio que queda, el nivel del riesgo pasará a ser Bajo, que corresponde con el nivel de los 25 IOAs que permanecen sin archivar.

Monitorización de la evaluación de riesgos

Los resultados de la evaluación de riesgos se reflejan en los widgets y listados correspondientes. Para más información, consulta Listados del módulo Evaluación de riesgos y Paneles/widgets del módulo Evaluación de riesgos.

Modificación y recálculo de los valores recomendados

Cytomic puede modificar los niveles de riesgo recomendados para los diferentes riesgos, pero este cambio no tendrá efecto inmediato sobre los riesgos seleccionados por el administrador, salvo si actualiza a una nueva versión de Advanced EDR, en cuyo caso:

• Los riesgos cuyo nivel de riesgo no haya sido modificado por el usuario, se actualizarán automáticamente con el nuevo valor por defecto recomendado por Cytomic.

• Advanced EDR calculará otra vez el riesgo de todos los equipos y la configuración por defecto mostrará los nuevos niveles de riesgo recomendados.

Cálculo del nivel de riesgo global asignado a cada equipo

La evaluación del nivel de riesgo asignado a cada equipo se produce en dos momentos:

• Para todo el parque informático, con cada actualización de la versión de Advanced EDR.

• Para un equipo concreto, cuando suceden determinadas circunstancias, como por ejemplo asignar configuraciones al equipo, mover los equipos o dispositivos de un grupo a otro, registrar nuevos dispositivos o equipos y, en algunos casos, modificar su asignación de licencias.

  El nivel de riesgo global del equipo coincide con el nivel mayor alcanzado en la evaluación de los riesgos.

  Por ejemplo:

  • En el equipo hay 5 riesgos activos, de los cuáles 1 es de nivel Alto y los otros 4 de nivel Medio. El nivel de riesgo global del equipo será Alto.

  • En el equipo hay 5 riesgos, 4 activos (1 de nivel Alto, 3 de nivel Medio) y 1 riesgo inactivo de nivel Crítico. El nivel de riesgo global del equipo será Alto.

  Gestión de las exclusiones

  Para evitar incrementar el riesgo de un equipo al añadir exclusiones a su configuración de Estaciones y servidores, el administrador puede seleccionar cuales de ellas se utilizarán en el calculo del nivel de riesgo del equipo, y cuáles no.

  Configuración

  • Haz clic en el menú superior Configuración, menú lateral Riesgos. Se abrirá la ventana Riesgos.

  • En la lista de riesgos (1), activa el riesgo Exclusiones de carpetas, archivos o extensiones.

  • Haz clic en el enlace Gestionar el impacto de las exclusiones.

  La ventana Gestionar el impacto de las exclusiones distribuye la información en dos partes:

  • En la parte izquierda se muestran todas las exclusiones de carpetas, archivos y extensiones añadidas a todas las configuraciones de Estaciones y servidores creadas en la consola de administración. Estas exclusiones afectan al riesgo de la seguridad y se utilizan para calcular el nivel de riesgo de los equipos. Consulta Funcionamiento de la evaluación de riesgos y Cálculo del nivel de riesgo global asignado a cada equipo .

  • En la parte derecha se muestran las exclusiones seleccionadas para que no afecten al estado del riesgo de seguridad, y que no se utilizarán en el cálculo del riesgo global del equipo.

  Utiliza para desplazar a la derecha las exclusiones que NO afectarán al nivel de riesgo de seguridad, y para devolver las exclusiones a la parte izquierda.

  • Para seleccionar varios elementos a la vez, haz clic + Ctrl. Para excluir o devolver todos los elementos, utiliza el enlace Seleccionar todo.

  • Haz clic en Guardar.

  Visualizar las exclusiones

  El número de exclusiones seleccionadas para que no afecten al estado del riesgo del equipo, se muestra en la ventana de estado de riesgos. Consulta Paneles/widgets del módulo Evaluación de riesgos.