Control remoto de los equipos

Advanced EDR permite al administrador establecer desde la consola web una conexión remota con los equipos de la red para comprobar su estado o para iniciar tareas de resolución de problemas.

Herramientas de acceso remoto incluidas en Advanced EDR

Línea de comandos remota: shell remota con permisos de administrador que permite ejecutar operaciones sobre el sistema de ficheros y lanzar programas en el equipo.
Gestor de procesos: muestra un listado con los procesos en ejecución y permite su parada, pausa o reinicio.
Gestor de servicios: muestra un listado con los servicios instalados en el equipo y permite su arranque y parada.
Transferencia de ficheros: envío y recepción de ficheros entre el equipo del administrador y el equipo del usuario.
Herramientas de línea de comandos: conjunto de programas accesibles desde la línea de comandos remota, orientados a recoger información para profundizar en la investigación del administrador, recuperar datos para realizar análisis forense y resolver las brechas de seguridad:
- delete: borra ficheros en todo el disco duro del equipo.
- dump: vuelca en disco la memoria asignada a procesos.
- netinfo: muestra la información de las interfaces de red.
- pcap: captura paquetes de red y los vuelca al disco duro del equipo.
- ports: muestra los procesos que tienen puertos abiertos en el equipo.
- process: muestra los procesos cargados en memoria y sus módulos.
- url: muestra un listado histórico con todas las URLs accedidas desde el navegador instalado en el equipo.

Permisos requeridos

Para visualizar y modificar la configuración de control remoto, la cuenta de usuario debe disponer del permiso Configurar Control Remoto.
Para establecer un acceso remoto a los equipos de la red, la cuenta de usuario debe disponer del permiso Control remoto de equipos.

Para obtener más información sobre los permisos disponibles, consulta Descripción de los permisos implementados

Requisitos

Control remoto está disponible en equipos con sistema operativo Windows, Linux y mac0S.

Para utilizar las herramientas de acceso remoto y de linea de comandos remota, es necesario que tanto el equipo del usuario como el cortafuegos perimetral de la red permitan el tráfico desde y hacia las URLs siguientes:

dir.rc.pandasecurity.com por el puerto 443.
eu01.rc.pandasecurity.com por los puertos 8080 y 443.
eu02.rc.pandasecurity.com por los puertos 8080 y 443.
eu03.rc.pandasecurity.com por los puertos 8080 y 443.
eu04.rc.pandasecurity.com por los puertos 8080 y 443.
eu05.rc.pandasecurity.com por los puertos 8080 y 443.
eu06.rc.pandasecurity.com por los puertos 8080 y 443.
ams01.rc.pandasecurity.com por los puertos 8080 y 443.
ams02.rc.pandasecurity.com por los puertos 8080 y 443.

Configuración de control remoto

Para activar el control remoto en los equipos de la red es necesario asignar una configuración a los equipos que serán accesibles por el administrador:

Haz clic en el menú superior Configuración, panel lateral Control remoto. Se abrirá una ventana con el listado de configuraciones de control remoto existentes.
Haz clic en el botón Añadir situado en la esquina superior derecha. Se abrirá la ventana Añadir configuración.
Escribe el nombre de la configuración en el campo Nombre y opcionalmente una descripción en el campo Descripción.
Haz clic en el botón Guardar.
Haz clic en el enlace No se ha asignado a ningún equipo y elige los equipos o grupos de la red que recibirán la configuración de control remoto.
Establece la funcionalidad de control remoto que se activará para los equipos afectados por la configuración:
- Terminal: acceso remoto a la terminal de la consola
- Monitor de procesos: monitorización remota de los procesos.
- Monitor de servicios: configuración remota de los servicios.
- Transferencia de archivos: trasferencia remota de ficheros desde o hacia el equipo del administrador.
Haz clic en el botón Guardar situado en la esquina superior derecha de la ventana. La configuración se asignará a los equipos afectados y el administrador de la red podrá establecer sesiones de control remoto con ellos.

Acceso a la funcionalidad de control remoto

Para iniciar una sesión de control remoto desde un listado, haz clic en el menú de contexto asociado al equipo y selecciona la opción Control remoto. Esta opción se encuentra disponible en los listados siguientes:

Licencias
Hardware
Riesgos por equipo
Estado de protección de los equipos
Estado de cifrado
Estado de gestión de parches
Estado de Data Control
Listado de equipos

Para obtener más información acerca de los listados disponibles en Advanced EDR consulta Plantillas, configuraciones y vistas

La funcionalidad de control remoto también se encuentra disponible en la pantalla de detalle del equipo, haciendo clic en las filas de los listados indicados.

Descripción de las herramientas de control remoto

Gestión de procesos

Herramienta de gestión de procesos

La herramienta de gestión de procesos muestra todos los procesos cargados en la memoria del equipo, busca procesos concretos y permite parar o arrancarlos remotamente. Además, ofrece información sobre la memoria RAM y CPU consumidas por proceso.

La funcionalidad Gestión de procesos incorpora los recursos siguientes:

Herramienta de búsqueda (1): filtra el listado por el PID o por el nombre indicado. Permite búsquedas parciales.
Actualización automática del listado (2): define el intervalo que deberá transcurrir para que Advanced EDR recargue la lista de procesos.
Botón de parada (3): detiene la ejecución del programa seleccionado.
Listado de procesos (4): muestra el listado de procesos cargados en la memoria del equipo.
CPU (5): indica el porcentaje de CPU consumida por todos los procesos cargados en memoria, y muestra un histórico en forma de diagrama de líneas con los consumos desde que se inició la herramienta.
Memoria (6): indica el porcentaje de memoria consumida por todos los procesos cargados, y muestra un histórico en forma de diagrama de líneas con los consumos desde que se inició la herramienta Gestión de procesos

El listado de procesos (4) muestra información de cada proceso cargado en la memoria del equipo:

Campo	Descripción
PID	Identificador del proceso.
User	Cuenta de usuario que cargó el proceso.
Name	Nombre del proceso.
CPU	CPU consumida del proceso.
RAM	Memoria consumida por el proceso.
Campos del listado Procesos

Gestión de servicios

Herramienta de gestión de servicios

La herramienta Gestión de servicios muestra todos los servicios configurados en el equipo, busca uno concreto y modifica su estado. Para ello cuenta con los recursos siguientes:

Herramienta de búsqueda (1): filtra el listado por el nombre o descripción indicado. Permite búsquedas parciales mediante subcadenas.
Actualización automática del listado (2): define el intervalo que deberá transcurrir para que Advanced EDR actualice la lista de servicios.
Botón de inicio y parada de servicio (3): detiene o inicia la ejecución del servicio seleccionado.
Listado de servicios (4): muestra el listado de servicios cargados en la memoria del equipo.

El listado de servicios (4) muestra información de cada servicio configurado en el equipo:

Campo	Descripción
Nombre	Identificador del servicio.
Descripción	Descripción del servicio.
Status	Estado del servicio: Running: servicio en ejecución. Not running: servicio detenido.
Campos del listado Servicios

Transferencia de ficheros

Herramienta de gestión de ficheros

La herramienta Gestión de ficheros permite transferir ficheros en ambas direcciones desde el equipo del administrador al equipo remoto. Además, permite navegar por el sistema de ficheros del equipo remoto y borrar archivos. Para ello cuenta con los recursos siguientes:

Zona de mensajes (1): muestra los errores que se pueden producir al acceder al sistema de ficheros del equipo remoto.
Ruta de navegación (2): muestra la ruta del sistema de ficheros que se visualiza en la zona de listado.
- Para cambiar de directorio de forma rápida, haz clic en una carpeta.
- Para mostrar el listado de dispositivos conectados al equipo, haz clic en el icono .
Actualización automática del listado (3): permite definir el intervalo que deberá transcurrir para que Advanced EDR actualice la lista de ficheros.
Listado de ficheros (4): muestra el listado de ficheros que contiene la ruta de navegación (2).
Carpetas : haz clic en una carpeta para mostrar los ficheros que contiene. Se actualizará la ruta de navegación (2) automáticamente.
Borrar : borra el fichero seleccionado. Los ficheros no pasan por la papelera de reciclaje.

El listado de ficheros (4) muestra la información relativa de cada fichero configurado en el equipo:

Campo	Descripción
Name	Nombre del fichero.
Size	Tamaño del fichero.
Last modification	Fecha en la que se modificó por última vez el fichero.
Actions	Acciones a ejecutar sobre el fichero: Borra el fichero
Campos del listado Ficheros

Linea de comandos remota

Windows

Ejecuta en el equipo remoto comandos compatibles con el intérprete de comandos, y permite lanzar programas que tengan salida de texto. Se ejecuta bajo la cuenta LOCAL_SYSTEM del equipo remoto y se encuentra instalada en la siguiente ruta:

C:\Program Files (x86)\Panda Security\Panda Aether Agent\Remote access\

Linux/macOS

Abre una shell de tipo bash y permite lanzar comandos compatibles y que tengan salida de texto. Se ejecuta con permisos de root en el equipo remoto.

Programa rt.exe para Windows

Advanced EDR incorpora el programa rt.exe para dar acceso a un conjunto de utilidades que facilitan la respuesta del administrador ante incidentes de seguridad. Con estas herramientas es posible recuperar información para realizar un análisis forense posterior, así como devolver al estado original el equipo afectado por la brecha de seguridad.

El programa rt.exe es accesible desde la línea de comandos remota y sigue la sintaxis indicada:

rt.exe [command] [-h|--help]

Las consideraciones indicadas a continuación afectan de forma general al comando rt.exe:

command indica una acción a realizar. Cada una de ellas soporta distintos parámetros.
No se soportan los caracteres comodín “*”, “?”.
Algunos parámetros permiten búsquedas parciales por subcadenas al comienzo, final y en el interior de la cadena. Por ejemplo, para filtrar la cadena “armario” se admiten las búsquedas por “ar”, “mar” e “io”.
Si el comando soporta el volcado de la salida a un fichero, éste se especifica con -f.
Para separar varios elementos del mismo tipo, se usa el carácter “|”.
A continuación se incluyen los parámetros soportados por cada comando.

Comando “delete”

Borra los ficheros indicados con el parámetro -n, -m o -s que se encuentren en la ruta indicada por el parámetro -p. Si el fichero está en uso el comando delete devolverá un error.

Parámetro corto	Parámetro largo	Descripción	Anotaciones
-h	--help	Ayuda del comando.
-f	--force	Borra los ficheros definitivamente sin pasar por la papelera de reciclaje.
-r	--restore	En vez de borrar, recupera de la papelera de reciclaje los ficheros indicados.	Los ficheros se restauran a su localización original.
-p	--path	Ruta absoluta desde el directorio raíz a partir de la cual se buscarán los ficheros a borrar. Solo se borrarán los ficheros que pertenezcan a la ruta indicada.	El carácter separador de carpetas es “`\`”. No se soportan caracteres comodín.
-n	--name	Nombre de los ficheros a borrar.	Para indicar varios ficheros se utiliza el carácter “`\|`” No se soportan caracteres comodín.
-m	--md5	MD5 de los ficheros a borrar s.	Para indicar varios MD5 se utiliza el carácter “`\|`” No se soportan caracteres comodín.
-s	--sha256	SHA256 de los ficheros a borrar.	Para indicar varios SHA256 se utiliza el carácter “\|” No se soportan caracteres comodín.
Parámetros del comando delete

Comando “dump”

Vuelca a disco el espacio de memoria asignado a un proceso de usuario o de sistema.

Parámetro corto	Parámetro largo	Descripción	Anotaciones
-h	--help	Ayuda del comando.
-p	--pid	PID del proceso a volcar.	Consulta el Comando “process” para obtener el PID del proceso a volcar.
-s	--system	Volcado del kernel.	Valores admitidos: mini: volcado corto con el contenido de la pila. kernel: volcado completo. full: volcado de toda la memoria física del equipo, aunque no esté en uso.
-f	--filename	Nombre del fichero donde se guardará el volcado.
-z	--zip	El volcado se almacenará en un fichero comprimido en formato zip.
Parámetros del comando dump

Comando “netinfo”

Muestra la configuración de las interfaces de red instaladas en el equipo con el parámetro -a.

Parámetro corto	Parámetro largo	Descripción
-h	--help	Ayuda del comando.
-a	--all	Muestra por pantalla la configuración de las interfaces de red instaladas en el equipo.
-f	--filename	Nombre del fichero donde se guardará la información.
-z	--zip	El volcado se almacenará en un fichero comprimido en formato zip.
Parámetros del comando netinfo

Comando “pcap”

Captura el tráfico de red recibido y enviado desde el equipo remoto. El inicio y la finalización de la captura se indican mediante el parámetro -a start| stop. La captura de paquetes genera ficheros temporales en el equipo, por lo que es necesario espacio suficiente en el disco duro. El resultado final es un fichero con formato pcap directamente utilizable por el programa Wireshark / Ethereal.

Parámetro corto	Parámetro largo	Descripción	Anotaciones
-h	--help	Ayuda del comando.
-a	--action	Ejecuta una acción: start: inicia el proceso de captura. stop: finaliza el proceso de captura. queryStatus: muestra el estado del proceso de captura.
-m	--maxsize	Tamaño máximo del paquete a capturar.	Especificado en megabyes. Valor por defecto: 200 Mbytes.
-i	--maxtime	Tiempo máximo de captura.	Especificado en segundos. Valor por defecto: 86400 segundos (1 día).
-f	--filename	Nombre del fichero donde se almacenará la información.
-z	--zip	El volcado se almacenará en un fichero comprimido en formato zip.
Parámetros del comando pcap

Comando “ports”

Con el parámetro -a muestra los sockets abiertos en el equipo y los procesos que los abrieron.

Parámetro corto	Parámetro largo	Descripción	Anotaciones
-h	--help	Ayuda del comando.
-a	--all	Muestra todos los puertos abiertos y su proceso asociado.
-p	--pid	Filtra el resultado por el PID de un proceso.
-n	--name	Filtra el resultado por el nombre de un proceso.	Soporta búsquedas parciales por subcadenas.
-f	--filename	Nombre del fichero donde se almacenará la información.
Parámetros del comando ports

Comando “process”

Con el parámetro -a muestra todos los procesos cargados en la memoria del equipo y sus módulos.

Parámetro corto	Parámetro largo	Descripción
-h	--help	Ayuda del comando.
-a	--all	Muestra todos los procesos cargados en la memoria del equipo y sus módulos.
-p	--pid	Filtra el resultado por el PID de un proceso mostrando sus módulos.
-u	--user	Muestra los procesos lanzados por un usuario y sus módulos.
-f	--filename	Nombre del fichero donde se almacenará la información.
Parámetros del comando process

Comando “url”

Con el parámetro -a any muestra todas las URLs accedidas por los usuarios mediante el navegador web instalado en el equipo remoto. Este comando requiere tener activado el control de acceso a páginas web de Advanced EDR.

Parámetro corto	Parámetro largo	Descripción	Anotaciones
-h	--help	Ayuda del comando.
-a	--action	Filtra el listado de URLs según la acción ejecutada por el control de acceso a páginas web: allow: muestra las URLs permitidas. deny: muestra las URLs denegadas. any: muestra todas las URLs navegadas.
-c	--count	Número máximo de URLs a mostrar.	Valor por defecto: sin límite
-g	--category	Filtra el listado de URLs según la categoría asignada por el control de acceso a páginas web.
-b	--begindate	Establece la fecha de inicio desde la que se mostrarán las URLs navegadas.	Formato de la fecha: “`YYYY-MM-DD HH:MM`”. Valor por defecto: 30 días hacia atrás de la fecha de ejecución del comando.
-e	--enddate	Establece la fecha de finalización hasta la que se mostrarán las URLs navegadas.	Formato de la fecha: “`YYYY-MM-DD HH:MM`”. Valor por defecto: fecha de ejecución del comando.
-n	--urlpattern	Filtra las URLs por subcadena.
-u	--userpattern	Filtra las URLs por usuario.
-f	--filename	Nombre del fichero donde se guardará la información.
-z	--zip	El volcado se almacenará en un fichero comprimido en formato zip.
Parámetros del comando url