Búsqueda de IOCs en la red
Advanced EPDR utiliza su motor de tareas para configurar y ejecutar búsquedas de IOCs en los equipos de la red del cliente, accesible desde el menú de Tareas y desde la Galería de IOCs. Consulta el capítulo Tareas para obtener más información sobre cómo gestionar tareas en Advanced EPDR.
Permisos requeridos para gestionar tareas de tipo Detectar IOCs
Para gestionar tareas de tipo Detectar IOCs es necesario que la cuenta de usuario utilizada para acceder a la consola web tenga asignado el permiso Buscar y administrar IOCs a su rol. Para obtener más información sobre el sistema de permisos consulta Descripción de los permisos implementados.
Acceso a búsqueda de IOCs
Las búsquedas solo se pueden ejecutar con IOCs previamente aprobados.
Desde el menú de Tareas
-
En el menú superior haz clic en Tareas, Añadir tarea y selecciona Detectar IOCs.
Desde el listado de Galería de IOCs
-
En el menú superior Configuración, accede en el panel lateral a la Galería de IOCs.
-
Selecciona el IOC o grupo de IOCs a buscar marcando las casillas de selección.
-
Para buscar IOCs, si has seleccionado un solo elemento haz clic en el menú de contexto asociado y selecciona Buscar IOCs. Si has seleccionado varios, haz clic en Buscar IOCsen la barra superior de herramientas. Se creará una nueva tarea de búsqueda de IOCs. Para configurarla consulta Configurar una tarea de búsqueda de IOCs.
Configurar una tarea de búsqueda de IOCs
-
Escribe la información general de la tarea en los campos Nombre y Descripción.
-
Haz clic en el enlace Destinatarios (No se ha asignado a ningún equipo) y haz clic en el botón Cerrar para salvar la tarea. Se abrirá una ventana nueva donde seleccionar los equipos que recibirán la tarea configurada.
-
Selecciona el tipo de equipos que recibirán la tarea: Estación, Portátil o Servidor.
-
Haz clic en el botón
para agregar equipos individuales o grupos de equipos, y en el botón 
para eliminarlos. -
Haz clic en el botón Ver equipos para verificar los equipos que recibirán la tarea.
-
Indica la programación horaria de la tarea:
-
Empieza: marca el inicio de la tarea.
-
Valor Descripción Lo antes posible (activado)
La tarea se lanza en el momento si el equipo está disponible (encendido y accesible desde la nube), o cuando se encuentre disponible dentro del margen definido en el desplegable Equipo apagado.
Lo antes posible (desactivado)
La tarea se lanza en la fecha seleccionada en el calendario, indicando si se tiene en cuenta la hora del equipo o la hora del servidor Advanced EPDR.
Equipo apagado
Si el equipo está apagado o inaccesible, la tarea no se podrá lanzar. El sistema de programación de tareas permite establecer la caducidad de la tarea en función del intervalo de tiempo definido por el administrador, desde 0 (la tarea caduca de forma inmediata si el equipo no está disponible) a infinito (la tarea siempre está activa y se espera a que el equipo esté disponible de forma indefinida):
-
No ejecutar: la tarea se cancela si en el momento del lanzamiento el equipo no está encendido o no es accesible.
-
Dar un margen de: define un intervalo de tiempo dentro del cual, si el equipo inicialmente no estaba disponible y vuelve a estarlo, la tarea será lanzada.
-
Ejecutar cuando se encienda: no establece ningún intervalo de tiempo sino que se espera de forma indefinida a que el equipo esté accesible para lanzar la tarea.
-
-
Tiempo máximo de ejecución: indica el tiempo máximo que la tarea puede tardar en completarse, transcurrido el cual se cancelará con error si no ha terminado.
-
Valor Descripción Sin límite
La duración de la ejecución de la tarea no está definida, pudiéndose extender hasta el infinito.
1, 2, 8 o 24 horas
La duración de la ejecución de la tarea está acotada. Transcurrido el tiempo indicado, la tarea se cancela con error si no ha terminado.
-
Haz clic en Guardar. La tarea aparecerá en el listado de tareas configuradas, pero mostrará la etiqueta Sin publicar, indicando que no está activa.
-
Haz clic en el enlace Publicar para introducir la tarea en el programador de Advanced EPDR, encargado de marcar el momento en que se lanzan las tareas según su configuración.
-
Prioridad de las tareas de búsqueda de IOCs
| Tarea | Comportamiento |
|---|---|
|
Detección de IOCs |
Espera a que finalice la tarea de búsqueda en ejecución y comienza al acabar la primera. |
|
Instalación de parches |
La tarea de búsqueda de IOCs se ejecuta de forma concurrente con la tarea de instalación de parches. No se interrumpirá la tarea de instalación de parches por el riesgo que supone para la integridad del sistema. |
|
Análisis o desinfección |
Cancela la tarea de análisis o desinfección y comienza la ejecución de la tarea de detección de IOCs. Las tareas de análisis o desinfección creadas cuando hay una tarea de búsqueda de IOCs en funcionamiento no inician su ejecución hasta que la tarea de IOCs ha finalizado. |
|
Búsqueda de Cytomic Data Watch |
Comienza a ejecutar la tarea sin cancelar ni detener la tarea de Cytomic Data Watch. |
|
Indexación de Cytomic Data Watch |
Comienza a ejecutar la tarea y detiene temporalmente la tarea de Cytomic Data Watch. |
Comportamiento de las tareas de búsqueda de IOCs frente a reinicios del equipo
La ejecución de las tareas de búsqueda se cancelan y se reinician automáticamente cuando sea posible en el equipo del usuario y desde su comienzo en los casos siguientes:
-
Cuando el administrador solicita el reinicio del equipo desde consola web.
-
Cuando el usuario local solicita el reinicio del equipo desde el propio equipo.
-
Cuando se tiene que proceder al reinicio del equipo automáticamente por actualización de alguno de los componentes del software de seguridad instalado.
Comportamiento en caso de cancelación manual de tareas de búsqueda de IOCs
En caso de que el administrador interrumpa de manera manual la tarea desde la consola web el comportamiento será el siguiente:
-
La búsqueda de IOCs se detendrá lo antes posible en el equipo.
-
Se registrarán los resultados detectados hasta el momento de la cancelación.