Permitir y volver a impedir la ejecución de elementos

El administrador utiliza los paneles listados a continuación dependiendo del tipo de elemento cuya ejecución quiere permitir:

• Programas actualmente bloqueados en clasificación: desbloquea elementos en clasificación.

• Actividad del Malware: permite la ejecución de programas clasificados como malware.

• Actividad de PUP: permite la ejecución de programas clasificados como PUP.

• Actividad de Exploits: permite la ejecución de técnicas de explotación.

• Amenazas detectadas por el antivirus: restaura de la cuarentena los elementos eliminados por Advanced EPDR que coinciden con una firma incluida en el archivo de identificadores.

• Ataques de red: permite la llegada de tráfico clasificado como peligroso por el módulo Protección contra ataques de red.

Desbloquear elementos desconocidos pendientes de clasificación

De forma general se desaconseja desbloquear la ejecución de elementos sin clasificar, ya que pueden representar un riesgo para la integridad de los sistemas de IT de la empresa y sus datos.

Si los usuarios no pueden esperar a que Advanced EPDR complete la clasificación para liberar el bloqueo de forma automática, el administrador puede desbloquearlos manualmente.

Para permitir ejecutar un elemento desconocido en clasificación:

• Selecciona el menú superior Estado, panel lateral Seguridad.

• Haz clic en el panel Programas actualmente bloqueados en clasificación y selecciona en el listado el elemento a desbloquear.

• Haz clic en el botón Desbloquear. Se mostrará una ventana advirtiendo del peligro que supone desbloquear un elemento desconocido, junto a una valoración provisional de su peligrosidad.

• Haz clic en el botón Desbloquear. Advanced EPDR ejecutará las siguientes acciones:

  • El elemento podrá ser ejecutado en todos los equipos gestionados del parque informático.

  • Además de permitir ejecutar el elemento, se permite la ejecución automática de toda la cadena de librerías y binarios utilizados en el programa, excepto aquellas ya conocidas y clasificadas como amenazas.

  • El elemento se retira del listado Programas actualmente bloqueados en clasificación.

  • El elemento se incorpora al listado Programas permitidos por el administrador.

  • El elemento se incorpora al listado Historial de programas permitidos por el administrador.

  • Advanced EPDR continuará analizando el elemento hasta completar su clasificación.

Permitir ejecutar elementos clasificados como malware, PUP o Exploit

De forma general se desaconseja desbloquear la ejecución de elementos clasificados como amenazas, ya que representan un riesgo evidente para la integridad de los sistemas de IT de la empresa y sus datos.

Si los usuarios requieren cierta funcionalidad incluida en un programa que ha sido clasificado como una amenaza, y el administrador considera que el peligro para la integridad del parque IT administrador es bajo, puede permitir su ejecución.

Para permitir la ejecución de un programa clasificado como malware, PUP o Exploit:

• Selecciona el menú superior Estado, panel lateral Seguridad.

• Haz clic en panel Actividad de malware / PUP / Exploit y selecciona la amenaza cuya ejecución quieres permitir.

• Haz clic en el icono del campo Acción. Se mostrará un ventana explicando la acción tomada por Advanced EPDR.

• Haz clic en el enlace No volver a detectar. Advanced EPDR ejecutará las siguientes acciones:

  • El elemento podrá ser ejecutado en todos los equipos gestionados por el administrador. En el caso de exploits, se permitirá la ejecución de la técnica de explotación específicamente permitida, y únicamente ejecutada desde el programa detectado.

  • Además de permitir ejecutar el elemento, se permite la ejecución automática de toda la cadena de librerías y binarios utilizados en el programa, excepto aquellas ya conocidas y clasificadas como amenazas.

  • El elemento se incorpora al listado Programas permitidos por el administrador.

  • El elemento deja de generar incidentes en los paneles Actividad de malware / PUP / Exploits

Restaurar / no volver a detectar programas clasificados como virus

Si los usuarios requieren cierta funcionalidad incluida en un programa que ha sido clasificado por el fichero de firmas como una amenaza, y el administrador considera que el peligro para la integridad del parque IT administrador es bajo, puede permitir su ejecución:

Para restaurar desde la cuarentena / backup un programa borrado y no volver a detectarlo:

• Selecciona el menú superior Estado, panel lateral Seguridad.

• Haz clic en el panel Amenazas detectadas por el antivirus y selecciona el elemento que quieres permitir su ejecución.

• Haz clic en el icono del campo Acción. Se mostrará un ventana explicando la acción tomada por Advanced EPDR.

• Haz clic en el enlace Restaurar y no volver a detectar. Advanced EPDR ejecutará las siguientes acciones:

  • El elemento se copia desde la cuarentena / backup a su ubicación original en los equipos del parque informático.

  • El elemento podrá ser ejecutado y no generará detecciones.

  • El programa se incorpora al listado Programas permitidos por el administrador.

No volver a detectar la llegada de tráfico de red sospechoso

Si el administrador considera que el tráfico bloqueado no es peligroso, puede permitirlo añadiendo las IPs de origen y los tipos de ataque que considere no dañinos para su infraestructura.

Una vez definida una exclusión, ésta se aplicará a todos los equipos gestionados por Advanced EPDR.

Para evitar el bloqueo de tráfico marcado como peligroso por Protección contra ataques de red:

• Selecciona en el menú superior Estado, panel lateral Seguridad.

• Haz clic en el panel Actividad de ataques de red y selecciona el tipo de ataque de red que quieres permitir .

• Haz clic en el icono del campo Acción. Se mostrará un ventana explicando la acción tomada por Advanced EPDR.

• Haz clic en el enlace No volver a detectar. Se mostrará la ventana No volver a detectar. indicando la IP origen del ataque y su tipo en el campo Ataque de red.

• Escribe en Permitir este tipo de ataque de red sólo desde las siguientes IPs las direcciones IP de origen desde las cuales se permitirá la llegada de tráfico con el tipo de ataque indicado en Ataque de red. Puedes introducir IPs individuales separadas por comas y rangos de IPs separados por guión. Si quieres que cualquier IP pueda enviar tráfico de red del tipo del ataque elegido deja la caja de texto vacía.

• Haz clic en el botón No volver a detectar. Advanced EPDR ejecutará las siguientes acciones:

  • Permitirá a todo el parque administrado la llegada de tráfico del tipo de ataque indicado en el campo Ataque de red si tiene como origen una IP de la lista indicada.

  • El tráfico de red no generará detecciones.

  • El tipo de ataque se incorporará al listado Listado Elementos permitidos por el administrador.

Dejar de permitir la ejecución de elementos previamente permitidos

Para volver a bloquear un elemento previamente permitido por el administrador:

• Selecciona en el menú superior Estado, panel lateral Seguridad.

• En el listado Elementos detectados permitidos por el administrador haz clic en el icono situado a la derecha del elemento cuya ejecución quieres dejar de permitir.

Al hacer clic en el icono asociado al elemento, Advanced EPDR ejecuta las acciones siguientes:

• El elemento se retira del listado Elementos detectados permitidos por el administrador

• Se añade una entrada al listado Historial de elementos permitidos por el administradorindicando como Acción el valor Exclusión eliminada por el usuario.

• Dependiendo del elemento, volverá a aparecer en su listado correspondiente:

  • Actividad de malware

  • Actividad de PUP

  • Actividad de exploits

  • Amenazas detectadas por el antivirus.

  • Actividad de ataques de red

• El elemento volverá aparecer en el listado Amenazas detectadas por el antivirus.

• El elemento volverá a generar incidentes.

• Si es un elemento desconocido en proceso de clasificación, volverá a aparecer en el listado Programas actualmente bloqueados en clasificación.