Aislar un equipo

Advanced EPDR aísla bajo demanda los equipos de la red para evitar la propagación de las amenazas y la comunicación y extracción de información confidencial.

Esta función es compatible con estaciones y servidores Windows, macOS y Linux. No es compatible con dispositivos Android

Cuando un equipo está aislado, sus comunicaciones quedan restringidas a los servicios mostrados a continuación:

• El acceso al equipo desde la consola para que el administrador pueda analizar el problema y resolverlo mediante las herramientas suministradas por Advanced EPDR.

• El acceso a los dispositivos y su control remoto mediante Panda Systems Management para que el administrador pueda recoger información extendida y resolver los problemas mediante las herramientas de gestión remota (escritorio remoto, línea de comandos remota, visor de sucesos remoto etc.).

Para obtener un listado de las herramientas de gestión remota disponibles en Cytomic consulta la Guía de administración de Panda Systems Management en https://www.pandasecurity.com/rfiles/enterprise/documentation/pcsm/docswebpage/SYSTEMSMANAGEMENT-Manual-ES.pdf

El resto de productos y servicios instalados en el equipo de usuario o servidor dejarán de poder comunicarse por red a no ser que el administrador establezca excepciones. Consulta Opciones avanzadas.

Estados de los equipos aislados

Las operaciones Aislar un equipo y Dejar de Aislar un equipo se ejecutan en tiempo real, pero el proceso puede retrasarse si el equipo no está conectado a Internet. Para reflejar su situación exacta, Advanced EPDR distingue los 4 estados a través de los iconos mostrados a continuación:

Icono	Descripción
Aislando	El administrador lanzó una petición para aislar uno o más equipos y se está procesando.
Aislado	El proceso de aislamiento se completó y el equipo tiene restringidas sus comunicaciones.
Dejando de aislar	El administrador lanzó una petición para dejar de aislar uno o más equipos y se está procesando.
No aislado	El proceso para retirar el aislamiento del equipo se completó. Las comunicaciones se permiten acorde la configuración definida en otros módulos, productos, o en el propio sistema operativo.
Estados de los equipos aislados

Estos iconos acompañan a la columna dirección IP en los listados de Licencias, Estado de la protección y en la zona Equipos.

Aislar uno o varios equipos de la red de la organización

Para aislar uno o varios equipos de la red:

• Haz clic en el menú superior Equipos o elige uno de los siguientes listados de equipos:

  • Listado Estado de protección.

  • Listado Licencias.

• Indica los equipos a aislar con las casillas de selección.

• En la barra de acciones selecciona Aislar un equipo. Se mostrará una ventana con un link a Opciones avanzadas.

• En Opciones avanzadas indica los programas que se seguirán comunicando con el resto de la red a pesar del aislamiento del equipo (exclusión de aislamiento).

• Haz clic en el botón Aceptar. El equipo cambiará de estado a Intentando aislar el equipo.

• Para aislar un grupo de equipos:

  • Haz clic en el menú superior Equipos.

  • En el árbol de equipos haz clic en la vista de carpetas y selecciona el grupo a aislar.

  • En el menú de contexto selecciona la entrada Aislar equipos y haz clic en el botón Aceptar.

  • Para aislar todos los equipos de la red despliega el menú de contexto del nodo Todos.

Quitar el aislamiento de un equipo

• Sigue los pasos indicados en el punto Aislar uno o varios equipos de la red de la organización para más información.

• En la barra de acciones selecciona Dejar de aislar un equipo.

• El equipo cambiará de estado a Intentando dejar de aislar el equipo.

Opciones avanzadas

Permitir procesos

Al aislar un equipo, solo se permite la comunicación de los procesos correspondientes a los productos de Cytomic. El resto de procesos, incluyendo a los programas de usuario, no podrán comunicarse con los equipos de la organización.

Para excluir a ciertos programas de este comportamiento:

• Haz clic en el enlace Opciones avanzadas de la ventana flotante mostrada al aislar un equipo.

• En la caja de texto Permitir los siguientes procesos indica los programas a excluir del aislamiento.

Los programas indicados en Permitir los siguientes procesos podrán comunicarse con libertad con el resto de equipos de la organización o con el exterior, según indique la configuración del resto de módulos de Advanced EPDR, de otros productos instalados en el equipo, o del cortafuegos del sistema operativo.

Para acelerar la configuración, la consola de administración retiene la última configuración de procesos excluidos del aislamiento introducida por el administrador. De esta manera, en la caja de texto de un equipo excluido no se mostrará su configuración especifica de procesos excluidos, sino la última configuración que utilizó el administrador en cualquier otro equipo.

Mostrar mensaje personalizado (Windows)

Introduce un mensaje descriptivo para informar al usuario de que su equipo ha sido aislado de la red. El agente Advanced EPDR mostrará una ventana desplegable con el contenido del mensaje. Para configurar un mensaje informativo pero sin que se le muestre al usuario haz clic en el selector Prefiero no mostrar ningún mensaje en esta ocasión. Hasta que no desactives el selector los mensajes no se mostrarán.

La opción de mostrar mensaje personalizado solo es compatible con estaciones y servidores Windows.

Comunicaciones permitidas y denegadas de un equipo aislado

Advanced EPDR deniega todas las comunicaciones en un equipo aislado excepto las necesarias para poder realizar un análisis forense remoto, y utilizar las herramientas de resolución implantadas en Advanced EPDR y en Panda Systems Management. A continuación, se indican las comunicaciones permitidas y denegadas.

Procesos y servicios permitidos en un equipo aislado

• Procesos de sistema:

  • Los servicios necesarios para formar parte de la red corporativa: obtención de IP por DHCP, ARP, nombre de equipo por WINS, DNS etc.

• Procesos de Advanced EPDR:

  • Comunicación con el Gateway por defecto.

  • Comunicación con la nube de Cytomic para el funcionamiento de los motores de protección, descarga de ficheros de firmas y administración remota mediante la consola web.

  • Descubrimiento de equipos, en equipos aislados con el rol de descubridor asignado.

  • Servidor de ficheros en un equipo aislado con el rol de caché asignado.

  • Proxy de conexiones en un equipo con el rol de proxy Cytomic asignado.

• Procesos de Panda Systems Management entre el equipo aislado y el equipo del administrador:

  • Herramientas de acceso remoto.

  • Monitorización por SNMP de dispositivos no compatibles con Panda Systems Management con el rol Nodo de conexión asignado.

Comunicaciones bloqueadas en un equipo aislado

Todas las comunicaciones que no estén incluidas en el punto anterior son denegadas, entre ellas:

• Políticas de Windows Update, actualizaciones de sistema operativo macOS y Cytomic Patch de Panda Systems Management.

El módulo Cytomic Patch sí permanece operativo en un equipo aislado.

• Comunicación con la red de scripts y módulos desarrollados por el administrador o integrados desde la ComStore de Panda Systems Management.

• Navegación web, ftp, correo y otros protocolos de Internet.

• Transferencia de ficheros por SMB entre los PCs de la red.

• Instalación remota de equipos con Advanced EPDR.