Alertas por correo

Son mensajes generados por Advanced EPDR cuando se producen determinados eventos y enviados a las cuentas de correo configuradas como destinatarios, generalmente mantenidas por los administradores de la red.

Acceso a la configuración de alertas

Desde el menú superior Configuración, en el panel de la izquierda Mis alertas se accede al menú de Alertas por correo en el que se establecen las opciones de las alertas por correo.

Configuración de alertas

La configuración de las alertas se divide en tres partes:

  • Enviar alertas en los siguientes casos: selecciona que eventos generan una alerta. Consulta Tabla de alertas para más información.

  • Enviar alertas a la siguiente dirección: introduce las direcciones de correo que recibirán la alerta.

  • Enviar las alertas en el siguiente idioma: elige el idioma del mensaje de alerta entre los soportados por la consola:

    • Alemán

    • Español

    • Francés

    • Inglés

    • Italiano

    • Japonés

    • Magiar

    • Portugués

    • Ruso

    • Sueco

Nivel de acceso del administrador y envío de alertas

Las alertas se definen de forma independiente por cada usuario de la consola. El contenido de una alerta queda limitado por la visibilidad de los equipos administrados que tiene asignado el rol de la cuenta de usuario.

Tipos de alertas

Tipo Frecuencia Condición Información contenida

Detecciones de malware (solo protección en tiempo real)

Máximo 2 mensajes por equipo – malware – día.

  • Por cada malware detectado en tiempo real en el equipo.

  • Solo en equipos Windows.

  • Primer o segundo mensaje.

  • Nombre del programa malicioso.

  • Nombre del equipo.

  • Grupo.

  • Fecha y hora UTC.

  • Ruta del programa malicioso.

  • Hash.

  • Tabla de acciones de programa.

  • Listado de equipos donde fue previamente visto el malware.

Detecciones de exploits

Máximo de 10 alertas al día por equipo y exploit

  • Por cada detección de exploit que se produzca.

  • Solo en equipos Windows.

  • Nombre, ruta y hash del programa que recibió el intento de explotación.

  • Nombre del equipo.

  • Grupo.

  • Fecha y hora UTC.

  • Acción ejecutada.

  • Nivel de riesgo del equipo.

  • Valoración de la seguridad del programa atacado.

  • Tabla de acciones de programa.

  • Posible origen del exploit.

Detecciones de PUP

Máximo 2 mensajes por equipo – PUP – día.

  • Por cada PUP detectado en tiempo real en el equipo.

  • Solo en equipos Windows.

  • Primer o segundo mensaje.

  • Nombre del programa malicioso.

  • Nombre del equipo.

  • Grupo.

  • Fecha y hora UTC.

  • Ruta del programa malicioso.

  • Hash.

  • Tabla de acciones de programa.

  • Listado de equipos donde fue previamente visto el malware.

Programas bloqueados en proceso de clasificación

Por cada programa desconocido detectado en el sistema de ficheros en tiempo real.

Solo en equipos Windows.

  • Nombre del programa desconocido.

  • Nombre del equipo.

  • Grupo.

  • Fecha y hora UTC.

  • Ruta del programa desconocido.

  • Hash.

  • Tabla de acciones de programa.

  • Listado de equipos donde fue previamente visto el programa desconocido.

Programas bloqueados por política

Por cada programa bloqueado.

Solo en equipos Windows.

 

  • Detalles de la detección:

  • Nombre del equipo

  • Grupo

  • Usuario Logeado

  • MD5 del archivo

  • Ruta y nombre del programa

  • Fecha y hora UTC.

  • Ciclo de vida del elemento detectado:

  • Fecha y hora UTC

  • Acción

  • Path/URL/Registry key

  • Archivo/MD5/Valor del registro

  • Confiable

  • Apariciones en otros equipos:

  • Equipo

  • Ruta del Archivo

  • Primera aparición

Programas bloqueados por el administrador

Por cada programa bloqueado.

Solo en equipos Windows.

  • Nombre del programa

  • Hash

  • Ruta del programa

  • Nombre del equipo

  • Grupo al que pertenece el equipo

  • Usuario que lanzó el programa

  • Fecha del bloqueo

Clasificaciones de archivos que han sido permitidos por el administrador

Los archivos permitidos por el administrador son aquellos que han sido bloqueados por ser desconocidos para Advanced EPDR o por haber sido clasificados como amenazas, pero el administrador permite su ejecución. El sistema genera un correo de alerta cada vez que una clasificación se completa, ya que es posible que la acción emprendida por el sistema puede cambiar después de la clasificación, según se indica en la política de reclasificación configurada por el administrador. Consulta Política de reclasificación para obtener más información sobre las políticas de reclasificación.

Indicadores de ataque (IOA)'

Cada vez que se detecte el hecho relevante

Por cada equipo de la red con la configuración Indicadores de ataque (IOA) asignada

  • Equipo afectado

  • Dirección IP

  • Grupo

  • Cliente

  • Tipo de indicador de ataque

  • Riesgo

  • Acción

URLs con malware bloqueadas

Cada 15 minutos

  • Cuando se producen detecciones de URL que apuntan a malware.

  • Número de URL que apuntan a malware detectadas en el intervalo de tiempo.

  • Número de equipos afectados.

Detecciones de phishing

Cada 15 minutos

  • Cuando se produzcan detecciones de phishing.

  • Número de ataques de phishing detectadas en el intervalo de tiempo.

  • Número de equipos afectados.

Intentos de intrusión bloqueados

Cada 15 minutos

  • Cuando se producen intentos de intrusión bloqueados por el módulo IDS.

  • Compatible con equipos Windows.

  • Número de intentos de intrusión bloqueados en el intervalo de tiempo.

  • Número de equipos afectados.

Dispositivos bloqueados

Cada 15 minutos

  • Se producen accesos por parte del usuario a dispositivos y periféricos bloqueados por el administrador.

  • Compatible con equipos Windows, Linux, macOS y Android.

  • Número de accesos bloqueados a dispositivos.

  • Número de equipos afectados.

Equipos con error en la protección

Cada vez que se detecte el hecho relevante

  • Por cada equipo desprotegido de la red.

  • Equipos con la protección en estado de error o fallo en la instalación de la protección

  • Nombre del equipo.

  • Grupo.

  • Descripción.

  • Sistema operativo.

  • Dirección IP.

  • Ruta del directorio activo.

  • Dominio.

  • Fecha y hora UTC.

  • Motivo de la desprotección: Protección con error o Error instalando.

Equipos sin licencia

Cada vez que se detecte el hecho relevante

Por cada equipo que intenta licenciarse, pero no lo consigue por falta de licencias libres.

  • Nombre del equipo.

  • Descripción.

  • Sistema operativo

  • Dirección IP

  • Grupo

  • Ruta del directorio activo

  • Dominio.

  • Fecha y hora UTC.

  • Motivo de la desprotección: equipo sin licencia.

Errores durante la instalación

Cada vez que se detecte el hecho relevante

  • Por cada uno de los equipos de la red, cada vez que se crea una nueva situación que derive en el cambio de estado (1) de protegido a desprotegido.

  • Si en un mismo momento se detectan varios motivos que derivan en el cambio de estado en un mismo equipo, solo se genera una alerta con todos los motivos.

  • Nombre del equipo.

  • Estado de la protección.

  • Razón del cambio del estado de la protección.

Equipos no administrados descubiertos

Cada vez que se detecte el hecho relevante

  • Cada vez que un equipo descubridor termina un descubrimiento.

  • El descubrimiento ha encontrado equipos no vistos anteriormente en la red.

  • Nombre del equipo descubridor.

  • Número de equipos descubiertos.

  • Enlace al listado de los equipos descubiertos en la consola.

Tabla de alertas

Cambios de estado (1)

Las razones de cambio de estado que generan una alerta son:

  • Protección con error: sólo se contempla el estado de las protecciones antivirus y protección avanzada, en aquellas plataformas que las soporten, y cuando las licencias del cliente las incluyan.

  • Error instalando: se enviará alerta cuando se haya producido un error en la instalación que requiera de la intervención del usuario (e.g., no hay espacio en disco), y no ante errores transitorios que podrían solucionarse autónomamente tras varios reintentos.

  • Sin licencia: cuando el equipo no ha recibido una licencia tras registrarse, por no haber libres en ese momento.

Las razones de cambio de estado que no generan una alerta son:

  • Sin licencia: cuando el administrador ha quitado la licencia al dispositivo o cuando Advanced EPDR haya retirado la licencia automáticamente al equipo por haberse reducido el número de licencias contratadas.

  • Instalando: por no resultar útil recibir una alerta cada vez que se instala un equipo.

  • Protección desactivada: este estado es consecuencia de un cambio de configuración voluntario.

  • Protección desactualizada: no implica necesariamente que el equipo este desprotegido, pese a estar desactualizado.

  • Pendiente de reinicio: no implica necesariamente que el equipo este desprotegido.

  • Desactualizado el conocimiento: no implica necesariamente que el equipo este desprotegido.

Dejar de recibir alertas por correo

Si el destinatario de las alertas por correo quiere dejar de recibirlas pero no tiene acceso a la consola de Advanced EPDR o no tiene permisos suficientes para modificar la configuración, puede darse de baja del servicio si sigue los pasos mostrados a continuación:

  • Haz clic en el enlace del pie de mensaje “Si no deseas recibir más mensajes de este tipo, pincha aquí.”. Se mostrará una ventana pidiendo la dirección de correo del usuario. El enlace tiene una caducidad de 15 días.

  • Si se ha introducido una dirección de correo que pertenece a alguna configuración de Advanced EPDR se envía un correo al usuario para confirmar la baja de notificaciones para esa cuenta.

  • Haz clic en el enlace del nuevo correo para retirar la cuenta de correo de todas la configuraciones en las que aparezca. El enlace tiene una caducidad de 24 horas.