Política de reclasificación

La política de reclasificación establece el comportamiento de Advanced EPDR cuando un elemento desbloqueado por el administrador cambia su clasificación y es necesario tomar una nueva decisión.

En los casos en los que el administrador permite ejecutar un elemento desconocido, Advanced EPDR lo clasificará como malware o goodware parado un período de tiempo. Si se trata de goodware, no se requiere ningún tipo de consideración adicional ya que Advanced EPDR permite su ejecución. Por el contrario, si se trata de malware, se aplica la política de reclasificación, que permite al administrador definir el comportamiento de Advanced EPDR a seguir.

Comportamiento de Advanced EPDR ante la política de reclasificación elegida y el resultado de la clasificación

Cambiar la política de reclasificación

La política de reclasificación es general para todos los equipos de la red e independiente de la configuración de seguridad.

Para cambiar la acción que ejecuta Advanced EPDR cuando se produce una reclasificación de archivos:

  • Haz clic en el menú superior Estado y en el panel lateral Seguridad.

  • Haz clic en el tipo de elemento en el panel Programas permitidos por el administrador:

    • Malware

    • PUPs

    • En clasificación

    • Exploits

  • Haz clic en el enlace Cambiar comportamiento. Se mostrará una ventana emergente con la política de reclasificación a aplicar.

    • Eliminar de la lista de programas permitidos por el administrador: si el fichero desconocido es goodware, se sigue ejecutando de forma normal. Si el fichero es malware, la exclusión se elimina de forma automática y el fichero queda nuevamente bloqueado, a no ser que el administrador genere una nueva exclusión manual para ese fichero.

    • Mantener en la lista de Programas permitidos por el administrador: se muestra en el listado Programas permitidos por el administrador una franja de color rojo que indica que esta elección puede dar lugar a situaciones potencialmente peligrosas. Tanto si el fichero desconocido se ha clasificado como goodware o malware, la exclusión se mantiene y el fichero se sigue ejecutando.

Cytomic desaconseja el uso de esta configuración por el riesgo de abrir un agujero de seguridad que permita ejecutar malware en los equipos de la red.

Trazabilidad de las reclasificaciones

Si el administrador elige la política Mantener en la lista de Programas permitidos por el administrador, necesita conocer si Advanced EPDR ha reclasificado un elemento desconocido con el fin de saber si un programa permitido fue reclasificado como malware.

Trazabilidad mediante el Historial de Programas bloqueados

Para visualizar el histórico de reclasificaciones y eventos de un fichero desbloqueado:

  • Haz clic en el menú superior Estado, panel lateral Seguridad.

  • Haz clic en el panel Programas actualmente bloqueados en clasificación

  • Haz clic en el enlace Ver historial de bloqueos. Se mostrará el listado Historial de programas bloqueados.

  • Utiliza el buscador para indicar el nombre de la amenaza. En el campo Acción se detalla el tipo de evento producido. Consulta Listado Historial de programas bloqueados para más información.

Trazabilidad mediante alertas

Para obtener el detalle de las alertas recibidas consulta Alertas para más información.

El administrador puede recibir notificaciones por correo en el momento en que se producen los bloqueos por ficheros desconocidos. También se envía información de las reclasificaciones de los ficheros que previamente ha desbloqueado.

Para habilitar las notificaciones por correo en bloqueos de ficheros desconocidos:

  • Haz clic en el menú superior Configuración y en el panel lateral Mis alertas.

  • Habilita los siguientes tipos de alertas:

    • Programas bloqueados en proceso de clasificación.

    • Clasificaciones de archivos que han sido permitidos por el administrador.