Alertas

El sistema de alertas es un recurso utilizado por Advanced EPDR para comunicar de forma rápida al administrador situaciones que afectan al buen funcionamiento del servicio de seguridad.

En conjunto, las alertas informan al administrador de las situaciones mostradas a continuación:

Detección de malware, PUP o exploits.
Detecciones de ataques de red
Detección de indicadores de ataque (IOA)
Detección de ataques de red.
Intento de uso de dispositivos externos no autorizados
Reclasificación de elementos desconocidos, malware o PUP.
Bloqueo de procesos desconocidos para Advanced EPDR y en proceso de clasificación.
Cambios en el estado de las licencias.
Errores de instalación y desprotegidos.

Alertas por correo

Son mensajes generados por Advanced EPDR cuando se producen determinados eventos y enviados a las cuentas de correo configuradas como destinatarios, generalmente mantenidas por los administradores de la red.

Acceso a la configuración de alertas

Desde el menú superior Configuración, en el panel de la izquierda Mis alertas se accede al menú de Alertas por correo en el que se establecen las opciones de las alertas por correo.

Configuración de alertas

La configuración de las alertas se divide en tres partes:

Enviar alertas en los siguientes casos: selecciona que eventos generan una alerta. Consulta Tipos de alertas para más información.
Enviar alertas a la siguiente dirección: introduce las direcciones de correo que recibirán la alerta.
Enviar las alertas en el siguiente idioma: elige el idioma del mensaje de alerta entre los soportados por la consola:
- Alemán
- Español
- Francés
- Inglés
- Italiano
- Japonés
- Magiar
- Portugués
- Sueco

Exportación de alertas

Si el usuario de la consola posee permiso de control total, puede exportar la configuración Mis alertas de todos los usuarios de una cuenta que hayan especificado direcciones de correo destinatarias de las alertas. Consulta Configuración de alertas

Para exportar las configuraciones, haz clic en el icono , situado en la esquina superior derecha de la ventana Alertas por correo.

Campos mostrados en fichero exportado

Campo	Descripción	Valores
Cliente	Cuenta del cliente.	Cadena de caracteres
Usuario	Usuario de la consola de Advanced EPDR que ha configurado Mis alertas.	Cadena de caracteres
Email de Acceso	Dirección de correo con la que el usuario accede a la consola de Advanced EPDR	Cadena de caracteres
Bloqueado	Indica si el usuario tiene denegado el acceso a la consola de Advanced EPDR. Consulta Borrar o bloquear cuentas de usuarios.	Sí No
Alertas seleccionadas para envío	Indica si hay casos activados en la configuración Mis alertas. Consulta Configuración de alertas.	Si No
Dirección del destinatario	Direcciones de correo especificadas por el usuario como receptoras de las alertas.	Cadena de caracteres
Campos del fichero exportado Destinatarios de las alertas

Nivel de acceso del administrador y envío de alertas

Las alertas se definen de forma independiente por cada usuario de la consola. El contenido de una alerta queda limitado por la visibilidad de los equipos administrados que tiene asignado el rol de la cuenta de usuario.

Tipos de alertas

Tipo	Frecuencia	Condición	Información contenida
Detecciones de malware (solo protección en tiempo real)	Máximo 2 mensajes por equipo – malware – día.	Por cada malware detectado en tiempo real en el equipo. Solo en equipos Windows.	Primer o segundo mensaje. Nombre del programa malicioso. Nombre del equipo. Grupo. Fecha y hora UTC. Ruta del programa malicioso. Hash. Tabla con la telemetría del contexto asociada al proceso atacante en el momento en que se detecta. Listado de equipos donde fue previamente visto el malware.
Detecciones de exploits	Máximo de 10 alertas al día por equipo y exploit	Por cada detección de exploit que se produzca. Solo en equipos Windows.	Nombre, ruta y hash del programa que recibió el intento de explotación. Nombre del equipo. Grupo. Fecha y hora UTC. Acción ejecutada. Nivel de riesgo del equipo. Valoración de la seguridad del programa atacado. Tabla con la telemetría del contexto asociada al proceso atacante en el momento en que se detecta. Posible origen del exploit.
Detecciones de PUP	Máximo 2 mensajes por equipo – PUP – día.	Por cada PUP detectado en tiempo real en el equipo. Solo en equipos Windows.	Primer o segundo mensaje. Nombre del programa malicioso. Nombre del equipo. Grupo. Fecha y hora UTC. Ruta del programa malicioso. Hash. Tabla con la telemetría del contexto asociada al proceso atacante en el momento en que se detecta. Listado de equipos donde fue previamente visto el malware.
Detecciones de ataques de red	Cada 1 hora.	Por cada tipo de ataque de red detectado e IP de origen que coincidan. Solo en equipos Windows.	Equipo. Grupo. Ataque de red. Dirección IP local. Dirección IP remota. Puerto local. Puerto remoto. Número de ocurrencias.
Programas bloqueados en proceso de clasificación	Por cada programa desconocido detectado en el sistema de ficheros en tiempo real.	Solo en equipos Windows.	Nombre del programa desconocido. Nombre del equipo. Grupo. Fecha y hora UTC. Ruta del programa desconocido. Hash. Tabla con la telemetría del contexto asociada al proceso atacante en el momento en que se detecta. Listado de equipos donde fue previamente visto el programa desconocido.
Programas bloqueados o detectados por política avanzada de seguridad	Si la acción es Bloquear se envía un único correo por cada equipo y día. Si la acción no es Bloquear se envían los 50 primeros correos generados entre todos los equipos del cliente y día.	Solo en equipos Windows.	Detalles de la detección: Nombre de la política aplicada Nombre del equipo Grupo Usuario Logeado Nombre del fichero MD5 del fichero. Ruta y nombre del programa. Fecha y hora UTC. Ciclo de vida del elemento detectado: Fecha y hora UTC. Acción. Ruta/Url/Registro/Clave Archivo/MD5/Valor del registro Confiable Apariciones en otros equipos: Nombre del equipo Fecha de la primera vez que fue visto Ruta y nombre del programa.
Programas bloqueados por el administrador	Por cada programa bloqueado.	Solo en equipos Windows.	Nombre del programa Hash Ruta del programa Nombre del equipo Grupo al que pertenece el equipo Usuario que lanzó el programa Fecha del bloqueo
Clasificaciones de archivos que han sido permitidos por el administrador	Los archivos permitidos por el administrador son aquellos que han sido bloqueados por ser desconocidos para Advanced EPDR o por haber sido clasificados como amenazas, pero el administrador permite su ejecución. El sistema genera un correo de alerta cada vez que una clasificación se completa, ya que es posible que la acción emprendida por el sistema puede cambiar después de la clasificación, según se indica en la política de reclasificación configurada por el administrador. Consulta Política de reclasificación para obtener más información sobre las políticas de reclasificación.
Indicadores de ataque (IOA)'	Cada vez que se detecte el hecho relevante	Por cada equipo de la red con la configuración Indicadores de ataque (IOA) asignada	Equipo afectado Dirección IP Grupo Cliente Tipo de indicador de ataque Riesgo Acción
URLs con malware bloqueadas	Cada 15 minutos	Cuando se producen detecciones de URL que apuntan a malware.	Número de URL que apuntan a malware detectadas en el intervalo de tiempo. Número de equipos afectados.
Detecciones de phishing	Cada 15 minutos	Cuando se produzcan detecciones de phishing.	Número de ataques de phishing detectadas en el intervalo de tiempo. Número de equipos afectados.
Intentos de intrusión bloqueados	Cada 15 minutos	Cuando se producen intentos de intrusión bloqueados por el módulo IDS. Compatible con equipos Windows.	Número de intentos de intrusión bloqueados en el intervalo de tiempo. Número de equipos afectados.
Dispositivos bloqueados	Cada 15 minutos	Se producen accesos por parte del usuario a dispositivos y periféricos bloqueados por el administrador. Compatible con equipos Windows, Linux, macOS y Android.	Número de accesos bloqueados a dispositivos. Número de equipos afectados.
Equipos con error en la protección	Cada vez que se detecte el hecho relevante	Por cada equipo desprotegido de la red. Equipos con la protección en estado de error o fallo en la instalación de la protección	Nombre del equipo. Grupo. Descripción. Sistema operativo. Dirección IP. Ruta del directorio activo. Dominio. Fecha y hora UTC. Motivo de la desprotección: Protección con error o Error instalando.
Equipos sin licencia	Cada vez que se detecte el hecho relevante	Por cada equipo que intenta licenciarse, pero no lo consigue por falta de licencias libres.	Nombre del equipo. Descripción. Sistema operativo Dirección IP Grupo Ruta del directorio activo Dominio. Fecha y hora UTC. Motivo de la desprotección: equipo sin licencia.
Errores durante la instalación	Cada vez que se detecte el hecho relevante	Por cada uno de los equipos de la red, cada vez que se crea una nueva situación que derive en el cambio de estado (1) de protegido a desprotegido. Si en un mismo momento se detectan varios motivos que derivan en el cambio de estado en un mismo equipo, solo se genera una alerta con todos los motivos.	Nombre del equipo. Estado de la protección. Razón del cambio del estado de la protección.
Equipos no administrados descubiertos	Cada vez que se detecte el hecho relevante	Cada vez que un equipo descubridor termina un descubrimiento. El descubrimiento ha encontrado equipos no vistos anteriormente en la red.	Nombre del equipo descubridor. Número de equipos descubiertos. Enlace al listado de los equipos descubiertos en la consola.
Tabla de alertas

Cambios de estado (1)

Las razones de cambio de estado que generan una alerta son:

Protección con error: sólo se contempla el estado de las protecciones antivirus y protección avanzada, en aquellas plataformas que las soporten, y cuando las licencias del cliente las incluyan.
Error instalando: se enviará alerta cuando se haya producido un error en la instalación que requiera de la intervención del usuario (e.g., no hay espacio en disco), y no ante errores transitorios que podrían solucionarse autónomamente tras varios reintentos.
Sin licencia: cuando el equipo no ha recibido una licencia tras registrarse, por no haber libres en ese momento.

Las razones de cambio de estado que no generan una alerta son:

Sin licencia: cuando el administrador ha quitado la licencia al dispositivo o cuando Advanced EPDR haya retirado la licencia automáticamente al equipo por haberse reducido el número de licencias contratadas.
Instalando: por no resultar útil recibir una alerta cada vez que se instala un equipo.
Protección desactivada: este estado es consecuencia de un cambio de configuración voluntario.
Protección desactualizada: no implica necesariamente que el equipo este desprotegido, pese a estar desactualizado.
Pendiente de reinicio: no implica necesariamente que el equipo este desprotegido.
Desactualizado el conocimiento: no implica necesariamente que el equipo este desprotegido.

Dejar de recibir alertas por correo

Si el destinatario de las alertas por correo quiere dejar de recibirlas pero no tiene acceso a la consola de Advanced EPDR o no tiene permisos suficientes para modificar la configuración, puede darse de baja del servicio si sigue los pasos mostrados a continuación:

Haz clic en el enlace del pie de mensaje “Si no deseas recibir más mensajes de este tipo, pincha aquí.”. Se mostrará una ventana pidiendo la dirección de correo del usuario. El enlace tiene una caducidad de 15 días.
Si se ha introducido una dirección de correo que pertenece a alguna configuración de Advanced EPDR se envía un correo al usuario para confirmar la baja de notificaciones para esa cuenta.
Haz clic en el enlace del nuevo correo para retirar la cuenta de correo de todas la configuraciones en las que aparezca. El enlace tiene una caducidad de 24 horas.