Políticas avanzadas de seguridad

Detecta y bloquea scripts sospechosos y programas desconocidos que utilizan técnicas avanzadas de infección en equipos Windows.

Políticas avanzadas de seguridad

Para configurar el comportamiento de las políticas avanzadas de seguridad:

  • Selecciona Políticas avanzadas de seguridad para desplegar el panel.

  • Para Activar políticas avanzadas, haz clic en el botón de alternancia.

  • Para conocer el tipo de protección que ofrece cada política, consulta Tipos de políticas avanzadas.

  • Selecciona en la lista desplegable la respuesta de Advanced EPDR asociada a cada tipo de política:

    • No detectar: no detecta la amenaza y no notifica al usuario ni en la consola Web.

    • Auditar: detecta la amenaza y notifica en la consola Web.

    • Bloquear: impide la ejecución del programa.

  • Para bloquear programas consulta Bloquear programas.

Tipos de políticas avanzadas

Campo Descripción

PowerShell con parámetros ofuscados

El intérprete PowerShell ha recibido parámetros que podrían ejecutar operaciones peligrosas. Esta opción requiere activar la protección anti-exploit.

PowerShell ejecutado por el usuario

La cuenta del sistema operativo que ejecuta el script PowerShell es interactiva y puede ejecutar operaciones peligrosas. Esta opción requiere activar la protección anti-exploit.

Scripts desconocidos

Detecta scripts que Cytomic no ha clasificado como seguros. Esta protección te permite:

  • Aportar visibilidad sobre los scripts que se ejecutan en el parque informático.

  • Asegurar servidores bastionados donde ejecutar programas está fuertemente limitado.

  • Evitar la propagación de malware en la red que gestionas si es posible que haya producido una infección.

Si consideras que la protección está generando falsos positivos, excluye el fichero del análisis. Consulta Archivos y rutas excluidas del análisis.

Programas compilados localmente

Programas desconocidos por la inteligencia de seguridad de Cytomic que se crean en el equipo del usuario.

Documentos con macros

Documentos de tipo ofimático que incorporan macros y que pueden ejecutar operaciones peligrosas.

Registro para arranque al inicio de Windows

El programa monitorizado añade una rama en el registro que le permite ganar persistencia en el equipo, cargándose junto al sistema operativo en cada reinicio.

Tipos de políticas avanzadas de seguridad

Bloquear programas

Incrementa la seguridad base en los equipos Windows de la red prohibiendo ejecutar de ciertos programas peligrosos o no compatibles con la actividad de la empresa:

  • Programas que consumen mucho ancho de banda o establecen un número de conexiones muy alto.

  • Programas que acceden a contenidos susceptibles de contener amenazas de seguridad.

  • Programas acceden a contenidos no relacionados con la actividad de la empresa y que pueden afectar al rendimiento personal de los usuarios.

Para bloquear programas:

  • Escribe en el cuadro de texto Introduce los nombres de los programas que quieres bloquear los nombres de los ficheros que quieres bloquear. Puedes pegar una lista de nombres de ficheros separados por retorno de carro.

  • Escribe en el cuadro de texto Código MD5 o SHA-256 de los programas a bloquear las firmas MD5 o SHA-256 de los ficheros que quieres bloquear. Puedes pegar una lista de nombres de ficheros separados por retorno de carro.

  • Para mostrar un mensaje emergente en el equipo, haz clic en el botón de alternancia Informar a los usuarios de los equipos de los bloqueos.

  • Escribe un mensaje en la caja de texto Añadir el siguiente mensaje personalizado en las alertas (opcional) para informar al usuario de que el fichero se ha bloqueado. Advanced EPDR mostrará una ventana emergente con el contenido del mensaje.