Antivirus

Configura el comportamiento del motor de antivirus basado en ficheros de firmas. La acción que ejecuta Advanced EPDR ante un fichero de tipo malware o sospechoso se define en los laboratorios de Cytomic:

• Malware desinfectable: sustituye el fichero original por una copia desinfectada.

• Malware no desinfectable: guarda una copia de seguridad y elimina el fichero original. Consulta Gestión de amenazas, elementos en clasificación y cuarentena.

Para configurar el motor antivirus:

• Selecciona Antivirus para desplegar el panel.

• Para configurar el comportamiento general del motor antivirus, consulta Motores de antivirus.

• Para configurar el tipo de amenazas que detectará, consulta Amenazas a detectar.

• Para configurar la interface AMSI, consulta AMSI.

• Para configurar los tipos de archivo que el motor antivirus escaneará, consulta Tipos de archivos.

Motores de antivirus

Para configurar el motor basado en ficheros de firmas:

• Para activar o desactivar la protección antivirus que afecta al sistema de ficheros, haz clic en el botón de alternancia Protección de archivos .

• Para activar o desactivar la protección antivirus que afecta al cliente de correo instalado en el equipo del usuario, haz clic en el botón de alternancia Protección de correo. Advanced EPDR detectará las amenazas recibidas por el protocolo POP3.

• Para activar o desactivar la protección antivirus que afecta al navegador web instalado en el equipo del usuario, haz clic en el botón de alternancia Protección web. Advanced EPDR detectará las amenazas recibidas por el protocolo HTTP y sus variantes cifradas.

Amenazas a detectar

Para configurar los tipos de amenazas que el motor de antivirus detecta:

• Para detectar ficheros que contienen patrones identificados por el fichero de firmas como peligrosos, haz clic en el botón de alternancia Detectar virus.

• Para detectar programas no deseados (con publicidad intrusiva, barras de navegación etc.) y herramientas que utilizan los hackers para ganar acceso a los sistemas, haz clic en el botón de alternancia Detectar herramientas de hacking y PUPs.

• Para supervisar localmente el comportamiento de los procesos y buscar actividades sospechosas mediante tecnologías heurísticas y de análisis contextual, haz clic en el botón de alternancia Bloquear acciones maliciosas.

• Para detectar ataques basados en el engaño por web y correo, haz clic en el botón de alternancia Detectar Phishing.

• Para crear una lista de direcciones y dominios que no se analizarán en busca de ataques por phishing, escribe el comienzo de la URL en la caja de texto No detectar amenazas en las siguientes direcciones y dominios y pulsa Enter. Todas las páginas que comiencen por la URL se excluirán del análisis sin tener en cuenta mayúsculas y minúsculas.

• Para crear ficheros señuelo en el equipo del usuario que Advanced EPDR monitoriza para detectar cambios no autorizados, haz clic en el botón de alternancia Crear Decoy Files para ayudar a la detección de ransomware. Si Advanced EPDR detecta cambios en un fichero señuelo terminara con el proceso. Si el cambio viene de un equipo remoto, bloqueara las comunicaciones con ese equipo durante 1 hora.

AMSI

La interfaz AMSI (Anti-Malware Scan Interface) de Windows permite integrar programas y servicios con el antivirus instalado en el equipo para evitar técnicas de ofuscación o fileless (ataques que residen exclusivamente en la memoria del equipo). Para más información, consulta https://learn.microsoft.com/es-es/windows/win32/amsi/antimalware-scan-interface-portal.

Para activar AMSI:

• Haz clic en el botón de alternancia Activar análisis avanzado con AMSI.

• Para excluir de la integración AMSI a programas que causan problemas de rendimiento, escribe su nombre en la caja de texto Programas y pulsa Enter.

Tipos de archivos

Configura los tipos de ficheros que el motor de antivirus analiza:

• Para Analizar comprimidos en mensajes de correo, haz clic en el botón de alternancia.

• Para Analizar comprimidos en disco (No recomendado), haz clic en el botón de alternancia. Analizar este tipo de ficheros requiere descomprimir el paquete y analizar su contenido. No te recomendamos activar esta opción para evitar un alto consumo de CPU.

• Para evitar analizar ficheros de datos que no presentan amenazas a la seguridad del equipo y su impacto en el rendimiento del equipo, asegúrate de que no está marcado el botón de alternancia Analizar todos los archivos independientemente de su extensión cuando son creados o modificados (No recomendado).