Administrator Guide
Amenazas
En este capítulo se explica cómo identificar y administrar las amenazas que se hayan encontrado en un entorno empresarial después de la
instalación de Advanced Threat Prevention.
● Identificar una amenaza
○ Ver eventos de amenazas
○ Actualizaciones de puntuación de Cylance y del modelo de amenazas
○ Ver datos detallados de la amenaza
● Administrar una amenaza
○ Exportar datos sobre amenazas a formato CSV
○ Administrar la lista de cuarentena global
Identificar una amenaza
Notificaciones por correo electrónico y panel
Si configuró las notificaciones por correo electrónico para Threat Protection y eventos de amenazas avanzadas, se notifica al
administrador por correo electrónico de los eventos y las amenazas de Advanced Threat Prevention.
El resumen de notificaciones del tablero en la consola de administración muestra las amenazas y los eventos de Advanced Threat
Prevention, como tipos de notificaciones de eventos de protección contra amenazas y eventos de amenazas avanzadas.
● Tipo de Threat Protection: alerta de amenaza de Advanced Threat Prevention.
● Tipo de evento de amenaza avanzada: evento detectado por Advanced Threat Prevention. Un evento no necesariamente es una
amenaza.
En la siguiente tabla, se detallan las etiquetas de amenazas, la gravedad y la información de la amenaza.
Etiqueta
Gravedad Detalle
Amenaza encontrada Crítico
Indica que en un dispositivo se identificó un ejecutable portátil (PE), pero
que no se bloqueó ni se puso en cuarentena en el terminal, lo cual indica
una amenaza activa en el sistema.
Amenaza bloqueada Aviso
Indica que en un dispositivo se identificó un ejecutable portátil y se
bloqueó su ejecución. Esta amenaza no se puso en cuarentena
específicamente y es probable que se deba a que no se activó la política
de cuarentena automática o que el archivo está en una ubicación en la
que no se puede escribir en este con la cuenta del SISTEMA local
(recurso compartido de red, dispositivo USB que se desconectó, etc.).
Amenaza eliminada Aviso
Indica que en un dispositivo se identificó un ejecutable portátil (PE) y el
proceso se eliminó, ya que se detectó en ejecución activa. Esto no
permite indicar que el archivo se puso en cuarentena también, ya que el
PE se podría haber ejecutado desde otra ubicación. Se recomienda
buscar otro evento relacionado con este terminal y el ejecutable para
validar que la amenaza se contuvo correctamente.
Trasgresión bloqueada de la
memoria
Aviso
Indica que se intentó ejecutar un archivo ejecutable o un script, pero que
estaba en infracción con la política de protección de la memoria o de
control de scripts. Luego, se bloqueó la ejecución del archivo ejecutable o
del script. Normalmente, esto indica que la política descrita de protección
de la memoria o de control de scripts se estableció en Bloquear.
4
14 Amenazas