Dell Threat Defense Guía de instalación y del administrador Con la tecnología de Cylance v17.11.
© 2017 Dell Inc. Las marcas comerciales y marcas comerciales registradas utilizadas en el conjunto de documentos Dell Threat Defense: Dell™ y el logotipo de Dell son marcas comerciales de Dell Inc. Microsoft®, Windows®, Windows Server®, Active Directory®, Azure®y Excel® son marcas comerciales registradas de Microsoft Corporation en Estados Unidos y en otros países. OneLogin™ es una marca comercial de OneLogin, Inc. OKTA™ es una marca comercial de Okta, Inc.
Contenido DESCRIPCIÓN GENERAL ................................................................................................................................ 6 Funcionamiento ............................................................................................................................................... 6 Acerca de esta guía .......................................................................................................................................... 6 CONSOLA .....................
Lista segura por certificado ........................................................................................................................ 29 Perfil ............................................................................................................................................................. 30 Mi cuenta ................................................................................................................................................... 30 Registro de auditoría ........
Incompatibilidades de control de la secuencia de comandos ........................................................................... 47 APÉNDICE A: GLOSARIO .............................................................................................................................. 48 APÉNDICE B: ADMINISTRACIÓN DE EXCEPCIONES ............................................................................... 49 Archivos ..........................................................................................
DESCRIPCIÓN GENERAL Dell Threat Defense, con tecnología de Cylance, detecta y bloquea malware antes de que afecte a un dispositivo. Cylance utiliza un enfoque matemático para la identificación de malware, mediante técnicas de aprendizaje automático en lugar de firmas reactivas, sistemas de confianza o espacios aislados. Este enfoque convierte el nuevo malware, los virus, bots y variantes futuras en inútiles. Threat Defense analiza ejecuciones de archivo con potencial malware en el sistema operativo.
CONSOLA La consola de Threat Defense es un sitio web en el que se inicia sesión para ver la información sobre amenazas de la organización. La consola facilita la organización de los dispositivos en grupos (zonas), la configuración de las acciones que tomar al detectar amenazas en un dispositivo (política), y la descarga de los archivos de instalación (agente). La consola de Threat Defense es compatible con los siguientes idiomas.
Consejo: Para obtener más información sobre la clasificación de archivos no seguros o anómalos, consulte la sección Protección: amenazas. Cuarentena automática con control de ejecución Esta función pone en cuarentena o bloquea el archivo no seguro o anómalo, e impide que se ejecute. Al poner un archivo en cuarentena, se traslada de su ubicación original al directorio de cuarentena C:\ProgramData\Cylance\Desktop\q. Cierto malware está diseñado para colocar otros archivos en determinados directorios.
Control de ejecución Threat Defense siempre vigila la ejecución de procesos maliciosos y alerta cuando se intenta ejecutar cualquier archivo no seguro o anómalo. Evitar la interrupción del servicio desde el dispositivo Si se selecciona, el servicio Threat Defense está protegido contra el apagado tanto de forma manual como mediante otro proceso. Copiar muestras de malware Permite especificar un recurso compartido de red en el que copiar muestras de malware.
Registros de agentes CONFIGURACIÓN > Política de dispositivo > [seleccione una política] > Registros del agente Habilite Registros del agente en la consola para cargar los archivos de registro y permitir la visualización en la consola. 1. Inicie sesión en la consola (http://dellthreatdefense.com). 2. Seleccione Configuración > Política de dispositivos. 3. Seleccione una política y haga clic en Registros del agente.
3. En Acciones de archivo, active la Cuarentena automática. La cuarentena automática traslada todos los archivos malintencionados a la carpeta de cuarentena. 4. En Configuración de protección, active Control de la secuencia de comandos. Control de la secuencia de comandos protege a los usuarios de las secuencias de comandos maliciosas que se ejecutan en su dispositivo. Los usuarios pueden aprobar la ejecución de secuencias de comandos para carpetas específicas.
Para agregar dispositivos a una zona 1. Inicie sesión en la consola (http://dellthreatdefense.com) con una cuenta de administrador o administrador de zonas. 2. Haga clic en Zonas. 3. Haga clic en una zona de la Lista de zonas. Los dispositivos actuales de esa zona se muestran en la Lista de dispositivos de zonas en la parte inferior de la página. 4. Haga clic en Agregar dispositivos a una zona Aparecerá una lista de dispositivos. 5.
Nota: Las reglas de zona agregan automáticamente dispositivos a una zona pero no pueden eliminarlos. Si cambia la dirección IP o el nombre de host del dispositivo, el dispositivo no se eliminará de una zona. Los dispositivos deben eliminarse manualmente de una zona. No existe ninguna opción para aplicar la política de zona a dispositivos agregados a la zona como resultado de la coincidencia con la regla de zona.
• • • • Nombre distintivo: o Empieza por: el nombre distintivo debe empezar así. o Contiene: el nombre distintivo debe contener esta cadena, pero puede estar en cualquier lugar del nombre. o Finaliza por: el nombre distintivo debe finalizar así. Miembro de (LDAP): o Es: el miembro de (grupo) debe coincidir con esto. o Contiene: el miembro de (grupo) debe contener esto.
Prácticas recomendadas de administración de zonas La mejor manera de enfocar las zonas es como etiquetas donde cualquier dispositivo puede pertenecer a varias zonas (o tener varias etiquetas). Aunque no existen restricciones en el número de zonas que se pueden crear, las prácticas recomendadas identifican tres pertenencias a zona diferentes entre pruebas, política y granularidad de rol de usuario dentro de la organización.
Organización de zonas para la administración de políticas Otro conjunto de zonas que crear ayuda a aplicar diferentes políticas a distintos tipos de extremos.
Para agregar usuarios 1. Inicie sesión en la consola (http://dellthreatdefense.com) como administrador. Solo los administradores pueden crear usuarios. 2. Seleccione Configuración > Administración de usuarios. 3. Introduzca la dirección de correo electrónico del usuario. 4. Seleccione un rol en el menú desplegable Rol. 5. Al agregar un administrador de zonas o usuario, seleccione una zona para asignarlo. 6. Haga clic en Agregar.
Proxy La compatibilidad de proxy para Threat Defense se configura a través de una entrada de registro. Cuando está configurado un proxy, el agente utiliza la dirección IP y el puerto de la entrada de registro para todas las comunicaciones externas a los servidores de la consola. 1. Acceda al registro. Nota: Puede que se exijan privilegios elevados o ser responsable del registro, dependiendo de cómo se haya instalado el agente (Modo protegido habilitado o no). 2.
4. Haga clic en un dispositivo para mostrar la página Detalles de dispositivo. • Información del dispositivo: muestra información como el nombre de host, la versión del agente y la versión del sistema operativo. • Propiedades del dispositivo: permite cambiar el nombre de dispositivo, la política, las zonas y el nivel de registro. • Amenazas y actividades: muestra la información sobre amenazas y otras actividades relacionadas con el dispositivo. 5.
O bien 1. Configuración de la política: a. Haga clic en Configuración > Política de dispositivo > [seleccione una política] > Registros del agente. b. Haga clic en Habilitar carga automática de archivos de registro. c. Haga clic en Guardar. Para ver los registros detallados, cambie el nivel de registro del agente antes de cargar ningún archivo. 1.
Ejemplo de uso de Microsoft Excel 1. Abra el archivo CSV del dispositivo en Microsoft Excel. 2. Seleccione la columna de nombre de dispositivo. 3. En la pestaña Inicio, seleccione Formateo condicional > Resaltar reglas de celda > Valores duplicados. 4. Asegúrese de que Duplicado está seleccionado y, a continuación, seleccione una opción de resaltar. 5. Haga clic en Aceptar. Los elementos duplicados se resaltan. Nota: El comando Eliminar solo elimina el dispositivo de la página Dispositivo.
Nota: Cuando se agrega un dispositivo a una zona que forma parte de la zona de prueba o piloto, el dispositivo comienza a utilizar la versión del agente de la zona de prueba o piloto. Si un dispositivo pertenece a más de una zona y una de esas zonas pertenece a la zona de prueba o piloto, la versión del agente de la zona de prueba o piloto tiene precedencia. Para desencadenar una actualización de agente Para desencadenar una actualización de agente antes del siguiente intervalo de horas: 1.
• El archivo tiene una puntuación de Cylance superior a 80. • El archivo se está ejecutando. • El archivo se ha ejecutado anteriormente. • El archivo está establecido en ejecución automática. • La prioridad de la zona donde se ha encontrado la amenaza. Esta clasificación ayuda a los administradores a determinar qué amenazas y dispositivos abordar primero. Haga clic en la amenaza o en Número de dispositivo para ver la amenaza y Detalles del dispositivo.
Puntuación de Cylance Se asigna una puntuación de Cylance a cada archivo considerado anómalo o no seguro. La puntuación representa el nivel de confianza para considerar el archivo como malware. Cuanto mayor sea el número, mayor será la confianza. Visualización de la información de amenazas La pestaña Protección de la consola muestra información detallada sobre amenazas, los dispositivos en los que se han detectado las amenazas y las acciones realizadas en dichos dispositivos para esas amenazas.
b. Dispositivos La Lista de dispositivos/zonas para una amenaza puede filtrarse por estado de amenaza (No segura, En cuarentena, Exenta, Anómala). Haga clic en los enlaces de filtro del estado para que se muestren los dispositivos con la amenaza en ese estado. • No seguro: el archivo se ha clasificado como no seguro pero no se ha realizado ninguna acción. • En cuarentena: el archivo ya se encontraba en cuarentena debido a una configuración de la política.
Engaño El archivo muestra evidencias de intentos de engañar. El engaño puede estar en forma de secciones ocultas, inclusión de código para evitar la detección, o indicaciones de etiquetado incorrecto en metadatos u otras secciones. Destrucción El archivo muestra evidencias de capacidades destructivas. La destrucción puede incluir la capacidad de eliminar recursos del dispositivo como archivos y directorios. Varios Todos los demás indicadores que no entran en otras categorías.
Solución de amenazas en un dispositivo específico 1. Inicie sesión en la consola (http://dellthreatdefense.com) como administrador o administrador de zonas. 2. Haga clic en la pestaña Dispositivos. 3. Busque y seleccione el dispositivo. 4. Si no, puede que esté disponible un enlace al dispositivo en la pestaña Protección si aparece con una amenaza asociada. 5. Todas las amenazas de ese dispositivo aparecerán en la parte inferior de la página.
• SHA256: el hash SHA 256 de la secuencia de comandos. • N.º de dispositivos: el número de dispositivos afectados por esta secuencia de comandos. • Alerta: el número de veces que la secuencia de comandos ha estado bajo alerta. Podría ser varias veces para el mismo dispositivo. • Bloquear: el número de veces que se ha bloqueado la secuencia de comandos. Podría ser varias veces para el mismo dispositivo.
Agregar un archivo Agregue un archivo a la Lista de cuarentena global o la Lista segura de forma manual. La información del hash SHA256 para el archivo que se ha agregado es necesaria. 1. Inicie sesión en la consola (http://dellthreatdefense.com) como administrador. 2. Seleccione Configuración > Lista global. 3. Seleccione la lista a la que desea agregar el archivo (Lista de cuarentena global o Lista segura). 4. Haga clic en Agregar archivo. 5. Introduzca la información del hash SHA256.
d. Haga clic en Agregar certificado. e. Seleccione un certificado de la Lista segura. Opcionalmente, seleccione una categoría y agregue un motivo para agregar este certificado. f. Haga clic en Enviar. Visualización de huellas digitales de una amenaza En la pestaña Protección, Detalles de amenaza muestra ahora la huella digital del certificado. En la pantalla, seleccione Agregar certificado para agregar el certificado al repositorio.
Puede consultarse el registro de auditoría desde la consola; navegue hasta la lista de perfiles desplegable en la parte superior derecha de la consola y seleccione Registro de auditoría. Los registros de auditoría están disponibles solo para administradores. Configuración La página Configuración muestra las pestañas Aplicación, Administración de usuarios, Política de dispositivos, Lista global y Actualización del agente. El elemento de menú Configuración solo está disponible para administradores.
**No admitido: Windows 8.1 RT **La actualización Windows 10 Anniversary Update requiere el agente 1402 o posterior. ***No admitido: Server Core (2008 y 2012) y Minimal Server (2012). ****Requiere el agente 1412 o posterior. Para descargar el archivo de instalación 1. Inicie sesión en la consola (http://dellthreatdefense.com). 2. Seleccione Configuración > Aplicaciones. 3. Copie el token de instalación.
Propiedad Valor PIDKEY LAUNCHAPP 0o1 Descripción Entrada automática de la señal de instalación 0: el icono de la bandeja del sistema y la carpeta del menú de inicio están ocultos durante el tiempo de ejecución 1: el icono de la bandeja del sistema y la carpeta del menú de inicio no están ocultos durante la ejecución (valor predeterminado) 1: solo los administradores locales pueden realizar cambios en el registro y los servicios SELFPROTECTIONLEVEL APPFOLDER 1o2
1. Abra el Bloc de notas. Utilice los parámetros de línea de comandos anteriores y escriba el siguiente comando para ejecutar la instalación, sustituyendo por el token que se le ha proporcionado. msiexec /i C:\TDx86\DellThreatDefense_x86.msi PIDKEY= /q C:\TDx86 se utiliza para nuestro directorio, ya que esta carpeta se copia a esta ubicación en el cliente ligero durante la instalación. 2. Guarde el archivo con una extensión .bat en la carpeta TDx86.
12. Agregue comandos para deshabilitar el bloqueo. • Agregue el comando de script Finalizar bloqueo (EL). 13. A la hora de revisar, el paquete de secuencia de comandos debe parecerse a lo siguiente. • Si implementa Threat Defense en sistemas WES7P, actualice la sección del sistema operativo a WES7P. De lo contrario, el paquete no podrá instalarse. 14. Guarde el paquete. • Haga clic en Guardar y navegue hasta la ubicación de la carpeta TDx86.
Desinstalación del agente Para desinstalar el agente en un sistema Windows, utilice la función Agregar o quitar programas o utilice la línea de comandos. La desinstalación del agente no elimina el dispositivo de la consola. Debe eliminar manualmente el dispositivo de la consola. Antes de intentar desinstalar el agente: • Si la opción Requiere contraseña para desinstalar el Agente está activada, asegúrese de tener la contraseña para desinstalar.
Agente macOS Requisitos del sistema Dell recomienda que el hardware de extremo (CPU, GPU, etc.) cumpla con, o supere, los requisitos recomendados para el sistema operativo de destino. Las excepciones se anotan a continuación (RAM, espacio de unidad de disco duro disponible y requisitos adicionales de software). Mac OS X 10.9 Mac OS X 10.10 Mac OS X 10.11 macOS 10.12* macOS 10.
Nota: Póngase en contacto con el administrador de Threat Defense o consulte el artículo de KB Cómo administrar Threat Defense cuando el token de instalación no se encuentra disponible. 6. Cambie opcionalmente la ubicación de instalación de Threat Defense. Haga clic en Instalar para comenzar la instalación. 7. Introduzca el nombre de usuario y la contraseña del administrador. Haga clic en Instalar software. 8. En la pantalla de resumen, haga clic en Cerrar.
Instalación del agente Instalación sin la señal de instalación sudo installer –pkg DellThreatDefense.pkg –target/ Instalación con la señal de instalación echo [install_token] > cyagent_install_token sudo installer –pkg DellThreatDefense.pkg –target/ Nota: Sustituya [install_token]por el token de instalación. El comando eco genera un archivo de texto cyagent_install_token con una opción de instalación por línea. El archivo debe estar en la misma carpeta que el paquete de instalación.
Servicio de agente Iniciar servicio sudo launchctl load /Library/launchdaemons/com.cylance.agent_service.plist Detener servicio sudo launchctl unload /Library/launchdaemons/com.cylance.agent_service.plist Comprobación de la instalación Revise los siguientes archivos para comprobar la instalación correcta del agente. 1. Se ha creado la carpeta Programa. • Valor predeterminado de Windows: C:\Program Files\Cylance\Desktop • macOS predeterminado: /Applications/DellThreatDefense/ 2.
Menú Agente El menú Agente proporciona acceso a la ayuda y actualizaciones para Threat Defense. También se proporciona acceso a la interfaz de usuario avanzada que ofrece más opciones de menú. Menú Agente El menú Agente permite a los usuarios realizar algunas acciones en el dispositivo. Haga clic con el botón derecho en el icono del agente para ver el menú. • Buscar actualizaciones: el agente busca e instala las actualizaciones disponibles.
macOS 1. Si el icono del agente está visible en el menú superior, haga clic con el botón derecho en el icono y seleccione Salir. 2. Abra el terminal y ejecute a. Sudo /Applications/DellThreatDefense/DellThreatDefense.app/Contents/MacOS/DellThreatDefenseUI –a Nota: Esta es la ruta de acceso de instalación predeterminada para Dell Threat Defense. Es posible que deba editar la ruta para adaptarla a su entorno, según corresponda. 3. La interfaz de usuario del agente aparece ahora con opciones adicionales.
• Si se ha utilizado el instalador EXE para realizar la instalación, utilice EXE para la desinstalación. El uso del panel de control no funciona si se ha utilizado el instalador de EXE y se necesita una contraseña para realizar la desinstalación. • Si realiza la desinstalación mediante la línea de comandos, agregue la cadena de desinstalación: UNINSTALLKEY = [MyUninstallPassword]. Para crear una contraseña de desinstalación 1. Inicie sesión en la consola (http://dellthreatdefense.
Amenazas Seleccione esta opción para registrar las amenazas recién detectadas o los cambios observados para cualquier amenaza existente, o para iniciar sesión en el servidor de Syslog. Los cambios incluyen una amenaza que va a eliminarse, ponerse en cuarentena, eximirse o ejecutarse. Existen cinco tipos de eventos de amenaza: • threat_found: se ha encontrado una nueva amenaza en un estado No seguro. • threat_removed: se ha eliminado una amenaza existente.
Gravedad Especifica la gravedad de los mensajes que deben aparecer en el servidor de Syslog. Se trata de un campo subjetivo, y puede establecerse en cualquier nivel preferido. El valor de la gravedad no cambia los mensajes que se reenvían a Syslog. Recurso Especifica el tipo de aplicación que registra el mensaje. El valor predeterminado es Interno (o Syslog). Se utiliza para categorizar los mensajes cuando los recibe el servidor de Syslog.
• Borrado: muestra todos los archivos que se han borrado de su organización. Esta información incluye los archivos exentos, agregados a la lista segura o eliminados de la carpeta En cuarentena de un dispositivo. • Eventos: muestra todos los eventos relacionados con el gráfico Eventos de amenazas en el panel, de los últimos 30 días. Esta información incluye Hash de archivo, Nombre de dispositivo, Ruta de acceso a archivo, y Fecha del evento ocurrido.
Problemas de actualización, estado y conectividad • • • • • • Asegúrese de que el puerto 443 esté abierto en el servidor de seguridad y que el dispositivo pueda resolver y conectarse con sitios de Cylance.com.
4. Nombre del archivo CompatibilityMode. 5. Abra la configuración de registro y cambie el valor a 01. 6. Haga clic en Aceptar y, a continuación, cierre el Editor de registro. 7. Puede que sea necesario reiniciar el dispositivo. Opciones de la línea de comandos Uso de Psexec: psexec -s reg add HKEY_LOCAL_MACHINE\SOFTWARE \Cylance\Desktop /v CompatibilityMode /t REG_BINARY /d 01 Para ejecutar un comando en varios dispositivos, utilice Invoke-Command cmdlet: $servers = “testComp1″,”testComp2″,”textComp3″ $cred
Zona Regla de zona Una forma de organizar y agrupar dispositivos de una organización en función de la prioridad, la funcionalidad, etc. Característica que permite la automatización de la asignación de dispositivos a zonas específicas en función de las direcciones IP, el sistema operativo y los nombres de dispositivo APÉNDICE B: ADMINISTRACIÓN DE EXCEPCIONES Hay momentos en que los usuarios deben poner en cuarentena o permitir (eximir) un archivo de forma manual.
USUARIO Actualización del agente Ver/Editar Registro de auditoría Ver Dispositivos Agregar dispositivos: global Agregar dispositivos a una zona Eliminar dispositivos: global Eliminar dispositivos de una zona Editar nombre de dispositivo Zonas Crear zona Eliminar zona Editar nombre de zona – Cualquiera Editar nombre de zona asignada Política Crear política: global Crear política para una zona Agregar política: global Agregar política a una zona Eliminar política: global Eliminar política de una zona Amenazas
APÉNDICE D: FILTRO DE ESCRITURA BASADO EN ARCHIVOS Dell Threat Defense Agent puede instalarse en un sistema con Windows Embedded Standard 7 (cliente ligero). En los dispositivos integrados, la escritura en el almacenamiento del sistema podría no estar permitida. En este caso, puede que el sistema utilice un filtro de escritura basado en archivos (FBWF) que desvíe todas las escrituras en el almacenamiento del sistema a la memoria caché del sistema.
