Configurando protección para el terminal

Este artículo explica cómo configurar la solución de Protección de Terminaciones de Cato (EPP) para asegurar sus terminales.

Resumen

La solución EPP de Cato incluye tres tipos de motores EPP: Protección de Archivos, que analiza archivos en el punto final; Análisis de Comportamiento, que analiza procesos que se ejecutan en el punto final; y Anti-Explotación, que protege las vulnerabilidades del software. La configuración de su EPP se realiza en la Cato Management Application, proporcionando una forma centralizada de gestionar la seguridad en toda su superficie de ataque. En el Perfil de Protección de Terminal, puede configurar el nivel de protección de cada motor para definir cómo responde a las amenazas potenciales. Use la Política de Protección de Terminal para aplicar los Perfiles de Protección de Terminal a un usuario final o terminal.

Puede agregar un archivo o proceso a la Lista de Permitidos para evitar que archivos o procesos legítimos sean identificados como maliciosos, y para protección adicional, puede ejecutar un análisis bajo demanda en un punto final específico.

Nota

Nota: Los dispositivos ubicados en China no pueden registrar su EPP en Cato debido a restricciones regionales.

Motores EPP

Para proteger su terminal de malware conocido y desconocido, la solución EPP de Cato proporciona tres capas de protección para una solución de seguridad completa. Cada capa utiliza diferentes técnicas de detección para identificar y prevenir diferentes tipos de ataques.

Anti-Malware (Protección de Archivos)

El motor de Protección de Archivos admite el análisis de más de 300 tipos de archivos, incluidos archivos archivados, archivos ZIP y RAR. Un archivo es escaneado una vez descargado o copiado a un terminal, así como cuando un usuario final intenta acceder a él. También puede escanear todos los archivos en un terminal en cualquier momento con un escaneo bajo demanda.

Análisis de Comportamiento

El motor de Análisis de Comportamiento utiliza métodos heurísticos para proteger contra amenazas desconocidas y de día cero. Las aplicaciones y procesos son continuamente monitoreados en busca de indicaciones de actividad maliciosa basadas en su comportamiento. Ejemplos de comportamiento malicioso incluyen:

  • Ejecutar o inyectar código en el espacio de otro proceso para ejecutarse con mayores privilegios

  • Acceder o ejecutar operaciones ilegales en ubicaciones del registro que requieren privilegios elevados

  • Copiar o mover archivos en carpetas del Sistema o de Windows

Anti Exploit

Nota

Nota: Soportado desde EPP v1.1 y superiores

El motor de Anti-Exploits utiliza aprendizaje automático para proteger contra amenazas conocidas y desconocidas que se aprovechan de las vulnerabilidades del software. Los procesos del sistema, navegadores, Microsoft Office y Adobe Reader son monitoreados continuamente para detectar técnicas utilizadas para explotar vulnerabilidades del software. Ejemplos de técnicas que son detectadas incluyen:

  • Escalamiento de privilegios: Procesos que intentan obtener privilegios no autorizados y acceso a recursos

  • Introspección de procesos: Intentos de recopilar información detallada sobre procesos en ejecución, recursos del sistema, uso de memoria y otros datos críticos

  • Extracción de credenciales de LSASS: Intentos de acceder a la memoria del proceso LSASS y extraer credenciales de autenticación sensibles

Respondiendo a Amenazas

Después de que un motor EPP identifique una actividad potencialmente maliciosa, las configuraciones de Protección definen la acción que tomará el EPP. Adicionalmente, para el motor de Análisis de Comportamiento, puede definir cuán sensible es para identificar amenazas desconocidas.

La siguiente tabla describe cada nivel de Protección y un caso de uso de ejemplo para ello.

Protección

Descripción

Caso de Uso de Ejemplo

Desactivado

No se ejecutan escaneos de EPP, no se crean eventos.

No quieres utilizar este motor EPP.

Monitor

Se crea un evento si se identifica una actividad maliciosa, pero no se toma ninguna medida adicional.

Quieres recopilar datos sobre archivos o procesos maliciosos, sin impedir su ejecución.

Bloquear

No se puede ejecutar un archivo o proceso malicioso. El archivo no es modificado ni movido de su ubicación.

Esta es la configuración predeterminada para los motores de Análisis de Comportamiento y Anti-Exploits.

Quieres identificar y bloquear archivos o procesos maliciosos.

Bloquear y Remediar

El archivo o proceso malicioso no puede ejecutarse. El archivo es cifrado y puesto en cuarentena o, si esto no es posible, el archivo es eliminado.

Esta es la configuración predeterminada para el Anti-Malware.

Deseas identificar, bloquear y poner en cuarentena archivos o procesos maliciosos.

Finalizar

Termina el proceso de la aplicación infectada.

Deseas finalizar el proceso malicioso para evitar que siga ejecutándose.
Finalizar y Remediar

 

Finaliza el proceso infectado y, si tiene éxito, limpia los rastros de malware.
Esto puede incluir revertir cambios de archivos, eliminar claves de registro, desinstalar servicios, etc.

Deseas finalizar el proceso y asegurarte de eliminar cualquier persistencia.
Finalizar Proceso

Termina el proceso de la aplicación explotada y cualquier proceso posiblemente vinculado. 

Finaliza los procesos que inyectaron código en el proceso explotado.

Sensibilidad Heurística del Análisis de Comportamiento

El motor de Análisis de Comportamiento detecta amenazas potenciales basado en un modelo predictivo y heurísticas de aprendizaje. El Nivel de Sensibilidad del motor determina el nivel de confianza que identifica las amenazas potenciales. Por ejemplo, la configuración Agresiva identificará procesos con un bajo nivel de certeza de que el proceso es malicioso. Esta configuración puede resultar en más coincidencias de falsos positivos.

La siguiente tabla de opciones describe el Nivel de Sensibilidad y un caso de uso de ejemplo para ello.

Nivel de Sensibilidad

Descripción

Caso de Uso de Ejemplo

Permisivo

Solo detectar procesos que se determinan como maliciosos con un muy alto nivel de certeza. Esta es la configuración con la más baja sensibilidad.

Solo quieres detectar procesos que ciertamente son maliciosos.

Equilibrado

Detectar procesos que se determinan como maliciosos con un alto nivel de certeza.

Quieres detectar procesos que probablemente sean maliciosos.

Agresivo

Detectar procesos que se determinan como maliciosos con un bajo nivel de certeza. Esta es la configuración con la mayor sensibilidad.

Quieres detectar procesos que probablemente sean maliciosos, pero no ciertamente.

Configurando ajustes de protección de terminal

Para definir cómo EPP protege los terminales en su cuenta, use el Perfil de EPP para definir el nivel de Protección para cada motor. Luego use las reglas en la Política de EPP para definir el alcance de los terminales a los que se aplica el Perfil. Un Perfil puede aplicarse a usuarios finales específicos, terminales específicos o ambos.

Las políticas de EPP son una base de reglas ordenada. Las reglas en su política se aplican a archivos y procesos secuencialmente para verificar si se cumple una regla. Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican antes que las reglas inferiores. Por ejemplo, si la regla #1 tiene una respuesta de Bloquear Protección de Archivos y se aplica a un terminal donde se identifica un archivo malicioso, el archivo es bloqueado. No se aplican más reglas al archivo. La regla predeterminada final aplica el Perfil Predeterminado a todos los terminales y no se puede editar.

Definiendo un perfil de protección de terminal

El Perfil de EPP define las configuraciones de Protección para los motores de Análisis de Comportamiento y Protección de Archivos. Puede definir diferentes perfiles basados en los requisitos para su Política de EPP.

EPP_Profile.png

Para definir un perfil de protección de terminal:

  1. Desde el menú de navegación, haz clic en Security > Endpoint Protection.

  2. Haz clic en la pestaña Profiles.

  3. Haz clic en New.

    Se abre el panel Create New Endpoint Protection Profile.

  4. Defina las configuraciones para el perfil.

  5. Haz clic en aplicar y, a continuación, haz clic en Guardar.

Creando una política de protección de terminal

Defina las reglas en la Política de EPP con el Origen y el Perfil. El Origen puede ser una identidad de usuario final o un dispositivo de terminal basado en el ID del terminal. También puede establecer el nivel de protección (Perfil) que se aplica a cada usuario final o terminal (Origen). Esto le permite personalizar cómo se utiliza cada motor EPP en cada terminal a través de su entorno.

image3.png

Para crear una política de protección de terminal:

  1. Desde el menú de navegación, haz clic en Security > Endpoint Protection.

  2. Haz clic en New.

    Se abre el panel Create new Endpoint Protection Policy Rule.

  3. Defina el Nombre, Descripción, Origen y Perfil para esta regla.

  4. (Opcional) Configure las opciones de seguimiento para generar EventosEnviar Notificación

    Para más información sobre notificaciones, consulte el artículo relevante para Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.

  5. Haz clic en aplicar.

  6. Repita los pasos 2-5 para cada regla en la Política de EPP.

  7. Habilite la Política de EPP y haga clic en Guardar.

    El control deslizante ( slider.png ) está verde cuando el EPP está activado, y gris cuando el EPP está desactivado.

Permitiendo Archivos y Rutas para EPP

A veces un motor EPP puede considerar un proceso de negocio legítimo como malicioso. Para evitar que la protección de terminal interrumpa procesos de negocio legítimos, puede permitir un Objeto para un usuario final o en un terminal (Origen). Esto significa que no se escanea, bloquea o mueve. Para escaneos bajo demanda, se puede activar un evento con la acción de mitigación Ignorar. No se crea ningún evento para escaneos de archivos.

Los siguientes objetos pueden permitirse ejecutar para un usuario final, en un endpoint, o ambos:

Nota

Nota: Las rutas de archivo están permitidas tanto por los motores de Anti-Malware como por los de Análisis de Comportamiento. Otros objetos solo están permitidos por el motor de Anti-Malware.

  • Ruta de Archivo

  • Ruta de Carpeta

  • Tipo de Archivo

  • Hash de Archivo SHA256

2023-03-16_18-15-55.png

Para definir un Objeto para la Lista de Permitidos:

  1. Desde el menú de navegación, haz clic en Seguridad > Protección de Endpoint.

  2. Haz clic en la pestaña Lista de Permitidos.

  3. Haz clic en Nuevo.

    Se abre el panel Nueva Lista de Permitidos.

  4. Define el Nombre, Descripción, Objeto y Fuente que deben permitirse.

  5. Haz clic en Aplicar.

  6. Repite los pasos 3-5 para cada Objeto que estás permitiendo.

  7. Haz clic en Guardar.

Escaneos de Protección de Archivos a Demanda

Los escaneos de Protección de Archivos se ejecutan cuando un archivo es descargado o copiado en un endpoint así como cuando un usuario final intenta acceder a él. Además, puedes ejecutar un escaneo de Protección de Archivos a demanda en un endpoint en cualquier momento. Al ejecutar un escaneo de Protección de Archivos a demanda, puedes identificar malware existente en un endpoint antes de que el usuario final intente acceder a él.

Los escaneos a demanda comparan el hash de archivo SHA256 de todos los archivos guardados en el endpoint con una lista de firmas de malware conocidas. Si se detecta un archivo malicioso, EPP sigue la acción definida por la Política.

Ejecutando un Escaneo de Protección de Archivos a Demanda

Puedes identificar archivos maliciosos en un endpoint en cualquier momento ejecutando un escaneo a demanda. Estos escaneos no se ejecutan después de instalar el agente, solo se ejecutan después de ser activados desde la Cato Management Application.

Para ejecutar un escaneo de Protección de Archivos a Demanda

  1. Desde el menú de navegación, haz clic en Acceso > Endpoints Protegidos.

    Se muestra la pantalla Endpoints Protegidos.

  2. Haz clic en los tres puntos (Three_Dots.png) en el punto final que deseas escanear.

  3. Haz clic en Escanear Endpoint.

    Se ejecuta un escaneo de Protección de Archivos en el endpoint.

Probando la Solución EPP

Después de instalar el agente EEP en tus endpoints, puedes probar la solución para asegurarte de que prevenga actividades maliciosas según tu configuración de políticas.

Para probar la solución EPP:

  1. En un endpoint con el agente instalado, descarga e intenta ejecutar un archivo de prueba EICAR.

  2. Intenta abrir y ejecutar el archivo.

    Nota: Si la descarga del archivo es bloqueada por tu solución de seguridad de red o navegador, copia el texto en el archivo EICAR, pégalo en un nuevo archivo .txt y guarda.

  3. Si la solución EPP está instalada y habilitada correctamente, el comportamiento del archivo está de acuerdo con tus políticas configuradas y se crea un evento.

Entendiendo la Frecuencia de las Actualizaciones de la Base de Datos

Cuando un motor EPP escanea un archivo o proceso, se compara con una base de datos de actividad maliciosa conocida. Estas bases de datos se actualizan automáticamente con regularidad para asegurar que los motores EPP protejan contra las últimas amenazas.

El estado de la actualización de la base de datos es visible en la pestaña Estado del agente EPP.

La frecuencia de las actualizaciones de la base de datos es:

  • Malware DB: Cada 1 hora

  • CTC DB: Cada 24 horas (esta base de datos se usa para correcciones entre motores)

  • Behavioral DB: Cada 2 horas

  • Exploit DB: Cada 2 horas

Una base de datos que contiene una lista de archivos legítimos conocidos que no requieren escaneo se actualiza cada 4 horas.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios