Este artículo explica cómo monitorear y responder a las amenazas identificadas por los motores de protección de endpoints (EPP) de Cato.
Para aumentar la conciencia sobre las amenazas potenciales para tus endpoints y usuarios finales, puedes ver y analizar detalles de amenazas potenciales para determinar cómo responder. Si un motor de EPP identifica actividad potencialmente maliciosa, se crea un Evento que contiene la información relevante. Los eventos de EPP proporcionan información clave sobre la amenaza identificada, por ejemplo, el endpoint en el que ocurrió la amenaza, la hora y fecha de la amenaza, y el nombre del archivo que desencadenó el evento. Para obtener más información sobre el análisis de eventos, consulta Analizando eventos en tu red
También puedes ver una visión general de las amenazas detectadas por EPP en tu Panel de Protección de Endpoints
Los archivos que se identifican como maliciosos pueden ser encriptados y puestos en cuarentena, dependiendo de tus configuraciones de protección. Puedes ver los archivos en cuarentena y, si se consideran seguros, restaurarlos en su ubicación original.
Puedes ver todos los eventos desencadenados por la protección de endpoints dentro de un marco de tiempo definido. El campo Tipo de motor proporciona información sobre qué motor desencadenó el evento.
Nota
Nota: Un evento puede tardar 6 minutos en crearse después de que un archivo sea bloqueado.
Para identificar amenazas en tus puntos de conexión:
- De la navegación, haz clic en hogar > Eventos.
- En la barra de filtro de eventos, haz clic en el icono de Predefinidos.
-
Desde la lista Presets Predefinidos, selecciona Protección de Endpoints.
Se muestran las amenazas identificadas por EPP.
La siguiente tabla lista los campos del evento en un evento de Malware de EEP.
| Nombre del Campo | Descripción |
|---|---|
| Acción | Acción relevante para el tipo de evento que EPP intentó realizar. |
| Acciones de Mitigación Realizadas |
Acción realizada por EPP. Las acciones de mitigación son:
Las acciones de mitigación son definidas por el Perfil EEP. Para más información, consulte Configuración de la Protección de Endpoints. |
| Acciones Realizadas | Lista de todas las acciones realizadas. Por ejemplo, el EPP intentó poner un archivo en cuarentena, la acción falló, luego el EPP intentó eliminar el archivo. Las acciones realizadas son:[Cuarentena, Eliminar]
|
| Versión del cliente | Número de versión de EPP. |
| Nombre del dispositivo | Nombre del ordenador del endpoint. |
| ID del endpoint | ID único del agente EEP. |
| Tipo de motor | Motor que detectó la amenaza. |
| Perfil de protección de endpoint | Perfil EEP en el endpoint. |
| Conteo de eventos | Conteo de eventos que se repiten varias veces durante un minuto. |
| Sub-Tipo | Categoría de sub-tipo del evento. |
| Tipo de evento | Categoría del evento. |
| Hash del archivo | Hash del archivo sospechoso. |
| Nombre del archivo | Ruta y nombre del archivo sospechoso. |
| Operación del archivo | Acción que tomó el usuario final para desencadenar el evento. |
| Estado final del objeto |
El estado final de un archivo después de que todas las acciones son realizadas (o intentadas realizar) SCAN_FAILED significa que el EPP no pudo escanear el archivo |
| Nombre del ISP | ISP al que está conectado el endpoint. |
| Usuario conectado | Usuario final conectado en el momento del evento. |
| Nombre del objeto | Ruta y nombre del archivo sospechoso. |
| Tipo de SO | Sistema operativo del endpoint. |
| Versión de SO | Versión del sistema operativo del endpoint. |
| SID de usuario | SID del endpoint. |
Si la configuración de Protección está establecida en Bloquear y remediar, EPP encripta y pone en cuarentena archivos maliciosos. Esto previene que el usuario final acceda al archivo y evita que se ejecuten procesos dañinos en el endpoint. Poner en cuarentena amenazas potenciales asegura que tus endpoints permanezcan seguros y reduce el riesgo de infección en todo tu entorno.
Puedes monitorear los archivos en cuarentena y restaurarlos a su ubicación original si son seguros.
Puedes monitorear los archivos que han sido puestos en cuarentena en cada endpoint.
Para revisar archivos en cuarentena:
-
Desde el menú de navegación, haz clic en Acceso > Endpoints protegidos.
Se muestra la tabla Endpoints protegidos.
-
En la columna Archivos en cuarentena, haz clic en el número del endpoint del que deseas ver los archivos en cuarentena.
Se muestran los archivos en cuarentena en el endpoint.
Nota
Si la columna Archivos en cuarentena está en blanco, no se han encontrado archivos en cuarentena en el endpoint
Si un archivo ha sido puesto en cuarentena por error, o si consideras que el archivo es seguro, puedes restaurarlo a la ubicación original en el endpoint. El usuario final podrá entonces acceder al archivo. Después de que un archivo se restaura desde la cuarentena, se agrega a la Lista de Permisos.
Para restaurar archivos en cuarentena:
-
Desde el menú de navegación, haz clic en Acceso > Endpoints protegidos.
Se muestra la tabla Endpoints protegidos.
-
En la columna Archivos en cuarentena, haz clic en el número de la fila del endpoint desde el que deseas restaurar un archivo en cuarentena.
Se muestra la tabla Cuarentena.
- En el archivo que deseas restaurar, haz clic en los tres puntos al final de la tabla.
-
Haz clic en Restaurar.
El archivo se restaura a su ubicación original.
0 comentarios
Inicie sesión para dejar un comentario.