Gestión de la Solución de Protección del Endpoint

Este artículo explica cómo gestionar los agentes de Endpoint Protection que has instalado en tus endpoints.

Descripción general

Después de haber instalado agentes en tu entorno, es posible que necesites tomar acciones en los endpoints para la gestión diaria de tu solución de Endpoint Protection.

Puedes revisar los endpoints protegidos en tu entorno, y si es necesario, tomar varias acciones para gestionar el Endpoint Protection. Los agentes realizan una acción a la vez, puedes elegir terminar una acción en cualquier momento y después de 7 días si no se toma acción, esta expira.

Algunas de las acciones que puedes activar en el CMA para llevar a cabo en un endpoint son:

Si es necesario, también puedes actualizar manualmente el agente en un endpoint.

Revisar Puntos Finales Protegidos

Después de registrar los Endpoints con tu Token de Agente, la solución comienza a reportar datos en tiempo real, por ejemplo:

  • La versión utilizada en cada endpoint

  • El perfil aplicado a cada endpoint

2023-03-16_16-27-48.png

Nota

Nota: Los dispositivos ubicados en China no pueden registrar su EPP en Cato debido a restricciones regionales.

Para revisar los endpoints protegidos:

  • Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    La pantalla de Protected Endpoints se abre.

Comprender las Columnas de la Tabla de Puntos Finales Protegidos

La siguiente tabla es una explicación de las columnas en la tabla de Protected Endpoints.

Columna

Explicación

ID de Endpoint

ID único del agente EEP.

Nombre del Endpoint

Nombre del ordenador del endpoint.

Usuario

Último usuario en iniciar sesión en el endpoint. En dispositivos compartidos, el usuario puede cambiar con el tiempo.

IP

Dirección IP del endpoint.

Versión del SO

Sistema operativo del endpoint.

Versión de EPP

Versión de la solución EPP instalada en el Endpoint.

Perfil

Perfil de EPP asignado al Endpoint.

El símbolo de reloj mostrado en esta columna indica que el Endpoint aún no ha recibido el perfil EPP. El perfil EPP se asigna la próxima vez que el endpoint está en línea.

Archivos en Cuarentena

Número de archivos en cuarentena en el endpoint.

Estatus

Estatus de la solución EPP. Los posibles estatus son:

  • Iniciando: La solución EPP se está instalando en el endpoint

  • Protegido: La solución EPP está en línea y protegiendo el endpoint

  • No Protegido: La solución EPP tiene un Perfil con Anti-Malware configurado en Monitor

  • Error: La solución EPP tiene un error. Pasa el cursor sobre el símbolo de interrogación para obtener más información sobre el error.

    Consulta la Solución de Problemas de EPP para obtener más información sobre cómo resolver el error.

Exportar la Tabla de Puntos Finales Protegidos

Puedes exportar el contenido de la tabla de Endpoints Protegidos a un archivo CSV para alinearlo con un MDM y asegurarte de que todos los endpoints relevantes aparezcan en la tabla.

Para exportar la lista de endpoints protegidos:

  1. Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    La pantalla de Endpoints Protegidos se abre.

  2. Haz clic en Exportar en la esquina superior derecha de la página.

Protegiendo la Solución EPP de Cato

La solución EPP de Cato tiene la protección Antimanipulación activada por defecto. Esto protege los procesos, archivos, servicios y registros utilizados por la solución EPP de modificaciones maliciosas o intentos de eliminación. Esto también protege contra acciones involuntarias del usuario final que podrían comprometer la seguridad.

Desactivando Protección de EPP

Puedes desbloquear temporalmente la protección Antimanipulación por 15 minutos, por ejemplo, si necesitas desinstalar la solución. Después de este tiempo, o si el endpoint se reinicia, la protección Antimanipulación se reactiva.

Para desbloquear la protección:

  1. Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    Se muestra la pantalla de Protected Endpoints.

  2. Haga clic en los tres puntos (Three_Dots.png) en el punto final que está desbloqueando protección.

  3. Haz clic en Desbloquear Antimanipulación.

    La protección antimanipulación se desactiva temporalmente.

Eliminando EPP de un Punto Final

Si EPP ya no es necesario en un endpoint, puede ser desinstalado y, si es necesario, eliminado de tu cuenta. Después de desinstalar la solución, los motores EPP no pueden escanear actividades maliciosas y no se reportan eventos. El endpoint permanece en la tabla de Protected Endpoint hasta que es eliminado.

  • Desinstalar elimina completamente el cliente EPP, sin embargo, si reinstala el cliente, se registrará automáticamente como el usuario anterior antes de la desinstalación.
  • La eliminación elimina la asociación de este punto final con la cuenta; dejará de proteger, no cargará eventos, etc. La eliminación también permitirá que el cliente se vuelva a registrar usando un token

Desinstalación y Eliminación de un Endpoint

Puedes desinstalar el EPP de un endpoint y eliminar el endpoint de tu cuenta en una sola acción.

Nota

Nota: Soportado desde el Agente EPP v1.1. Si intentas eliminar y desinstalar Agente EPP v1.0, no se toma ninguna acción hasta que el Agente se actualiza a v1.1.

Para desinstalar y eliminar un Endpoint:

  1. Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    Se muestra la pantalla de Protected Endpoints.

  2. Haga clic en los tres puntos (Three_Dots.png) en el punto final que está eliminando.

  3. Haz clic en Eliminar Endpoint.

    Se muestra el cuadro de diálogo de Eliminar Endpoint.

  4. Haz clic en Eliminar Endpoint & Desinstalar Agente.

    EPP es desinstalado del endpoint y el endpoint es eliminado de tu cuenta.

Desinstalación de un Endpoint

Puedes desinstalar EPP en un endpoint para que los motores EPP no puedan escanear actividades maliciosas y no se reportan eventos. Hasta que el endpoint sea eliminado, es visible en la tabla de Protected Endpoint.

Para desinstalar un endpoint:

  1. Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    Se muestra la pantalla de Protected Endpoints.

  2. Haga clic en los tres puntos (Three_Dots.png) en el punto final que está desinstalando.

  3. Haz clic en Desinstalar Agente.

    Se muestra el cuadro de diálogo de Desinstalar Agente.

  4. Haga clic en Desinstalar Agente.

    EPP es desinstalado del endpoint.

Eliminación de un Endpoint

Si EPP ya no está instalado en un endpoint, el endpoint puede ser eliminado de la tabla Protected Endpoint.

Nota

Nota: No elimines un endpoint de la tabla de Protected Endpoint antes de que EPP haya sido desinstalado.

Para eliminar un endpoint:

  1. Desde el menú de navegación, haz clic en Acceso > Protected Endpoints.

    Se muestra la pantalla de Protected Endpoints.

  2. Haga clic en los tres puntos (Three_Dots.png) en el punto final que está eliminando.

  3. Haz clic en Eliminar Endpoint.

    Se muestra el cuadro de diálogo de Eliminar Endpoint.

  4. Haga clic en Eliminar Punto Final.

    The endpoint is deleted from the Protected Endpoints screen.

Terminación de una Acción

Después de que se crea una acción, puedes terminarla en cualquier momento.

Para terminar una acción:

  1. Desde el menú de navegación, haz clic en Access > Protected Endpoints.

  2. Haz clic en la pestaña Historial de Acciones.

  3. Haga clic en los tres puntos (Three_Dots.png) en la acción que está terminando.

  4. Haz clic en Cancelar Acción.

Revisión de Acciones de Endpoint

Puedes ver el estado casi en tiempo real y el historial de acciones enviadas al agente EPP. El agente EPP envía una actualización sobre el estado de una acción que ha recibido cada 30 segundos.

Nota

Nota: Las acciones pueden ser revisadas desde la versión del agente 1.2 y superior.

Actions_EPP.png

Para revisar las acciones del endpoint:

  1. Desde el menú de navegación, haz clic en Acceso > Endpoints Protegidos.

  2. Haz clic en la pestaña Actions History.

Entendiendo las Columnas de la Tabla de Actions History

Lo siguiente describe la tabla Actions History.

Columna

Explicación

ID de Acción

Referencia única de la acción.

ID de Endpoint

ID único del agente EPP.

Creado En

Marca de tiempo de cuándo se creó la acción.

Nombre del Endpoint

Nombre del ordenador del endpoint.

Acción

Acción tomada en el endpoint.

Estado

El estado casi en tiempo real de la acción. Los estados posibles son:

  • Pendiente: La acción ha sido enviada al agente EPP pero no ha sido entregada.

  • Entregado: La acción ha sido recibida por el agente EPP, pero no ha sido ejecutada.

  • Ejecutando: La acción se está ejecutando.

  • Hecho: La acción se ha completado exitosamente.

  • Expirado: La acción no se realizó después de 7 días.

  • Terminación-Pendiente: Una solicitud de terminación de la acción ha sido enviada al agente EPP, pero no ha sido recibida.

  • Terminación-Entregado: Una solicitud de terminación de la acción ha sido recibida por el agente EPP.

  • Terminado: La acción está detenida.

  • Error: Ha ocurrido un problema.

Detalles

Información adicional sobre la acción.

Hora de la Última Actualización

Marca de tiempo de la última vez que se recibió una actualización de la acción.

Creado Por

El administrador que creó la acción.

Estado del Endpoint

El estado del endpoint.

Actualizando un Agente Manualmente

Cuando se lanza una nueva versión de los agentes, estos se actualizan automáticamente en su cuenta de manera gradual a la versión más reciente. Por varias razones, puede ser necesario actualizar manualmente un agente.

Para actualizar un agente manualmente:

  1. Deshabilitar Anti-Tamper en el endpoint:

    • Para agentes en línea: Esto se puede realizar en el CMA. Ver para más información

    • Para agentes sin conexión: En la ruta de archivo C:\Program Files\Cato Networks\CatoEndPointProtection cree un archivo vacío llamado disable_anti_tamper (sin extensión)

      Nota: Esto solo está disponible para agentes por debajo de la versión 1.3

  2. En el CMA, desde el menú de navegación, haz clic en Access > Client Rollout y descarga el agente EPP.

  3. Distribuye el agente mediante un MDM o instala manualmente en un endpoint.

    Nota:

    • Si deshabilitaste Anti-Tamper desde el CMA, debes distribuir el agente dentro de los 15 minutos después de deshabilitar Anti-Tamper

    • Si deshabilitaste Anti-Tamper con un archivo, elimina el archivo después de completar la actualización

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios