Cómo administrar Dell Threat Defense

La consola de Dell Threat Defense se encarga de la administración de políticas, amenazas y compilaciones, además de la empresa de la implementación de Dell Threat Defense en un entorno.

El entorno requiere una suscripción activa para tener acceso. Para obtener más información sobre cómo obtener una suscripción, consulte la página del producto Dell Threat Defense.

Una vez que adquiera Dell Threat Defense, se envía al comprador un correo electrónico con información para iniciar sesión en la consola de Threat Defense. A continuación, se enumeran los sitios de consola para Dell Threat Defense:

• América del Norte: https://dellthreatdefense.cylance.com/Login
• Europa: https://dellthreatdefense-eu.cylance.com
• Asia-Pacífico: https://dellthreatdefense-au.cylance.com

Productos afectados:

• Dell Threat Defense

La consola de Threat Defense se divide en seis secciones:

• Panel
• Protección
• Zonas
• Dispositivos
• Informes
• Configuración

Haga clic en una sección para obtener más información.

Panel

El tablero se muestra tras iniciar sesión en la consola de Dell Threat Defense. El tablero proporciona una descripción general de las amenazas en el entorno y permite acceder a la información de otras consolas desde una sola página.

Estadísticas de amenazas

En las estadísticas de amenazas, se proporciona la cantidad de amenazas encontradas en las últimas 24 horas y el total de la organización. Si hace clic en una estadística de amenazas, será dirigido a la página Protection y se mostrará la lista de amenazas relacionadas con esa estadística.

• Amenazas en ejecución: Archivos que son identificados como amenazas que se ejecutan actualmente en los dispositivos de la empresa.
• Amenazas de ejecución automática: Amenazas que están configuradas para ejecutarse automáticamente.
• Amenazas en cuarentena: Amenazas que se enviaron a cuarentena en las últimas 24 horas y la cantidad total de amenazas.
• Exclusivas de Cylance: Amenazas que están identificadas por Cylance, pero no por otras fuentes de antivirus.

Porcentajes de protección

Los porcentajes de protección muestran una descripción general para Threat Protection (Protección ante amenazas) y Device Protection (Protección de dispositivos).

• Threat Protection: El porcentaje de amenazas en las que ha realizado una acción (cuarentena, cuarentena global, exención y listas seguras).

• Device Protection: El porcentaje de dispositivos asociados con una política que tiene habilitada la cuarentena automática.

Amenazas por prioridad

Amenazas por prioridad muestra la cantidad total de amenazas que requieren una acción (Cuarentena, Cuarentena global, Eximir y Listas seguras). Las amenazas se agrupan por prioridad (Alta, Media y Baja).

Una amenaza se clasifica como Baja, Media o Alta en función de la cantidad de los siguientes atributos que tiene:

• El archivo tiene un puntaje de Cylance mayor que 80.
• El archivo se está ejecutando actualmente.
• El archivo se ejecutó anteriormente.
• El archivo tiene configurada la ejecución automática.
• La prioridad de la zona donde se encontró la amenaza.

Eventos de amenaza

En Threat Events, se muestra un gráfico de líneas con el número de amenazas descubiertas en los últimos 30 días. Las líneas están codificadas por colores para los archivos no seguros, anormales, en cuarentena, exentos y borrados .

Clasificaciones de amenazas

En Threat Classifications, se muestra un mapa de actividad con los tipos de amenazas descubiertos en un entorno. Si hace clic en un elemento, el administrador pasa a la sección Protection y se muestra una lista de amenazas de ese tipo.

Listas con las cinco amenazas principales

En Top Five Lists, se muestran amenazas no seguras en un entorno en las cuales no se realizaron acciones. La mayoría de las veces, estas listas deben estar vacías.

Protección

La sección Protection se utiliza para evaluar y administrar las amenazas que afectan a los dispositivos mediante Dell Threat Defense. Seleccione el paso correspondiente a continuación para obtener más información.

Evaluar amenazas

La consola de Dell Threat Defense ofrece una evaluación detallada de los archivos "no seguros" o "anómalos" para ayudar a los administradores a mitigar correctamente las amenazas en el entorno.

En las siguientes instrucciones paso a paso se explica cómo evaluar un archivo.

1. En la consola, haga clic en la pestaña Protection .
   
2. En Protección, haga clic en una amenaza para obtener más información.
   

• Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.
• Quarantined by users in [Tenant]: Qué acciones se realizaron en el archivo por parte de los usuarios dentro del entorno (grupo de usuarios).
• Quarantined by all Cylance users: Qué acciones se realizaron en el archivo por parte de los usuarios dentro de todos los entornos de Cylance.
• Classification: Identificación general del fichero (amenaza).

• First Found: Cuándo se encontró por primera vez el archivo en el entorno
• Last Found: Cuando el archivo se encontró por última vez en el entorno

• Global Quarantine: agrega un archivo a la lista de cuarentena global para el entorno. Cada vez que el archivo aparece en un dispositivo, se pone en cuarentena automáticamente en el \q carpeta.
• Safe: Agrega un archivo a la lista de seguridad para un entorno. Si un archivo se encuentra actualmente en cuarentena, se vuelve a colocar automáticamente en su ubicación original.
• SHA256: Los 256 hash criptográficos utilizados para identificar el archivo (amenaza). Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de ocurrencias conocidas.
• MD5: Los 128 hash criptográficos utilizados para identificar el archivo (amenaza). Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de ocurrencias conocidas.

• Download File: Permite que un administrador descargue el archivo para realizar evaluaciones y pruebas adicionales.

• Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.
• AV Industry: Determina si los motores antivirus de otros fabricantes identifican el archivo como una amenaza mediante la comprobación del índice virustotal.com.
• Search Google: Busca en Google los hashes y el nombre del archivo para obtener más información sobre el archivo (amenaza).

Archivos de lista de seguridad

Es posible que haya archivos identificados incorrectamente como amenazas dentro de un entorno. Los administradores pueden agregarlos a la lista global de seguridad para evitar que entren en cuarentena. Cualquier archivo que esté en cuarentena antes de que aparezca en la lista de seguridad vuelve a la ubicación original.

En los siguientes pasos, se explica cómo incluir un archivo en una lista segura.

1. En la consola, haga clic en la pestaña Protection .
   
2. En Protección, compruebe que la amenaza esté en la lista segura y, a continuación, haga clic en Segura.
   
3. En la ventana emergente Confirmación de acción , seleccione una categoría de archivo en el menú desplegable. Esto ayuda con la clasificación de archivos (amenazas).
   
4. Ingrese un motivo para su ingreso en la lista de seguridad. Esto proporciona visibilidad en todo el entorno.
5. Haga clic en Sí para confirmar la inclusión del archivo en la lista segura.
   Nota:

   • Los elementos de la lista segura anterior se pueden revisar y modificar en cualquier momento en la sección Configuración y, luego, en la sección Lista global de la consola de Dell Threat Defense.
   • Se puede ingresar archivos en una lista de seguridad a nivel global, de políticas o de dispositivos. En nuestro ejemplo, está en la lista segura a nivel global.

Poner archivos en cuarentena global

Un administrador puede poner proactivamente en cuarentena un archivo para que deje de atacar sus dispositivos; para ello, lo agrega a la lista global de cuarentena.

Las siguientes instrucciones paso a paso cubren cómo poner un archivo en cuarentena globalmente.

1. En la consola, haga clic en la pestaña Protection .
   
2. En Protection, compruebe que la amenaza esté en la lista segura y, a continuación, haga clic en Global Quarantine.
   
3. En el indicador Confirmación de acción , ingrese el Motivo de la cuarentena. Esto ayuda a proporcionar visibilidad a otros administradores y administradores de zonas.
4. Haga clic en Sí para confirmar la cuarentena global.
   Nota:

   • Los elementos de cuarentena anteriores se pueden revisar y modificar en cualquier momento en la sección Lista global de configuración> de la consola de Dell Threat Defense.
   • Se pueden ingresar archivos en listas de seguridad a nivel global o de dispositivo. El ejemplo está en cuarentena a nivel global.

Zonas

Las zonas se utilizan para crear contenedores encargados de la administración y organización de los dispositivos. Para obtener más información, consulte Cómo administrar zonas en Dell Threat Defense.

Dispositivos

La sección Devices se utiliza para agregar, administrar e informar sobre dispositivos (agentes) dentro de un entorno mediante Dell Threat Defense. Las acciones más comunes de esta sección son descargar el instalador, obtener un token de instalación, activar el registro detallado y eliminar un dispositivo. Haga clic en el paso correspondiente para obtener más información.

Descargar instalador

El instalador de Dell Threat Defense está disponible directamente dentro del inquilino. Si desea conocer los pasos para descargar Dell Threat Defense, consulte Cómo descargar Dell Threat Defense.

Obtener el token de instalación

Para instalar Dell Threat Defense en un dispositivo, se debe obtener un token de instalación válido del grupo de usuarios. Si desea conocer los pasos para obtener un token de instalación, consulte Cómo obtener un token de instalación para Dell Threat Defense.

Activar el registro detallado

De forma predeterminada, los dispositivos contienen un registro limitado para Dell Threat Defense. Se recomienda encarecidamente que active el registro detallado en un dispositivo antes de intentar solucionar problemas o comunicarse con Dell Data Security ProSupport. Para obtener más información, consulte Números de teléfono de soporte internacional de Dell Data Security. Para obtener más información sobre cómo activar el registro detallado, consulte Cómo habilitar el registro detallado en Dell Threat Defense.

Eliminar dispositivo

Los dispositivos no se eliminan automáticamente de la consola de Dell Threat Defense durante la desinstalación. Un administrador debe quitar manualmente el dispositivo de la consola del inquilino. Para obtener más información, consulte Cómo eliminar un dispositivo de la consola de administración de Dell Threat Defense.

Informes

Los informes ofrecen informes detallados y resumidos que proporcionan una visión general y los detalles que están relacionados tanto con los dispositivos como con las amenazas en una empresa.

Los informes muestran las amenazas según eventos. Un evento representa una instancia individual de una amenaza. Por ejemplo, si un archivo en particular (hash específico) se encuentra en tres ubicaciones de carpetas diferentes en el mismo dispositivo, el conteo de eventos de amenaza es igual a 3. Otras áreas de la consola, como la página Threat Protection, pueden mostrar conteos de amenazas para un archivo específico según la cantidad de dispositivos en los que se encuentra el archivo, independientemente de cuántas instancias del archivo están presentes en un dispositivo determinado. Por ejemplo, si un archivo en particular (hash específico) se encuentra en tres ubicaciones de carpetas diferentes en el mismo dispositivo, el conteo de amenazas es igual a 1.

Los datos de creación de informes se actualizan aproximadamente cada tres minutos. Haga clic en Visión general de Threat Defense, Resumen de eventos de amenazas, Resumen de dispositivos, Eventos de amenazas o Dispositivos para obtener más información.

Descripción general de Threat Defense

Proporciona un resumen ejecutivo del uso de Dell Threat Defense en una organización, desde la cantidad de zonas y dispositivos hasta el porcentaje de dispositivos cubiertos por la cuarentena automática, los eventos de amenaza, las versiones de los agentes y los días sin conexión para los dispositivos.

• Zones: muestra el número de zonas en la empresa.
• Devices: muestra el número de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.
• Policies: muestra el número de políticas creadas en la empresa.
• Files Analyzed: muestra el número de archivos analizados en la empresa (en todos los dispositivos de la empresa).

• Threat Events: muestra un gráfico de barras con eventos de amenazas no seguros, anómalos y en cuarentena, agrupados por día, para los últimos 30 días. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día.
• Las amenazas se agrupan por la fecha de notificación , que es cuando la consola recibió información del dispositivo sobre una amenaza. La fecha de notificación puede diferir de la fecha real del evento si el dispositivo no estaba en línea en el momento del evento.

• Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

• Offline Days: Muestra la cantidad de dispositivos que han estado offline durante un rango de días (de 0 a 15 días, hasta 61+ días). También muestra un gráfico de barras codificado por colores con cada rango de días.

• Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Resumen de eventos de amenaza

El Informe de resumen de eventos de amenazas muestra la cantidad de archivos identificados en dos de las clasificaciones de amenazas de Cylance: malware y programas potencialmente no deseados (PUP), e incluye un desglose de las clasificaciones de subcategorías específicas para cada familia. Además, las listas de 10 dispositivos y propietarios de archivos principales con amenazas muestran conteos de eventos de amenazas para las familias de amenaza Malware, PUP y Uso doble.

• Total Malware Events: muestra el número total de eventos de malware identificados en la empresa.
• Total PUPs Events: muestra el número total de eventos de PUP identificados en la empresa.
• Unsafe/Abnormal Malware Events: muestra el número total de eventos de malware no seguro y anómalo descubiertos en la empresa.
• Unsafe/Abnormal PUP Events: muestra el número total de eventos de PUP no seguro y anómalo descubiertos en la empresa.

• Malware Event Classifications: muestra un gráfico de barras con cada tipo de clasificación de malware para los eventos de amenaza que se detectan en los dispositivos de la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de malware encontrados para esa clasificación.

• PUP Event Classifications: Muestra un gráfico de barras con cada tipo de clasificación de PUP para los eventos de amenazas que se encuentran en los dispositivos de la organización. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de PUP encontrados para esa clasificación.

• Top 10 File Owners with the Most Threat Events: muestra una lista de los 10 principales propietarios de archivos que tienen la mayor cantidad de eventos de amenazas. Este widget muestra eventos de todas las familias de amenazas basadas en archivos Cylance, no solo malware o eventos de PUP.

• Top 10 Devices with the Most Threat Events: muestra una lista de los 10 dispositivos principales que tienen la mayor cantidad de eventos de amenazas. Este widget muestra eventos de todas las familias de amenazas basadas en archivos Cylance, no solo malware o eventos de PUP.

Resumen de dispositivos

El informe de resumen del dispositivo muestra varias medidas importantes centradas en el dispositivo. La cobertura de cuarentena automática revela la cobertura de prevención de amenazas y se puede utilizar para mostrar el progreso. Dispositivos: las estadísticas de la versión de Threat Defense pueden identificar agentes de Threat Defense más antiguos. Los días sin conexión pueden indicar dispositivos que ya no se registran en Threat Defense Console y que son candidatos para su eliminación.

• Total Devices: muestra el número total de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

• Auto-Quarantine Coverage: muestra el número de dispositivos que tienen una política con las opciones de cuarentena automática Unsafe y Abnormal seleccionadas; se considera que estos dispositivos están habilitados. Los dispositivos deshabilitados se asignan a una política que tiene una de estas opciones deshabilitadas o ambas. En el gráfico circular, se muestra el porcentaje de dispositivos que son asignados a una política con la cuarentena automática deshabilitada para Unsafe, Abnormal o ambas opciones.

• Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

• Offline Days: muestra el número de dispositivos que han estado offline durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

Eventos de amenaza

En el Informe de eventos de amenazas, se proporcionan datos de eventos de amenazas que se encuentran en la organización. Las amenazas se agrupan por la fecha de notificación , que es cuando la consola recibió información del dispositivo sobre una amenaza. La fecha de notificación puede diferir de la fecha real del evento si el dispositivo no estaba en línea en el momento del evento.

• # of Threat Events: muestra un gráfico de barras con los eventos de amenazas notificados en la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día. El gráfico de barras muestra los últimos 30 días.
• Threat Events Table: muestra información de eventos de amenazas.

Dispositivos

En el informe de dispositivos se muestra cuántos dispositivos tiene para una familia de sistemas operativos (Windows y macOS).

• # of Devices by OS: muestra un gráfico de barras con dispositivos organizados por los grupos más importantes del sistema operativo (Windows y macOS). Si pasa el cursor sobre una barra del gráfico, se muestra la cantidad total de dispositivos en ese grupo de sistemas operativos.
• Devices Table: muestra una lista de nombres e información de los dispositivos en la empresa.

Configuración

La sección Settings (Configuración) se utiliza para administrar políticas de dispositivos, acceder a la consola, configurar actualizaciones y generar informes de auditoría. Las acciones más comunes en esta sección son agregar una contraseña de desinstalación, agregar usuarios de la consola, agregar una política de dispositivos, generar informes y configurar actualizaciones. Haga clic en el paso correspondiente para obtener más información.

Agregar contraseña de desinstalación

Como capa adicional de seguridad, un administrador de Dell Threat Defense puede obligar a los dispositivos de Threat Defense a solicitar una contraseña para desinstalar la aplicación. Para obtener más información, consulte Cómo agregar o eliminar una contraseña de desinstalación en Dell Threat Defense.

Agregar usuarios de la consola

La configuración básica solo muestra al comprador inicial como administrador en la consola de Dell Threat Defense. Para obtener más información, consulte Cómo agregar usuarios a la consola de administración de Dell Threat Defense.

Agregar política de dispositivo

Las políticas de dispositivos son esenciales para el funcionamiento de Dell Threat Defense. La configuración básica tiene desactivadas las características de prevención de amenazas avanzadas en la política "predeterminada". Es importante modificar la política "predeterminada" o crear una nueva política antes de implementar Threat Defense. Para obtener más información, consulte Cómo modificar políticas en Dell Threat Defense.

Generar informes

La consola de Dell Threat Defense ofrece una manera de generar un informe sobre el estado de las amenazas en un entorno. Para obtener más información, consulte Cómo generar informes en Dell Threat Defense.

Configurar actualizaciones

La configuración básica de la consola de Dell Threat Defense actualiza automáticamente los dispositivos a la compilación más reciente. De manera opcional, un administrador de Threat Defense puede implementar compilaciones para probar zonas antes de la producción. Para obtener más información, consulte Cómo configurar las actualizaciones en Dell Threat Defense.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.