Cómo administrar Dell Threat Defense

La consola de Dell Threat Defense ofrece una evaluación detallada de los archivos "no seguros" o "anómalos" para ayudar a los administradores a mitigar correctamente las amenazas en el entorno.

Para evaluar un archivo:

1. En la consola, haga clic en la pestaña Protection.

2. En Protection, haga clic en una amenaza para obtener más información.

Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.

Quarantined by users in [Tenant]: Qué acciones se realizaron en el archivo por parte de los usuarios dentro del entorno (grupo de usuarios).

Quarantined by all Cylance users: Qué acciones se realizaron en el archivo por parte de los usuarios dentro de todos los entornos de Cylance.

Classification: Identificación general del archivo o la amenaza.

First Found: Cuando el archivo se encontró por primera vez en el entorno

Last Found: Cuando el archivo se encontró por última vez en el entorno

Global Quarantine: agrega un archivo a la lista de cuarentena global para el entorno. Cada vez que el archivo aparezca en un dispositivo, se enviará automáticamente a cuarentena en la carpeta \q.

Safe: Agrega un archivo a la lista de seguridad para un entorno. Si un archivo está actualmente en cuarentena, lo devolverá automáticamente a la ubicación original.

SHA256: El hash criptográfico de 256 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de instancias conocidas.

MD5: El hash criptográfico de 128 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de instancias conocidas.

Download File: Permite que un administrador descargue el archivo para realizar evaluaciones y pruebas adicionales.

Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.

AV Industry: Determina si los motores antivirus de otros fabricantes identifican el archivo como una amenaza mediante la comprobación del índice virustotal.com.

Search Google: Busca en Google los hashes y el nombre de archivo para obtener más información acerca del archivo o la amenaza.

Es posible que haya archivos identificados incorrectamente como amenazas dentro de un entorno. Los administradores pueden agregarlos a la lista global de seguridad para evitar que entren en cuarentena. Cualquier archivo que esté en cuarentena antes de que aparezca en la lista de seguridad vuelve a la ubicación original.

Para colocar un archivo en una lista de seguridad:

1. En la consola, haga clic en la pestaña Protection.

2. En Protection, marque la amenaza que desea que aparezca en la lista de seguridad y, luego, haga clic en Safe.

3. En la ventana emergente Action Confirmation (Confirmación de acción), seleccione una categoría de archivo en el menú desplegable. Esto ayuda con la clasificación de archivos/amenazas.

4. Ingrese un motivo para su ingreso en la lista de seguridad. Esto proporciona visibilidad en todo el entorno.
5. Haga clic en Yes para confirmar el ingreso en la lista de seguridad.

Un administrador puede poner proactivamente en cuarentena un archivo para que deje de atacar sus dispositivos; para ello, lo agrega a la lista global de cuarentena.

Para poner un archivo en cuarentena global:

1. En la consola, haga clic en la pestaña Protection.

2. En Protection, marque la amenaza que aparece en la lista de seguridad y, luego, haga clic en Global Quarantine.

3. En la ventana emergente Action Confirmation (Confirmación de acción), ingrese el motivo de la cuarentena. Esto ayuda a proporcionar visibilidad a otros administradores y administradores de zonas.
4. Haga clic en Yes (Sí) para confirmar la cuarentena global.

El instalador de Dell Threat Defense está disponible directamente dentro del inquilino. Si desea conocer los pasos para descargar Dell Threat Defense, consulte Cómo descargar Dell Threat Defense.

Para instalar Dell Threat Defense en un dispositivo, se debe obtener un token de instalación válido desde el inquilino. Si desea conocer los pasos para obtener un token de instalación, consulte Cómo obtener un token de instalación para Dell Threat Defense.

De forma predeterminada, los dispositivos contienen un registro limitado para Dell Threat Defense. Se recomienda encarecidamente que active el registro detallado en un dispositivo antes de intentar solucionar problemas o comunicarse con Dell Data Security ProSupport. Para obtener más información, consulte Números de teléfono de soporte internacional de Dell Data Security. Para obtener más información sobre cómo activar el registro detallado, consulte Cómo habilitar el registro detallado en Dell Threat Defense.

Los dispositivos no se eliminan automáticamente de la consola de Dell Threat Defense durante la desinstalación. Un administrador debe quitar manualmente el dispositivo de la consola del inquilino. Para obtener más información, consulte Cómo eliminar un dispositivo de la consola de administración de Dell Threat Defense.

Proporciona un resumen ejecutivo del uso de Dell Threat Defense en una organización, desde la cantidad de zonas y dispositivos hasta el porcentaje de dispositivos cubiertos por la cuarentena automática, los eventos de amenaza, las versiones de los agentes y los días sin conexión para los dispositivos.

Zones: muestra el número de zonas en la empresa.

Devices: muestra el número de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Policies: muestra el número de políticas creadas en la empresa.

Files Analyzed: muestra el número de archivos analizados en la empresa (en todos los dispositivos de la empresa).

Threat Events: muestra un gráfico de barras con eventos de amenazas no seguros, anómalos y en cuarentena, agrupados por día, para los últimos 30 días. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día.

Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days: muestra el número de dispositivos que han estado offline durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

El informe Resumen de eventos de amenaza muestra la cantidad de archivos identificados en dos de las clasificaciones de amenazas de Cylance: malware y PUP (programas potencialmente no deseados) e incluye un desglose para clasificaciones de subcategorías específicas de cada familia. Además, las listas de 10 dispositivos y propietarios de archivos principales con amenazas muestran conteos de eventos de amenazas para las familias de amenaza Malware, PUP y Uso doble.

Total Malware Events: muestra el número total de eventos de malware identificados en la empresa.

Total PUPs Events: muestra el número total de eventos de PUP identificados en la empresa.

Unsafe/Abnormal Malware Events: muestra el número total de eventos de malware no seguro y anómalo descubiertos en la empresa.

Unsafe/Abnormal PUP Events: muestra el número total de eventos de PUP no seguro y anómalo descubiertos en la empresa.

Malware Event Classifications: muestra un gráfico de barras con cada tipo de clasificación de malware para los eventos de amenaza que se detectan en los dispositivos de la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de malware encontrados para esa clasificación.

PUP Event Classifications: muestra un gráfico de barras con cada tipo de clasificación de programas potencialmente no deseados (PUP) de los eventos de amenazas que se detectan en los dispositivos de la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de PUP encontrados para esa clasificación.

Top 10 File Owners with the Most Threat Events: muestra una lista de los 10 principales propietarios de archivos que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

Top 10 Devices with the Most Threat Events: muestra una lista de los 10 dispositivos principales que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

El informe de resumen del dispositivo muestra varias medidas importantes centradas en el dispositivo. En Auto-Quarantine Coverage (Cobertura de cuarentena automática), se revela la cobertura de prevención de amenazas y se puede usar para mostrar el progreso. En Devices – Threat Defense Version Stats, se pueden identificar agentes de Threat Defense más antiguos. En Offline Days (Días sin conexión), se pueden indicar dispositivos que ya no se registran en la consola de Threat Defense y son candidatos para eliminación.

Total Devices: muestra el número total de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Auto-Quarantine Coverage: muestra el número de dispositivos que tienen una política con las opciones de cuarentena automática Unsafe y Abnormal seleccionadas; se considera que estos dispositivos están habilitados. Los dispositivos deshabilitados se asignan a una política que tiene una de estas opciones deshabilitadas o ambas. En el gráfico circular, se muestra el porcentaje de dispositivos que son asignados a una política con la cuarentena automática deshabilitada para Unsafe, Abnormal o ambas opciones.

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days: muestra el número de dispositivos que han estado offline durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

El informe de eventos de amenaza proporciona datos de eventos de amenazas que se detectan en la empresa. Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

# of Threat Events: muestra un gráfico de barras con los eventos de amenazas notificados en la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día. El gráfico de barras muestra los últimos 30 días.

Threat Events Table: muestra información de eventos de amenazas.

En el informe de dispositivos se muestra la cantidad de dispositivos que tiene para una familia de sistemas operativos (Windows y macOS).

# of Devices by OS: muestra un gráfico de barras con dispositivos organizados por los grupos más importantes del sistema operativo (Windows y macOS). Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de dispositivos en ese grupo de sistema operativo.

Devices Table: muestra una lista de nombres e información de los dispositivos en la empresa.

Un administrador de Dell Threat Defense puede exigir que el dispositivo de Threat Defense solicite una contraseña para desinstalar la aplicación, a fin de integrar una capa adicional de seguridad. Para obtener más información, consulte Cómo agregar o eliminar una contraseña de desinstalación en Dell Threat Defense.

La configuración básica solo muestra al comprador inicial como administrador en la consola de Dell Threat Defense. Para obtener más información, consulte Cómo agregar usuarios a la consola de administración de Dell Threat Defense.

Las políticas de dispositivos son esenciales para el funcionamiento de Dell Threat Defense. La configuración básica tiene desactivadas las características de prevención de amenazas avanzadas en la política "predeterminada". Es importante modificar la política "predeterminada" o crear una nueva política antes de implementar Threat Defense. Para obtener más información, consulte Cómo modificar políticas en Dell Threat Defense.

La consola de Dell Threat Defense ofrece una manera sencilla para generar un informe sobre el estado de las amenazas en un entorno. Para obtener más información, consulte Cómo generar informes en Dell Threat Defense.

La configuración básica de la consola de Dell Threat Defense actualiza automáticamente los dispositivos a la compilación más reciente. De manera opcional, un administrador de Threat Defense puede implementar compilaciones para probar zonas antes de la producción. Para obtener más información, consulte Cómo configurar las actualizaciones en Dell Threat Defense.