Cómo administrar Dell Threat Defense

La consola de Dell Threat Defense ofrece una evaluación detallada de los archivos "no seguros" o "anómalos" para ayudar a los administradores a mitigar correctamente las amenazas en el entorno.

Para evaluar un archivo:

1. En la consola, haga clic en la pestaña Protection (Protección).

2. En Protection, haga clic en una amenaza para obtener más información.

Cylance Score (Puntaje de Cylance): Cylance asigna un puntaje de 1 (limitado) a 100 (alto) en función de los atributos de la amenaza.

Quarantined by users in [Tenant] (En cuarentena por usuarios en [inquilino]): Qué acciones se realizaron en el archivo por parte de los usuarios dentro del entorno (inquilino).

Quarantined by all Cylance users (En cuarentena por todos los usuarios de Cylance): Qué acciones se realizaron en el archivo por parte de los usuarios dentro de todos los entornos de Cylance.

Classification (Clasificación): Identificación general del archivo o la amenaza.

First Found (Fecha de primera detección): Cuándo se encontró el archivo por primera vez en el entorno.

Last Found (Fecha de última detección): Cuándo se encontró el archivo por última vez en el entorno.

Global Quarantine (Cuarentena global): Agrega un archivo a la lista de cuarentena global para el entorno. Cada vez que el archivo aparezca en un dispositivo, se enviará automáticamente a cuarentena en la carpeta \q.

Safe (Seguro): Agrega un archivo a la lista de seguridad para un entorno. Si un archivo está actualmente en cuarentena, lo devolverá automáticamente a la ubicación original.

SHA256: El hash criptográfico de 256 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de apariciones conocidas.

MD5: El hash criptográfico de 128 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de apariciones conocidas.

Nota: Es posible que un archivo/amenaza solo tenga apariciones conocidas en SHA256 o MD5. Ambas se muestran para garantizar una vista completa del archivo o la amenaza.

Download File (Descargar archivo): Permite que un administrador descargue el archivo para realizar evaluaciones o pruebas adicionales.

Cylance Score (Puntaje de Cylance): Cylance asigna un puntaje de 1 (limitado) a 100 (alto) en función de los atributos de la amenaza.

AV Industry (Sector AV): Determina si los motores antivirus de otros fabricantes identifican el archivo como una amenaza mediante la comprobación del índice virustotal.com.

Search Google (Búsqueda en Google): Busca en Google los hashes y el nombre de archivo para obtener más información acerca del archivo o la amenaza.

Es posible que haya archivos identificados incorrectamente como amenazas dentro de un entorno. Los administradores pueden agregarlos a la lista global de seguridad para evitar que entren en cuarentena. Cualquier archivo que esté en cuarentena antes de que aparezca en la lista de seguridad volverá a la ubicación original.

Nota: Antes de colocar un elemento en una lista de seguridad, se recomienda encarecidamente que evalúe si presenta una amenaza.

Para colocar un archivo en una lista de seguridad:

1. En la consola, haga clic en la pestaña Protection (Protección).

2. En Protection, marque la amenaza que desea que aparezca en la lista de seguridad y, luego, haga clic en Safe (Seguro).

3. En la ventana emergente Action Confirmation (Confirmación de acción), seleccione una categoría de archivo en el menú desplegable. Esto ayuda con la clasificación de archivos/amenazas.

4. Ingrese un motivo para su ingreso en la lista de seguridad. Esto proporciona visibilidad en todo el entorno.
5. Haga clic en Yes (Sí) para confirmar el ingreso en la lista de seguridad.

Nota:

• Los elementos ya ingresados anteriormente en una lista de seguridad se pueden revisar y modificar en cualquier momento en la sección Settings > Global List (Configuración > Lista global) de la consola de Dell Threat Defense.
• Se puede ingresar archivos en una lista de seguridad a nivel global, de políticas o de dispositivos. En nuestro ejemplo, agregamos a una lista de seguridad a nivel global.

Un administrador puede poner proactivamente en cuarentena un archivo para que deje de atacar sus dispositivos; para ello, lo agrega a la lista global de cuarentena.

Para poner un archivo en cuarentena global:

1. En la consola, haga clic en la pestaña Protection (Protección).

2. En Protection, marque la amenaza que aparece en la lista de seguridad y, luego, haga clic en Global Quarantine (Cuarentena global)

3. En la ventana emergente Action Confirmation (Confirmación de acción), ingrese el motivo de la cuarentena. Esto ayuda a proporcionar visibilidad a otros administradores y administradores de zonas.
4. Haga clic en Yes (Sí) para confirmar la cuarentena global.

Nota:

• Los elementos ya ingresados anteriormente en cuarentena se pueden revisar y modificar en cualquier momento en la sección Settings > Global List (Configuración > Lista global) de la consola de Dell Threat Defense.
• Se pueden ingresar archivos en listas de seguridad a nivel global o de dispositivo. En nuestro ejemplo, hemos puesto en cuarentena a nivel global.

El instalador de Dell Threat Defense está disponible directamente dentro del inquilino. Si desea conocer los pasos para descargar Dell Threat Defense, consulte Cómo descargar Dell Threat Defense.

Para instalar Dell Threat Defense en un dispositivo, se debe obtener un token de instalación válido desde el inquilino. Si desea conocer los pasos para obtener un token de instalación, consulte Cómo obtener un token de instalación para Dell Threat Defense.

De forma predeterminada, los dispositivos contienen un registro limitado para Dell Threat Defense. Se recomienda encarecidamente que active el registro detallado en un dispositivo antes de intentar solucionar problemas o comunicarse con Dell Data Security Pro Support. Para obtener más información sobre cómo activar el registro detallado, consulte Cómo habilitar el registro detallado para Dell Threat Defense.

Los dispositivos no se eliminan automáticamente de la consola de Dell Threat Defense durante la desinstalación. Un administrador debe quitar manualmente el dispositivo de la consola del inquilino. Para obtener más información, consulte Cómo eliminar un dispositivo en Dell Threat Defense.

Proporciona un resumen ejecutivo del uso de Dell Threat Defense en una organización, desde la cantidad de zonas y dispositivos hasta el porcentaje de dispositivos cubiertos por la cuarentena automática, los eventos de amenaza, las versiones de los agentes y los días sin conexión para los dispositivos.

Zones (Zonas): muestra la cantidad de zonas en la organización.

Devices (Dispositivos): muestra la cantidad de dispositivos en la organización. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Policies (Políticas): muestra la cantidad de políticas creadas en la organización.

Files Analyzed (Archivos analizados): muestra la cantidad de archivos analizados en la organización (en todos los dispositivos de la organización).

Threat Events (Eventos de amenaza): muestra un gráfico de barras con eventos de amenazas no seguros, anómalos y en cuarentena, agrupados por día, para los últimos 30 días. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad total de eventos de amenazas notificados en ese día.

Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

Devices – Dell Threat Defense Agent Versions (Dispositivos: versiones del agente de Dell Threat Defense): muestra un gráfico de barras que representa la cantidad de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days (Días sin conexión): muestra la cantidad de dispositivos que han estado sin conexión durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

Devices – Dell Threat Defense Agent Versions (Dispositivos: versiones del agente de Dell Threat Defense): muestra un gráfico de barras que representa la cantidad de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

El informe Resumen de eventos de amenaza muestra la cantidad de archivos identificados en dos de las clasificaciones de amenazas de Cylance: malware y PUP (programas potencialmente no deseados) e incluye un desglose para clasificaciones de subcategorías específicas de cada familia. Además, las listas de 10 dispositivos y propietarios de archivos principales con amenazas muestran conteos de eventos de amenazas para las familias de amenaza Malware, PUP y Uso doble.

Total Malware Events (Eventos de malware en total): muestra la cantidad total de eventos de malware identificados en la organización.

Total PUPs Events (Eventos de PUP en total): muestra la cantidad total de eventos de PUP identificados en la organización.

Unsafe/Abnormal Malware Events (Eventos de malware no seguros/anómalos): muestra la cantidad total de eventos de malware no seguro y anómalo descubiertos en la organización.

Unsafe/Abnormal PUP Events (Eventos de PUP no seguros/anómalos): muestra la cantidad total de eventos de PUP no seguro y anómalo descubiertos en la organización.

Malware Event Classifications (Clasificaciones de eventos de malware): muestra un gráfico de barras con cada tipo de clasificación de malware para los eventos de amenaza detectados en los dispositivos de la organización. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad total de eventos de malware encontrados para esa clasificación.

PUP Event Classifications (Clasificaciones de eventos de PUP): muestra un gráfico de barras con cada tipo de clasificación de programas potencialmente no deseados (PUP) para los eventos de amenaza detectados en los dispositivos de la organización. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad total de eventos de PUP encontrados para esa clasificación.

Top 10 File Owners with the Most Threat Events (Los 10 principales propietarios de archivos con la mayor cantidad de eventos de amenazas): muestra una lista de los 10 principales propietarios de archivos que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

Top 10 Devices with the Most Threat Events (Los 10 principales dispositivos con la mayor cantidad de eventos de amenazas): muestra una lista de los 10 dispositivos principales que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

El informe de resumen del dispositivo muestra varias medidas importantes centradas en el dispositivo. En Auto-Quarantine Coverage (Cobertura de cuarentena automática), se revela la cobertura de prevención de amenazas y se puede usar para mostrar el progreso. En Devices – Threat Defense Version Stats (Dispositivos: estadísticas de la versión de Threat Defense), se pueden identificar agentes de Threat Defense más antiguos. En Offline Days (Días sin conexión), se pueden indicar dispositivos que ya no se registran en la consola de Threat Defense y son candidatos para eliminación.

Total Devices (Total de dispositivos): muestra la cantidad total de dispositivos en la organización. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Auto-Quarantine Coverage (Cobertura de cuarentena automática): muestra la cantidad de dispositivos que tienen una política que tiene seleccionadas las opciones de cuarentena automática Unsafe (Elementos no seguros) y Abnormal (Elementos anómalos); se considera que estos dispositivos están habilitados. Los dispositivos deshabilitados se asignan a una política que tiene una de estas opciones deshabilitadas o ambas. En el gráfico circular, se muestra el porcentaje de dispositivos asignados a una política con la cuarentena automática deshabilitada para Unsafe, Abnormal o ambas opciones.

Devices – Dell Threat Defense Agent Versions (Dispositivos: versiones del agente de Dell Threat Defense): muestra un gráfico de barras que representa la cantidad de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days (Días sin conexión): muestra la cantidad de dispositivos que han estado sin conexión durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

El informe de eventos de amenaza proporciona datos de eventos de amenazas detectados en la organización. Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

# of Threat Events (Cant. de eventos de amenazas): muestra un gráfico de barras con los eventos de amenazas notificados en la organización. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad total de eventos de amenazas notificados en ese día. El gráfico de barras muestra los últimos 30 días.

Threat Events Table (Tabla de eventos de amenazas): muestra información de eventos de amenazas.

En el informe de dispositivos se muestra la cantidad de dispositivos que tiene para una familia de sistemas operativos (Windows y macOS).

# of Devices by OS (Cant. de dispositivos por SO): muestra un gráfico de barras con dispositivos organizados por los grupos más importantes de SO (Windows y macOS). Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad total de dispositivos en ese grupo de SO.

Devices Table (Tabla de dispositivos): muestra una lista de nombres e información de los dispositivos en la organización.

Un administrador de Dell Threat Defense puede exigir que el dispositivo de Threat Defense solicite una contraseña para desinstalar la aplicación, a fin de integrar una capa adicional de seguridad. Para obtener más información, consulte Cómo agregar una contraseña de desinstalación en Dell Threat Defense.

La configuración básica solo muestra al comprador inicial como administrador en la consola de Dell Threat Defense. Para obtener más información, consulte Cómo agregar usuarios a la consola de administración de Dell Threat Defense.

Las políticas de dispositivos son esenciales para el funcionamiento de Dell Threat Defense. La configuración básica tiene desactivadas las funciones avanzadas de prevención de amenazas en la política "predeterminada". Es importante modificar la política "predeterminada" o crear una nueva política antes de implementar Threat Defense. Para obtener más información, consulte Cómo modificar políticas en Dell Threat Defense.

La consola de Dell Threat Defense ofrece una manera sencilla para generar un informe sobre el estado de las amenazas en un entorno. Para obtener más información, consulte Cómo generar informes en Dell Threat Defense.

La configuración básica de la consola de Dell Threat Defense actualiza automáticamente los dispositivos a la compilación más reciente. De manera opcional, un administrador de Threat Defense puede implementar compilaciones para probar zonas antes de la producción. Para obtener más información, consulte Cómo configurar las actualizaciones en Dell Threat Defense.