Article Number: 000126118
No corresponde
De manera predeterminada, se sugiere que Advanced Threat Prevention (ATP) se ejecute inicialmente en un modo de aprendizaje. Toda la información sobre amenazas se recopila para brindar a los administradores la flexibilidad de administrar las amenazas y los programas potencialmente no deseados (PUP, por sus siglas en inglés) dentro de su entorno e incluir aplicaciones de misión crítica en una lista de permitidos.
Para obtener más información sobre la modificación de políticas en Dell Endpoint Security Suite Enterprise, consulte Cómo modificar políticas en Dell Data Protection Server.
Para obtener más información y reglas sobre la creación de exclusiones en Dell Endpoint Security Suite Enterprise, consulte Cómo agregar exclusiones en Dell Endpoint Security Suite Enterprise.
| Valor de política | Valor sugerido | Descripción de la política |
|---|---|---|
| Advanced Threat Prevention (switch principal) |
Activado |
Este valor de política determina si los clientes pueden consumir políticas para Advanced Threat Prevention. Esto también permite acciones de archivos y control de ejecución, que no se pueden deshabilitar. El control de ejecución abarca Background Threat Detection y File Watcher. Este módulo dentro de ATP analiza y abstrae las intenciones de un ejecutable portátil (PE, por sus siglas en inglés) en función de sus acciones y comportamientos previstos. Todos los archivos detectados por Execution Control, además de BTD y File Watcher, se procesan en función de las políticas que se correlacionan con la cuarentena automática. Estas acciones se realizan con base en la ubicación de ruta absoluta del ejecutable portátil. |
| Acciones de archivos: |
|
|
| Cuarentena automática ejecutable no segura con control ejecutable habilitado |
Deshabilitado | Esto determina si los archivos que se consideran una amenaza grave se ponen en cuarentena automáticamente. |
| Carga automática ejecutable no segura habilitada |
Habilitado |
Establece si las amenazas graves se cargan en la nube para realizar una comprobación de segunda opinión sobre estas amenazas. |
| Cuarentena automática ejecutable anómala con control ejecutable habilitado |
Deshabilitado |
Esto determina si los archivos que se consideran una amenaza potencial se ponen en cuarentena automáticamente. |
| Carga automática ejecutable anómala habilitada |
Habilitado |
Establece si las amenazas potenciales se cargan en la nube para realizar una comprobación de segunda opinión sobre estas amenazas. |
| Permitir la ejecución de archivos en Exclude Folders |
Habilitado |
Esto se aplica a la política de excluir carpetas específicas dentro del grupo de políticas de ajustes de protección. Esto permite que los ejecutables dentro de las carpetas excluidas se ejecuten incluso si se ponen en cuarentena automáticamente. |
| Eliminación automática |
Deshabilitado |
Esto habilita el temporizador en la política Días hasta la eliminación. Esto se aplica a los elementos en cuarentena, una vez transcurridos los Días hasta la eliminación, las amenazas dentro de una carpeta de cuarentena se eliminan automáticamente si esta política está habilitada. |
| Días hasta la eliminación |
14 |
Esto determina el número de días, por amenaza, que un elemento permanece en la carpeta de cuarentena local. |
| Acciones de memoria |
||
| Protección de memoria habilitada |
Habilitado |
Esto activa la funcionalidad Protección de memoria: el módulo de Protección de memoria analiza e interpreta las intenciones de las aplicaciones en ejecución mediante el monitoreo de las interacciones entre las aplicaciones y el sistema operativo en la memoria. |
| Habilitar Exclude en los archivos ejecutables. |
Habilitado |
Esto permite excluir ejecutables específicos de la Protección de memoria. |
| Excluir archivos ejecutables |
En blanco |
Todas las exclusiones agregadas se deben especificar mediante la ruta relativa de ese archivo ejecutable (excluya la letra de la unidad de la ruta). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Explotaciones: Pivote de pila |
Alerta |
La pila para un subproceso se reemplazó por una pila diferente. Por lo general, la computadora asigna una sola pila para un subproceso. Un atacante utilizaría una pila diferente para controlar la ejecución de una manera que la prevención de ejecución de datos (DEP, por sus siglas en inglés) no pueda bloquear. Se aplica a: Windows, Mac |
| Explotaciones: Stack Protect |
Alerta |
Se modificó la protección de memoria de la pila de un subproceso para habilitar el permiso de ejecución. La memoria de pila no debe ser ejecutable; por lo general, esto significa que un atacante se prepara para ejecutar código malicioso almacenado en la memoria de pila como parte de una vulnerabilidad, un intento que la prevención de ejecución de datos (DEP) bloquearía de otro modo. Se aplica a: Windows, Mac |
| Explotaciones: Overwrite Code |
Alerta |
El código que reside en la memoria de un proceso se modificó mediante una técnica que puede indicar un intento de omitir la prevención de ejecución de datos (DEP). Se aplica a: Windows |
| Explotaciones: Búsqueda de memoria del escáner |
Alerta |
Un proceso intenta leer datos válidos de seguimiento de banda magnética desde otro proceso. Por lo general, se relaciona con computadoras de punto de venta (POS) Se aplica a: Windows |
| Explotaciones: Carga útil maliciosa |
Alerta |
Un proceso intenta leer datos válidos de seguimiento de banda magnética desde otro proceso. Por lo general, se relaciona con computadoras de punto de venta (POS) Se aplica a: Windows |
| Explotaciones: Carga útil maliciosa |
Alerta |
Se detectó un código de shell genérico y detección de carga útil asociado con una explotación. Se aplica a: Windows |
| Inyección del proceso: Asignación remota de memoria |
Alerta |
Un proceso ha asignado memoria a otro proceso. La mayoría de las asignaciones solo se producen dentro del mismo proceso. Por lo general, esto indica un intento de insertar código o datos en otro proceso, que puede ser un primer paso para reforzar una presencia maliciosa en una computadora. Se aplica a: Windows, Mac |
| Inyección del proceso: Asignación remota de memoria |
Alerta |
Un proceso ha introducido código o datos en otro proceso. Esto puede indicar un intento de comenzar a ejecutar código en otro proceso y reforzar una presencia maliciosa. Se aplica a: Windows, Mac |
| Inyección del proceso: Escritura remota en la memoria |
Alerta |
Un proceso modificó la memoria en otro proceso. Por lo general, se trata de un intento de almacenar código o datos en una memoria previamente asignada (consulte OutofProcessAllocation), pero es posible que un atacante esté tratando de sobrescribir la memoria existente para desviar la ejecución con fines maliciosos. Se aplica a: Windows, Mac |
| Inyección del proceso: Escritura remota de PE en la memoria |
Alerta |
Un proceso modificó la memoria en otro proceso para que contenga una imagen ejecutable. Por lo general, esto indica que un atacante está intentando ejecutar código sin escribir primero ese código en el disco. Se aplica a: Windows, Mac |
| Inyección del proceso: Sobrescribir código de forma remota |
Alerta |
Un proceso modificó la memoria ejecutable en otro proceso. En condiciones normales, la memoria ejecutable no se modifica, en especial, a través de otro proceso. Por lo general, esto indica un intento de desviar la ejecución en otro proceso. Se aplica a: Windows, Mac |
| Inyección del proceso: Quitar asignación remota de memoria |
Alerta |
Un proceso eliminó un archivo ejecutable de Windows de la memoria de otro proceso. Esto puede indicar la intención de reemplazar la imagen ejecutable por una copia modificada para desviar la ejecución. Se aplica a: Windows, Mac |
| Inyección del proceso: Creación remota de subprocesos |
Alerta |
Un proceso ha creado un subproceso en otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso. Se aplica a: Windows, Mac |
| Inyección del proceso: APC remoto programado |
Alerta |
Un proceso ha desviado la ejecución de un subproceso de otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso. Se aplica a: Windows |
| Inyección del proceso: Inyección de DYLD (Solo Mac OS X) |
Alerta |
Se estableció una variable de entorno que provoca que se inyecte una biblioteca compartida en un proceso iniciado. Los ataques pueden modificar la lista de aplicaciones, como Safari, o reemplazar aplicaciones con scripts bash, que hacen que sus módulos se carguen de forma automática cuando se inicia una aplicación. Se aplica a: Mac |
| Escalación: Lectura de LSASS |
Alerta |
Se ha accedido a la memoria que pertenece al proceso de autoridad de seguridad local de Windows de una manera que indica un intento de obtener las contraseñas de los usuarios. Se aplica a: Windows |
| Escalación: Asignación de ceros |
Alerta |
Se asignó una página nula. Por lo general, la región de memoria se reserva, pero en ciertas circunstancias, se puede asignar. Los atacantes pueden usar esto para configurar la escalación de privilegios mediante el aprovechamiento de algunas vulnerabilidades de anular referencias nulas conocidas, por lo general, en el kernel. Se aplica a: Windows, Mac |
| Execution Control (Control de ejecución) |
||
| Impedir el apagado del servicio desde el dispositivo |
Deshabilitado |
Cuando está activado, impide la capacidad de detener el servicio ATP. Esto también evita que se desinstale la aplicación. |
| Cerrar procesos en ejecución no seguros y los subprocesos |
Deshabilitado |
Habilitar esta característica permite la detección y finalización de cualquier amenaza basada en memoria que genere subprocesos. |
| Detección de amenazas de fondo |
Ejecutar una vez |
Esto determina si se ejecuta un escaneo de archivos existentes en el dispositivo. Se puede establecer en Deshabilitado, Ejecutar una vez o Ejecutar de forma periódica. Si la opción Buscar nuevos archivos está activada, se recomienda configurar la Detección de amenazas en segundo plano en Ejecutar una vez. Debe comprobar los archivos existentes una sola vez si también está buscando archivos nuevos y actualizados. |
| Buscar nuevos archivos |
Habilitado |
Establecer esto en Habilitado permite la detección y el análisis de cualquier archivo que se haya escrito recientemente en el dispositivo o que se haya cambiado.
Nota: Se sugiere tener deshabilitada la opción Buscar nuevos archivos en dispositivos de alto tráfico (como servidores de aplicaciones o archivos), ya que esto podría causar aumentos inesperados en la latencia del disco, ya que cada archivo tendría que analizarse a medida que se escribe en el disco. Esto se mitiga de manera predeterminada, ya que todos los ejecutables portátiles que intentan ejecutarse se analizan a medida que intentan ejecutarse. Esto se puede mitigar aún más mediante la habilitación de Detección de amenazas en segundo plano y su configuración como Ejecutar de forma periódica.
|
| Configurar el tamaño máximo de archivo para escanear |
150 |
Configura el tamaño máximo de archivo descomprimido que se puede analizar El tamaño está en megabytes. |
| Configuración de protección | ||
| Habilitar excluir carpetas específicas (incluye subcarpetas) | Habilitado | Esto permite definir carpetas en File Watcher y Execution Control según la política y permitir la ejecución de archivos en carpetas excluidas que no se monitorean. |
| Excluir carpetas específicas (incluye subcarpetas) | -En blanco- | Define una lista de carpetas en File Watcher que no se monitorean; la política de Permitir la ejecución de archivos en carpetas excluidas impide la cuarentena de cualquier archivo que se ejecute desde estos directorios. Esta política impide el escaneo de estos directorios mediante Buscar nuevos archivos o Detección de amenazas en segundo plano. Todas las exclusiones agregadas se deben especificar mediante la ruta absoluta de ese archivo ejecutable (incluida la letra de la unidad de la ruta). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control (Control de aplicaciones) | ||
| Application Control (Control de aplicaciones) | Deshabilitado | Esto permite restringir los cambios basados en aplicaciones en el dispositivo, no se pueden agregar aplicaciones nuevas, no se pueden eliminar aplicaciones y no se pueden modificar ni actualizar aplicaciones. |
| Carpetas permitidas por Application Control | -En blanco- | Esto define una lista de carpetas en el control de aplicaciones que no se monitorean. Todas las exclusiones agregadas se deben especificar mediante la ruta absoluta de ese archivo ejecutable (incluida la letra de la unidad de la ruta). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Habilitar ventana de cambio | Deshabilitado | Cuando está habilitada, esto deshabilita el control de aplicaciones de forma temporal, lo que permite que se produzcan modificaciones en el entorno. |
| Control de scripts | ||
| Control de scripts | Habilitado | Permite el uso del Control de scripts El Control de scripts monitorea las aplicaciones y los servicios que pueden ejecutar acciones dentro del sistema operativo. Comúnmente, estas aplicaciones se denominan intérpretes. ATP monitorea estas aplicaciones y servicios en busca de scripts que intenten ejecutarse y, en función de las políticas, notifica su acción o bloquea la realización de las acciones. Estas decisiones se toman en función del nombre del script y la ruta relativa en que se ejecutó el script. |
| Modo de control de script | Alerta | Cuando se configura en Bloquear, no se ejecutan elementos basados en script. Esto incluye cualquier script activo, script basado en macros o script basado en PowerShell. En versiones posteriores, estos se separan en sus propias políticas. Se aplica a: 1.2.1371 y compilaciones anteriores de ESSE |
| Script activo | Alerta | Cuando se establece en Bloquear, esto deshabilita la capacidad de ejecutar JavaScript, VBscript, batch, Python, Perl, PHP, Ruby y muchos otros scripts. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Macros | Alerta | Configurar esto en Alerta permite que el análisis de macros dentro de los documentos determine si están ejecutando comandos potencialmente maliciosos. Si se percibe una amenaza, el ajuste de bloquear impide que la macro se ejecute. Las macros que se ejecutan durante el inicio pueden impedir la carga de la aplicación. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Powershell | Alerta | Cuando se establece en Bloquear, esto impide que los scripts basados en PowerShell se ejecuten en el entorno. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Consola de PowerShell | Allow (Permitir) | Cuando se establece en Bloquear, esto impide que se inicien la consola de PowerShell V3 y el ISE. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Habilitar Aprobar scripts en carpetas (y subcarpetas) | Habilitado | Esto permite excluir ubicaciones en Script Control para que no se analicen. |
| Aprobar scripts en carpetas (y subcarpetas) | -En blanco- | En esta sección, se detallan las carpetas del Control de scripts que no se monitorean.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Permiso global | -En blanco- | Esta política aprovecha el modo desconectado para ESSE. Esto permite a los clientes tener un entorno completamente separado de Internet. Esta política determina las rutas de amenaza y los certificados específicos que se deben permitir dentro del entorno. |
| Lista de cuarentena | -En blanco- | Esta política aprovecha el modo desconectado para ESSE. Esto permite a los clientes tener un entorno completamente separado de Internet. Esta es una lista definida de hashes incorrectos conocidos que se ponen en cuarentena de forma automática cuando el agente los encuentra. |
| Lista de seguridad | -En blanco- | Esta política aprovecha el modo desconectado para ESSE. Esto permite a los clientes tener un entorno completamente separado de Internet. Esta política determina hashes de amenazas específicos que se deben permitir dentro del entorno. |
| Configuración del agente | ||
| Suprimir notificaciones emergentes | Habilitado | Esto habilita o deshabilita la capacidad de ESSE para mostrar un cuadro de diálogo de sistema. |
| Nivel mínimo de notificación emergente | Alta | Esto define lo que se notifica al usuario final si la política Suprimir notificaciones emergentes está deshabilitada. Alta
Medio
Bajo
|
| Habilitar la seguridad del BIOS | Habilitado | Realiza comprobaciones de integridad del BIOS en computadoras Dell soportadas (computadoras de clase empresarial 2016 y posteriores) |
| Habilitar la carga automática de archivos de registro | Habilitado | Esto permite que los agentes carguen automáticamente sus archivos de registro para el plug-in de ATP a la nube todos los días a la medianoche o a 100 MB, lo que ocurra primero. |
| Valor de política | Valor sugerido | Descripción de la política |
|---|---|---|
| Advanced Threat Prevention (switch principal) |
Activado |
Este valor de política determina si los clientes pueden consumir políticas para Advanced Threat Prevention. Esto también permite acciones de archivos y control de ejecución, que no se pueden deshabilitar. El control de ejecución abarca Background Threat Detection y File Watcher. Este módulo dentro de ATP analiza y abstrae las intenciones de un ejecutable portátil (PE, por sus siglas en inglés) en función de sus acciones y comportamientos previstos. Todos los archivos detectados por Execution Control, BTD y File Watcher se procesan en función de las políticas que se correlacionan con la cuarentena automática. Estas acciones se realizan con base en la ubicación de ruta absoluta del ejecutable portátil. |
| Acciones de archivos: |
|
|
| Cuarentena automática ejecutable no segura con control ejecutable habilitado |
Habilitado | Esto determina si los archivos que se consideran una amenaza grave se ponen en cuarentena automáticamente. |
| Carga automática ejecutable no segura habilitada |
Habilitado |
Establece si las amenazas graves se cargan en la nube para realizar una comprobación de segunda opinión sobre estas amenazas. |
| Cuarentena automática ejecutable anómala con control ejecutable habilitado |
Habilitado |
Esto determina si los archivos que se consideran una amenaza potencial se ponen en cuarentena automáticamente. |
| Carga automática ejecutable anómala habilitada |
Habilitado |
Establece si las amenazas potenciales se cargan en la nube para realizar una comprobación de segunda opinión sobre estas amenazas. |
| Permitir la ejecución de archivos en Exclude Folders |
Habilitado |
Esto se aplica a la política de excluir carpetas específicas dentro del grupo de políticas de ajustes de protección. Esto permite que los ejecutables dentro de las carpetas excluidas se ejecuten incluso si se ponen en cuarentena automáticamente. |
| Eliminación automática |
Habilitado |
Esto habilita el temporizador en los días hasta la política eliminada; esto también se aplica a los elementos en cuarentena. Una vez transcurridos los días hasta la eliminación, las amenazas dentro de una carpeta de cuarentena se eliminan automáticamente si esta política está habilitada. |
| Días hasta la eliminación |
14 |
Determina la cantidad de días, por amenaza, que un elemento permanece en la carpeta de cuarentena local. |
| Acciones de memoria |
||
| Protección de memoria habilitada |
Habilitado |
Esto habilita la funcionalidad Protección de memoria, el módulo de protección de memoria analiza e interpreta las intenciones de ejecutar aplicaciones mediante el monitoreo de las interacciones entre las aplicaciones y el sistema operativo en la memoria. |
| Habilitar Exclude en los archivos ejecutables. |
Habilitado |
Esto permite excluir ejecutables específicos de la Protección de memoria. |
| Excluir archivos ejecutables |
Varía según el entorno |
Todas las exclusiones agregadas se deben especificar mediante la ruta relativa de ese archivo ejecutable (excluya la letra de la unidad de la ruta). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Explotaciones: Pivote de pila |
Terminar |
La pila para un subproceso se reemplazó por una pila diferente. Por lo general, la computadora solo asigna una única pila para un subproceso. Un atacante utilizaría una pila diferente para controlar la ejecución de una manera que la prevención de ejecución de datos (DEP, por sus siglas en inglés) no bloquee. Se aplica a: Windows, Mac |
| Explotaciones: Stack Protect |
Terminar |
Se modificó la protección de memoria de la pila de un subproceso para habilitar el permiso de ejecución. La memoria de pila no debe ser ejecutable; por lo general, esto significa que un atacante se prepara para ejecutar código malicioso almacenado en la memoria de pila como parte de una vulnerabilidad, un intento que la prevención de ejecución de datos (DEP) no bloquearía de otro modo. Se aplica a: Windows, Mac |
| Explotaciones: Overwrite Code |
Terminar |
El código que reside en la memoria de un proceso se modificó mediante una técnica que puede indicar un intento de omitir la prevención de ejecución de datos (DEP). Se aplica a: Windows |
| Explotaciones: Búsqueda de memoria del escáner |
Terminar |
Un proceso intenta leer datos válidos de seguimiento de banda magnética desde otro proceso, por lo general, relacionado con computadoras de punto de venta (POS). Se aplica a: Windows |
| Explotaciones: Carga útil maliciosa |
Terminar |
Se detectó un código de shell genérico y detección de carga útil asociado con una explotación. Se aplica a: Windows |
| Inyección del proceso: Asignación remota de memoria |
Terminar |
Un proceso ha asignado memoria a otro proceso. La mayoría de las asignaciones solo se producen dentro del mismo proceso. Por lo general, esto indica un intento de insertar código o datos en otro proceso, que puede ser un primer paso para reforzar una presencia maliciosa en una computadora. Se aplica a: Windows, Mac |
| Inyección del proceso: Asignación remota de memoria |
Terminar |
Un proceso ha introducido código o datos en otro proceso. Esto puede indicar un intento de comenzar a ejecutar código en otro proceso y reforzar una presencia maliciosa. Se aplica a: Windows, Mac |
| Inyección del proceso: Escritura remota en la memoria |
Terminar |
Un proceso modificó la memoria en otro proceso. Por lo general, se trata de un intento de almacenar código o datos en una memoria previamente asignada (consulte OutofProcessAllocation), pero es posible que un atacante esté tratando de sobrescribir la memoria existente para desviar la ejecución con fines maliciosos. Se aplica a: Windows, Mac |
| Inyección del proceso: Escritura remota de PE en la memoria |
Terminar |
Un proceso modificó la memoria en otro proceso para que contenga una imagen ejecutable. Por lo general, esto indica que un atacante está intentando ejecutar código sin escribir primero ese código en el disco. Se aplica a: Windows, Mac |
| Inyección del proceso: Sobrescribir código de forma remota |
Terminar |
Un proceso modificó la memoria ejecutable en otro proceso. En condiciones normales, la memoria ejecutable no se modifica, en especial, a través de otro proceso. Por lo general, esto indica un intento de desviar la ejecución en otro proceso. Se aplica a: Windows, Mac |
| Inyección del proceso: Quitar asignación remota de memoria |
Terminar |
Un proceso eliminó un archivo ejecutable de Windows de la memoria de otro proceso. Esto puede indicar la intención de reemplazar la imagen ejecutable por una copia modificada para desviar la ejecución. Se aplica a: Windows, Mac |
| Inyección del proceso: Creación remota de subprocesos |
Terminar |
Un proceso ha creado un subproceso en otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso. Se aplica a: Windows, Mac |
| Inyección del proceso: APC remoto programado |
Terminar |
Un proceso ha desviado la ejecución de un subproceso de otro proceso. Un atacante utiliza esto para activar una presencia maliciosa que se inyectó en otro proceso. Se aplica a: Windows |
| Inyección del proceso: Inyección de DYLD (Solo Mac OS X) |
Terminar |
Se estableció una variable de entorno que provoca que se inyecte una biblioteca compartida en un proceso iniciado. Los ataques pueden modificar la lista de aplicaciones, como Safari, o reemplazar aplicaciones con scripts bash, que hacen que sus módulos se carguen de forma automática cuando se inicia una aplicación. Se aplica a: Mac |
| Escalación: Lectura de LSASS |
Terminar |
Se ha accedido a la memoria que pertenece al proceso de autoridad de seguridad local de Windows de una manera que indica un intento de obtener las contraseñas de los usuarios. Se aplica a: Windows |
| Escalación: Asignación de ceros |
Terminar |
Se asignó una página nula. Por lo general, la región de memoria se reserva, pero en ciertas circunstancias, se puede asignar. Los atacantes pueden usar esto para configurar la escalación de privilegios mediante el aprovechamiento de algunas vulnerabilidades de anular referencias nulas conocidas, por lo general, en el kernel. Se aplica a: Windows, Mac |
| Execution Control (Control de ejecución) |
||
| Impedir el apagado del servicio desde el dispositivo |
Habilitado |
Cuando está activado, impide la capacidad de detener el servicio ATP, incluso como computadora. Esto también evita que se desinstale la aplicación. |
| Cerrar procesos en ejecución no seguros y los subprocesos |
Habilitado |
Habilitar esta característica permite la detección y finalización de cualquier amenaza basada en memoria que genere subprocesos. |
| Detección de amenazas de fondo |
Ejecutar una vez |
Esto determina si se ejecuta un escaneo de archivos existentes en el dispositivo. Se puede establecer en Deshabilitado, Ejecutar una vez o Ejecutar de forma periódica. Si la opción Buscar nuevos archivos está activada, se recomienda configurar la Detección de amenazas en segundo plano en Ejecutar una vez. Debe comprobar los archivos existentes una sola vez si también está buscando archivos nuevos y actualizados. |
| Buscar nuevos archivos |
Habilitado |
Establecer esto en Habilitado permite la detección y el análisis de cualquier archivo que se haya escrito recientemente en el dispositivo o que se haya cambiado.
Nota: Se sugiere tener deshabilitada la opción Buscar nuevos archivos en dispositivos de alto tráfico (como servidores de aplicaciones o archivos), ya que esto podría causar aumentos inesperados en la latencia del disco, ya que cada archivo tendría que analizarse a medida que se escribe en el disco. Esto se mitiga de manera predeterminada, ya que todos los ejecutables portátiles que intentan ejecutarse se analizan a medida que intentan ejecutarse. Esto se puede mitigar aún más mediante la habilitación de Detección de amenazas en segundo plano y su configuración como Ejecutar de forma periódica.
|
| Configurar el tamaño máximo de archivo para escanear |
150 |
Configura el tamaño máximo de archivo descomprimido que se puede analizar El tamaño está en megabytes. |
| Configuración de protección | ||
| Habilitar excluir carpetas específicas (incluye subcarpetas) | Habilitado | Esto permite definir carpetas en File Watcher y Execution Control en función de la política Permitir la ejecución de archivos en carpetas excluidas que no se monitorean. |
| Excluir carpetas específicas (incluye subcarpetas) | Varía según el entorno | Esto define una lista de carpetas en File Watcher que no se monitorean. Esta política de Permitir la ejecución de archivos en carpetas excluidas impide la cuarentena de cualquier archivo que se ejecute desde estos directorios. Esta política impide el escaneo de estos directorios mediante Buscar nuevos archivos o Detección de amenazas en segundo plano. Todas las exclusiones agregadas se deben especificar mediante la ruta absoluta de ese archivo ejecutable (incluida la letra de la unidad de la ruta). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control (Control de aplicaciones) | ||
| Application Control (Control de aplicaciones) | Deshabilitado | Esto permite restringir los cambios basados en aplicaciones en el dispositivo. No se pueden agregar aplicaciones nuevas, no se pueden eliminar aplicaciones y no se pueden modificar ni actualizar aplicaciones. |
| Carpetas permitidas por Application Control | -En blanco- | Esto define una lista de carpetas en el control de aplicaciones que no se monitorean. Todas las exclusiones agregadas se deben especificar mediante la ruta absoluta de ese archivo ejecutable (incluida la letra de la unidad de la ruta). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Habilitar ventana de cambio | Deshabilitado | Cuando está habilitada, esto deshabilita el control de aplicaciones de forma temporal, lo que permite que se produzcan modificaciones en el entorno. |
| Control de scripts | ||
| Control de scripts | Habilitado | Permite el uso del Control de scripts El Control de scripts monitorea las aplicaciones y los servicios que pueden ejecutar acciones dentro del sistema operativo. Comúnmente, estas aplicaciones se denominan intérpretes. ATP monitorea estas aplicaciones y servicios en busca de scripts que intenten ejecutarse y, en función de las políticas, notifica su acción o bloquea la realización de las acciones. Estas decisiones se toman en función del nombre del script y la ruta relativa desde la que se ejecutó el script. |
| Modo de control de script | Bloquear | Cuando se configura en Bloquear, no se ejecutan elementos basados en script. Esto incluye cualquier script activo, script basado en macros o script basado en PowerShell. En versiones posteriores, estos se separan en sus propias políticas. Se aplica a: 1.2.1371 y compilaciones anteriores de ESSE |
| Script activo | Bloquear | Cuando se establece en Bloquear, deshabilita la capacidad de ejecutar JavaScript, VBscript, batch, Python, Perl, PHP, Ruby y muchos otros scripts. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Macros | Bloquear | Configurar esto en Alerta permite que el análisis de macros dentro de los documentos determine si están ejecutando comandos potencialmente maliciosos. Si se percibe una amenaza, el ajuste de “bloquear” impide que la macro se ejecute. Las macros que se ejecutan durante el inicio pueden impedir la carga de la aplicación. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Powershell | Bloquear | Cuando se establece en Bloquear, esto impide que los scripts basados en PowerShell se ejecuten en el entorno. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Consola de PowerShell | Allow (Permitir) | Cuando se establece en Bloquear, impide que se inicien la consola de PowerShell V3 y el ISE. Se aplica a: 1.2.1391 y compilaciones posteriores de ESSE. |
| Habilitar Aprobar scripts en carpetas (y subcarpetas) | Habilitado | Esto permite excluir ubicaciones del Control de scripts para que no se analicen. |
| Aprobar scripts en carpetas (y subcarpetas) | Varía según el entorno | En esta sección, se detallan las carpetas del Control de scripts que no se monitorean.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Permiso global | Varía según el entorno | Esta política aprovecha el modo desconectado para ESSE. Esto permite que los clientes tengan un entorno completamente separado de Internet. Esta política determina las rutas de amenaza y los certificados específicos que se deben permitir dentro del entorno. |
| Lista de cuarentena | Varía según el entorno | Esta política aprovecha el modo desconectado para ESSE. Esto permite que los clientes tengan un entorno completamente separado de Internet. Esta es una lista definida de hashes incorrectos conocidos que se ponen en cuarentena de forma automática cuando el agente los encuentra. |
| Lista de seguridad | Varía según el entorno | Esta política aprovecha el modo desconectado para ESSE. Esto permite que los clientes tengan un entorno completamente separado de Internet. Esta política determina hashes de amenazas específicos que se deben permitir dentro del entorno. |
| Configuración del agente | ||
| Suprimir notificaciones emergentes | Deshabilitado | Esto habilita o deshabilita la capacidad de ESSE para mostrar un cuadro de diálogo de sistema. |
| Nivel mínimo de notificación emergente | Alta | Esto define lo que se notifica al usuario final si la política Suprimir notificaciones emergentes está deshabilitada. Alta
Medio
Bajo
|
| Habilitar la seguridad del BIOS | Habilitado | Realiza comprobaciones de integridad del BIOS en computadoras Dell soportadas (computadoras de clase empresarial 2016 y posteriores) |
| Habilitar la carga automática de archivos de registro | Habilitado | Esto permite que los agentes carguen automáticamente sus archivos de registro para el plug-in de ATP a la nube todos los días a la medianoche o a 100 MB, lo que ocurra primero. |
| Habilitar IU estándar | Habilitado | Esto habilita una opción adicional mediante la consola de Dell Data Security Console en un terminal. Esto permite que los usuarios locales vean qué amenazas, eventos de memoria o scripts se han detectado en la terminal local. Esta opción está presente mediante el menú contextual en el terminal o mediante el engranaje de configuración dentro de la consola de Dell Data Security en una opción titulada Advanced Threat Prevention. Una vez que se selecciona esta opción, hay disponibles alternativas adicionales que muestran u ocultan las amenazas, los eventos de memoria o los scripts que se han descubierto en esa computadora. Esta política requiere la versión 8.18.0 o posterior de Dell Encryption Management Agent. |
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution