Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Cómo administrar Dell Threat Defense

Resumen: Este artículo contiene información sobre cómo administrar Dell Threat Defense.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

Nota:

La consola de Dell Threat Defense se encarga de la administración de políticas, amenazas y compilaciones, además de la empresa de la implementación de Dell Threat Defense en un entorno.

El entorno requiere una suscripción activa para tener acceso. Para obtener más información sobre cómo obtener una suscripción, consulte la página del producto Dell Threat Defense.

Una vez que adquiera Dell Threat Defense, se envía al comprador un correo electrónico con información para iniciar sesión en la consola de Threat Defense. A continuación, se enumeran los sitios de consola para Dell Threat Defense:


Productos afectados:

Dell Threat Defense


Causa

No corresponde.

Resolución

La consola de Threat Defense se divide en seis secciones:

  • Panel
  • Protección
  • Zonas
  • Dispositivos
  • Informes
  • Configuración

Haga clic en una sección para obtener más información.

El tablero se muestra tras iniciar sesión en la consola de Dell Threat Defense. El tablero proporciona una descripción general de las amenazas en el entorno y permite acceder a la información de otras consolas desde una sola página.

Panel

Estadísticas de amenazas

Las estadísticas de amenazas indican el número de amenazas detectadas en las últimas 24 horas y el total de amenazas para la empresa. Si hace clic en una estadística de amenazas, se dirigirá a la página Protection y aparecerá la lista de amenazas que están relacionadas con esa estadística.

  • Amenazas en ejecución: Archivos que son identificados como amenazas que se ejecutan actualmente en los dispositivos de la empresa.
  • Amenazas de ejecución automática: Amenazas que están configuradas para ejecutarse automáticamente.
  • Amenazas en cuarentena: Amenazas que se enviaron a cuarentena en las últimas 24 horas y la cantidad total de amenazas.
  • Exclusivas de Cylance: Amenazas que están identificadas por Cylance, pero no por otras fuentes de antivirus.

Los porcentajes de protección muestran una descripción general para Threat Protection (Protección ante amenazas) y Device Protection (Protección de dispositivos).

Threat Protection

  • Threat Protection: El porcentaje de amenazas en las que ha realizado una acción (cuarentena, cuarentena global, exención y listas seguras).

Device Protection

  • Device Protection: El porcentaje de dispositivos asociados con una política que tiene habilitada la cuarentena automática.

En Threats by Priority (Amenazas por prioridad), se muestra la cantidad total de amenazas que requieren una acción (cuarentena, cuarentena global, exención y listas seguras). Las amenazas se agrupan por prioridad (alta, media y baja).

Amenazas por prioridad

Una amenaza se clasifica como baja, media o alta en función de la cantidad presente de los siguientes atributos:

  • El archivo tiene un puntaje de Cylance mayor que 80.
  • El archivo se está ejecutando actualmente.
  • El archivo se ejecutó anteriormente.
  • El archivo tiene configurada la ejecución automática.
  • La prioridad de la zona donde se encontró la amenaza.

Clasificaciones de amenazas

En Threat Events, se muestra un gráfico de líneas con el número de amenazas descubiertas en los últimos 30 días. Las líneas están codificadas por colores para distinguir archivos no seguros, anómalos, en cuarentena, exentos y borrados.

Eventos de amenaza

En Threat Classifications, se muestra un mapa de actividad con los tipos de amenazas descubiertos en un entorno. Si hace clic en un elemento, el administrador se dirigirá a la sección Protection y se mostrará una lista con las amenazas de ese tipo.

Clasificaciones de amenazas

En Top Five Lists, se muestran amenazas no seguras en un entorno en las cuales no se realizaron acciones. La mayoría de las veces, estas listas deben estar vacías.

Listas con las cinco amenazas principales

La sección Protection (Protección) se utiliza para evaluar y administrar mediante Dell Threat Defense las amenazas que afectan a los dispositivos. Seleccione el paso correspondiente a continuación para obtener más información.

Protección

La consola de Dell Threat Defense ofrece una evaluación detallada de los archivos "no seguros" o "anómalos" para ayudar a los administradores a mitigar correctamente las amenazas en el entorno.

Para evaluar un archivo:

  1. En la consola, haga clic en la pestaña Protection.

Protección

  1. En Protection, haga clic en una amenaza para obtener más información.

Evaluación de estadísticas de amenazas

Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.

Quarantined by users in [Tenant]: Qué acciones se realizaron en el archivo por parte de los usuarios dentro del entorno (grupo de usuarios).

Quarantined by all Cylance users: Qué acciones se realizaron en el archivo por parte de los usuarios dentro de todos los entornos de Cylance.

Classification: Identificación general del archivo o la amenaza.

Registro de fecha y hora de amenaza

First Found: Cuando el archivo se encontró por primera vez en el entorno

Last Found: Cuando el archivo se encontró por última vez en el entorno

Acciones contra amenazas

Global Quarantine: agrega un archivo a la lista de cuarentena global para el entorno. Cada vez que el archivo aparezca en un dispositivo, se enviará automáticamente a cuarentena en la carpeta \q.

Safe: Agrega un archivo a la lista de seguridad para un entorno. Si un archivo está actualmente en cuarentena, lo devolverá automáticamente a la ubicación original.

SHA256: El hash criptográfico de 256 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de instancias conocidas.

MD5: El hash criptográfico de 128 bits que se usa para identificar el archivo o la amenaza. Un administrador puede hacer clic en el hash para realizar una búsqueda en Google de instancias conocidas.

Nota: Es posible que un archivo/amenaza solo tenga apariciones conocidas en SHA256 o MD5. Ambas se muestran para garantizar que se proporciona una vista completa del archivo o la amenaza.

Download File: Permite que un administrador descargue el archivo para realizar evaluaciones y pruebas adicionales.

Niveles de confianza de amenazas

Cylance Score: Cylance asigna un puntaje de 1 (limitado) a -100 (alto) en función de los atributos de la amenaza.

AV Industry: Determina si los motores antivirus de otros fabricantes identifican el archivo como una amenaza mediante la comprobación del índice virustotal.com.

Search Google: Busca en Google los hashes y el nombre de archivo para obtener más información acerca del archivo o la amenaza.

Es posible que haya archivos identificados incorrectamente como amenazas dentro de un entorno. Los administradores pueden agregarlos a la lista global de seguridad para evitar que entren en cuarentena. Cualquier archivo que esté en cuarentena antes de que aparezca en la lista de seguridad vuelve a la ubicación original.

Nota: Antes de colocar un elemento en una lista de seguridad, se recomienda encarecidamente que evalúe si presenta una amenaza.

Para colocar un archivo en una lista de seguridad:

  1. En la consola, haga clic en la pestaña Protection.

Protección

  1. En Protection, marque la amenaza que desea que aparezca en la lista de seguridad y, luego, haga clic en Safe.

Safe

  1. En la ventana emergente Action Confirmation (Confirmación de acción), seleccione una categoría de archivo en el menú desplegable. Esto ayuda con la clasificación de archivos/amenazas.

Confirmación de la acción

  1. Ingrese un motivo para su ingreso en la lista de seguridad. Esto proporciona visibilidad en todo el entorno.
  2. Haga clic en Yes para confirmar el ingreso en la lista de seguridad.
Nota:
  • Los elementos ya ingresados anteriormente en una lista de seguridad se pueden revisar y modificar en cualquier momento en la sección Settings > Global List de la consola de Dell Threat Defense.
  • Se puede ingresar archivos en una lista de seguridad a nivel global, de políticas o de dispositivos. En nuestro ejemplo, agregamos a una lista de seguridad a nivel global.

Un administrador puede poner proactivamente en cuarentena un archivo para que deje de atacar sus dispositivos; para ello, lo agrega a la lista global de cuarentena.

Para poner un archivo en cuarentena global:

  1. En la consola, haga clic en la pestaña Protection.

Protección

  1. En Protection, marque la amenaza que aparece en la lista de seguridad y, luego, haga clic en Global Quarantine.

Global Quarantine

  1. En la ventana emergente Action Confirmation (Confirmación de acción), ingrese el motivo de la cuarentena. Esto ayuda a proporcionar visibilidad a otros administradores y administradores de zonas.
  2. Haga clic en Yes (Sí) para confirmar la cuarentena global.
Nota:
  • Los elementos ya ingresados anteriormente en cuarentena se pueden revisar y modificar en cualquier momento en la sección Settings > Global List (Configuración > Lista global) de la consola de Dell Threat Defense.
  • Se pueden ingresar archivos en listas de seguridad a nivel global o de dispositivo. En nuestro ejemplo, hemos puesto en cuarentena a nivel global.

Las zonas se utilizan para crear contenedores encargados de la administración y organización de los dispositivos. Para obtener más información, consulte Cómo administrar zonas en Dell Threat Defense.

Zonas

La sección Devices (Dispositivos) se utiliza para agregar, administrar e informar acerca de los dispositivos (agentes) dentro de un entorno mediante Dell Threat Defense. Las acciones más comunes de esta sección son descargar el instalador, obtener un token de instalación, activar el registro detallado y eliminar un dispositivo. Haga clic en el paso correspondiente para obtener más información.

Dispositivos

El instalador de Dell Threat Defense está disponible directamente dentro del inquilino. Si desea conocer los pasos para descargar Dell Threat Defense, consulte Cómo descargar Dell Threat Defense.

Para instalar Dell Threat Defense en un dispositivo, se debe obtener un token de instalación válido desde el inquilino. Si desea conocer los pasos para obtener un token de instalación, consulte Cómo obtener un token de instalación para Dell Threat Defense.

De forma predeterminada, los dispositivos contienen un registro limitado para Dell Threat Defense. Se recomienda encarecidamente que active el registro detallado en un dispositivo antes de intentar solucionar problemas o comunicarse con Dell Data Security ProSupport. Para obtener más información, consulte Números de teléfono de soporte internacional de Dell Data Security. Para obtener más información sobre cómo activar el registro detallado, consulte Cómo habilitar el registro detallado en Dell Threat Defense.

Los dispositivos no se eliminan automáticamente de la consola de Dell Threat Defense durante la desinstalación. Un administrador debe quitar manualmente el dispositivo de la consola del inquilino. Para obtener más información, consulte Cómo eliminar un dispositivo de la consola de administración de Dell Threat Defense.

Los informes ofrecen informes detallados y resumidos que proporcionan una visión general y los detalles que están relacionados tanto con los dispositivos como con las amenazas en una empresa.

Los informes muestran las amenazas según eventos. Un evento representa una instancia individual de una amenaza. Por ejemplo, si un archivo en particular (hash específico) se encuentra en tres ubicaciones de carpeta diferentes en el mismo dispositivo, el conteo de eventos de amenazas será igual a 3. Otras áreas de la consola, como la página Threat Protection, pueden mostrar conteos de amenazas para un archivo específico según la cantidad de dispositivos en los que se encuentra el archivo, independientemente de cuántas instancias del archivo están presentes en un dispositivo determinado. Por ejemplo, si un archivo en particular (hash específico) se encuentra en tres ubicaciones de carpeta diferentes en el mismo dispositivo, el recuento de amenazas será igual a 1.

Los datos de creación de informes se actualizan aproximadamente cada tres minutos. Haga clic en Threat Defense Overview, Threat Event Summary, Device Summary, Threat Events o Devices para obtener más información.

Informes

Proporciona un resumen ejecutivo del uso de Dell Threat Defense en una organización, desde la cantidad de zonas y dispositivos hasta el porcentaje de dispositivos cubiertos por la cuarentena automática, los eventos de amenaza, las versiones de los agentes y los días sin conexión para los dispositivos.

Descripción general de Threat Defense

Zones: muestra el número de zonas en la empresa.

Devices: muestra el número de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Policies: muestra el número de políticas creadas en la empresa.

Files Analyzed: muestra el número de archivos analizados en la empresa (en todos los dispositivos de la empresa).

Eventos de amenaza

Threat Events: muestra un gráfico de barras con eventos de amenazas no seguros, anómalos y en cuarentena, agrupados por día, para los últimos 30 días. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día.

Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

Devices - Dell Threat Defense Agent Versions

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days

Offline Days: muestra el número de dispositivos que han estado offline durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

Auto-quarantine coverage

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

El informe Resumen de eventos de amenaza muestra la cantidad de archivos identificados en dos de las clasificaciones de amenazas de Cylance: malware y PUP (programas potencialmente no deseados) e incluye un desglose para clasificaciones de subcategorías específicas de cada familia. Además, las listas de 10 dispositivos y propietarios de archivos principales con amenazas muestran conteos de eventos de amenazas para las familias de amenaza Malware, PUP y Uso doble.

Resumen de eventos de amenaza

Total Malware Events: muestra el número total de eventos de malware identificados en la empresa.

Total PUPs Events: muestra el número total de eventos de PUP identificados en la empresa.

Unsafe/Abnormal Malware Events: muestra el número total de eventos de malware no seguro y anómalo descubiertos en la empresa.

Unsafe/Abnormal PUP Events: muestra el número total de eventos de PUP no seguro y anómalo descubiertos en la empresa.

Malware Event Classifications

Malware Event Classifications: muestra un gráfico de barras con cada tipo de clasificación de malware para los eventos de amenaza que se detectan en los dispositivos de la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de malware encontrados para esa clasificación.

PUP Event Classifications

PUP Event Classifications: muestra un gráfico de barras con cada tipo de clasificación de programas potencialmente no deseados (PUP) de los eventos de amenazas que se detectan en los dispositivos de la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de PUP encontrados para esa clasificación.

Top 10 File Owners with the Most Threat Events

Top 10 File Owners with the Most Threat Events: muestra una lista de los 10 principales propietarios de archivos que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

Top 10 Devices with the Most Threat Events

Top 10 Devices with the Most Threat Events: muestra una lista de los 10 dispositivos principales que tienen la mayor cantidad de eventos de amenazas. En este widget, se muestran los eventos de todas las familias de amenazas basadas en archivos de Cylance, no solo los eventos de malware o PUP.

El informe de resumen del dispositivo muestra varias medidas importantes centradas en el dispositivo. En Auto-Quarantine Coverage (Cobertura de cuarentena automática), se revela la cobertura de prevención de amenazas y se puede usar para mostrar el progreso. En Devices – Threat Defense Version Stats, se pueden identificar agentes de Threat Defense más antiguos. En Offline Days (Días sin conexión), se pueden indicar dispositivos que ya no se registran en la consola de Threat Defense y son candidatos para eliminación.

Total Devices

Total Devices: muestra el número total de dispositivos en la empresa. Un dispositivo es un punto de conexión con un agente registrado de Threat Defense.

Auto-quarantine Coverage

Auto-Quarantine Coverage: muestra el número de dispositivos que tienen una política con las opciones de cuarentena automática Unsafe y Abnormal seleccionadas; se considera que estos dispositivos están habilitados. Los dispositivos deshabilitados se asignan a una política que tiene una de estas opciones deshabilitadas o ambas. En el gráfico circular, se muestra el porcentaje de dispositivos que son asignados a una política con la cuarentena automática deshabilitada para Unsafe, Abnormal o ambas opciones.

Devices - Dell Threat Defense Agent Versions

Devices - Dell Threat Defense Agent Versions: muestra un gráfico de barras que representa el número de dispositivos que ejecutan una versión del agente de Threat Defense. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra la cantidad de dispositivos que ejecutan esa versión específica del agente de Threat Defense.

Offline Days

Offline Days: muestra el número de dispositivos que han estado offline durante un rango de días (desde 0-15 días hasta más de 61 días). También muestra un gráfico de barras codificado por colores con cada rango de días.

El informe de eventos de amenaza proporciona datos de eventos de amenazas que se detectan en la empresa. Las amenazas se agrupan según la fecha de notificación (Reported On date), la cual corresponde al momento en que la consola recibe información del dispositivo acerca de una amenaza. La fecha de notificación puede ser distinta a la fecha real del evento si el dispositivo no estaba en línea cuando ocurrió el evento.

# of Threat Events

# of Threat Events: muestra un gráfico de barras con los eventos de amenazas notificados en la empresa. Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de eventos de amenazas notificados en ese día. El gráfico de barras muestra los últimos 30 días.

Threat Events Table: muestra información de eventos de amenazas.

En el informe de dispositivos se muestra la cantidad de dispositivos que tiene para una familia de sistemas operativos (Windows y macOS).

Dispositivos

# of Devices by OS: muestra un gráfico de barras con dispositivos organizados por los grupos más importantes del sistema operativo (Windows y macOS). Cuando pasa el puntero del mouse por sobre una barra del gráfico, se muestra el número total de dispositivos en ese grupo de sistema operativo.

Devices Table: muestra una lista de nombres e información de los dispositivos en la empresa.

La sección Settings (Configuración) se utiliza para administrar políticas de dispositivos, acceder a la consola, configurar actualizaciones y generar informes de auditoría. Las acciones más comunes en esta sección son agregar una contraseña de desinstalación, agregar usuarios de la consola, agregar una política de dispositivos, generar informes y configurar actualizaciones. Haga clic en el paso correspondiente para obtener más información.

Configuración

Un administrador de Dell Threat Defense puede exigir que el dispositivo de Threat Defense solicite una contraseña para desinstalar la aplicación, a fin de integrar una capa adicional de seguridad. Para obtener más información, consulte Cómo agregar o eliminar una contraseña de desinstalación en Dell Threat Defense.

La configuración básica solo muestra al comprador inicial como administrador en la consola de Dell Threat Defense. Para obtener más información, consulte Cómo agregar usuarios a la consola de administración de Dell Threat Defense.

Las políticas de dispositivos son esenciales para el funcionamiento de Dell Threat Defense. La configuración básica tiene desactivadas las características de prevención de amenazas avanzadas en la política "predeterminada". Es importante modificar la política "predeterminada" o crear una nueva política antes de implementar Threat Defense. Para obtener más información, consulte Cómo modificar políticas en Dell Threat Defense.

La consola de Dell Threat Defense ofrece una manera sencilla para generar un informe sobre el estado de las amenazas en un entorno. Para obtener más información, consulte Cómo generar informes en Dell Threat Defense.

La configuración básica de la consola de Dell Threat Defense actualiza automáticamente los dispositivos a la compilación más reciente. De manera opcional, un administrador de Threat Defense puede implementar compilaciones para probar zonas antes de la producción. Para obtener más información, consulte Cómo configurar las actualizaciones en Dell Threat Defense.


Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

 

Productos afectados

Dell Encryption, Dell Threat Defense
Propiedades del artículo
Número del artículo: 000126398
Tipo de artículo: Solution
Última modificación: 19 dic 2022
Versión:  10
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.