Este tema proporciona detalles sobre cómo funciona cada Host Sensor. Cada Host Sensor recopila datos forenses del host y los envía a la nube de Threat Detection and Response para su análisis. Los datos forenses incluyen información relacionada con archivos, procesos, conexiones de red y claves de registro en el host.
Puede configurar los Host Sensors para simplemente informar amenazas de seguridad o para tomar medidas para solucionar ciertos tipos de amenazas de seguridad basándose en los ajustes del Host Sensor.
En la página de configuración Host Sensor, los usuarios con un rol de Administrator o Analyst pueden configurar los ajustes predeterminados para todos los Host Sensors en una cuenta de TDR.
Una configuración de Host Sensor que no está en la página Configuración de Host Sensor es la configuración de Antigüedad Desactivada para Archivos en Cuarentena. Los Analysts pueden configurar este ajuste en la página de configuración de Host Sensors. Para más información, consulte Configurar la Antigüedad Desactivada para Archivos en Cuarentena.
Para ver las mejores prácticas de implementación, consulte Mejores Prácticas de Implementación de TDR.
Ajustes de Host Sensor
Habilite este ajuste para enviar eventos cuando:
- Los archivos se crean y eliminan
- Los procesos se crean y eliminan
- Ocurren creaciones, modificaciones y eliminaciones del registro
Si deshabilita este ajuste, es posible que Threat Detection and Response no pueda identificar algún malware en tiempo real.
Si Permitir Eventos en Host Sensors está desactivado, el Modo de Host Ransomware Prevention en Host Sensors se establecerá como DESACTIVADO, ya que no puede funcionar sin eventos.
Esta lista desplegable controla la función de Host Ransomware Prevention. Las opciones son:
- Desactivado — Desactivar la función.
- Detectar — Identificar procesos y archivos que muestran un comportamiento malicioso e informarlos a la interfaz de usuario para la intervención manual. Este ajuste aún puede dejar el equipo vulnerable a estas amenazas, ya que puede ser demasiado tarde para intervenir manualmente
- Prevenir — Los Host Sensors detectan y luego detienen automáticamente los procesos y ponen en cuarentena los archivos que muestran un comportamiento malicioso, con el fin de que el ransomware no se apodere del sistema. Los Host Sensors reportan esta actividad a su cuenta de Threat Detection and Response como un indicador de que ya está mitigado (puntuación de 1). Si selecciona Prevenir, el Host Sensor toma acciones automáticas para prevenir el ransomware, incluso si el host no está conectado a Internet o no puede comunicarse con su cuenta de TDR.
Si Permitir Eventos en Host Sensors está desactivado, el Modo de Host Ransomware Prevention en Host Sensors se establecerá como DESACTIVADO, ya que no puede funcionar sin eventos.
Habilite el aprendizaje automático para controlar si Host Sensor mata los procesos y pone en cuarentena los archivos que exhiben un comportamiento malicioso basado en el aprendizaje automático.
Si deshabilita esta configuración, el Host Sensor no toma acciones basadas en el aprendizaje automático de HRP, pero la detección y prevención de HRP aún está activa, si está habilitada.
Habilite los Host Sensors para escanear archivos y procesos con el fin de determinar la heurística de esos archivos y procesos.
Si deshabilita este ajuste, es posible que Threat Detection and Response no pueda identificar algunos archivos y procesos que exhiben características del malware.
Deshabilite este ajuste para mejorar el rendimiento del Host Sensor si el rendimiento de su sistema es lento. Primero desactive este ajuste cuando vaya a resolver problemas.
Habilite este ajuste para permitir que los Host Sensors realicen valores de referencia (proceso, directorio, registro y netstat) cuando aparezcan por primera vez.
Si deshabilita esta opción, podría impedir que Threat Detection and Response marque algunos archivos y procesos que exhiben las características de malware.
Este ajuste habilita la función de Mitigación de Día Cero de APT del Proxy HTTP(S) y el indicador de Proceso + Red. Cuando esta función está habilitada, los Host Sensors almacenarán en caché los Metadatos de Eventos de Archivo por hasta 20 minutos. Esto le da tiempo para que APT Blocker analice archivos sospechosos y responda en consecuencia, o bien para que el Host Sensor encuentre un proceso reportado por la red. Si es necesario tomar medidas para remediar un archivo, los datos del Host Sensor proporcionan la ubicación del archivo, incluso si se movió o copió en ese periodo de tiempo.
Esta función solo es compatible con Fireware v12.1.3 Actualización 2 para XTMv, o Fireware v12.4 y superior para los modelos Firebox M Series y T Series.
Ajustes de Prevención de Manipulación del Host Sensor
Deshabilite este ajuste para permitir a los usuarios con los permisos apropiados detener el servicio del Host Sensor.
Deshabilite este ajuste para permitir a los usuarios con los permisos apropiados desinstalar el servicio del Host Sensor.
Ajustes de la Configuración del Controlador de Host Sensor
El espacio de Núcleo es el área de memoria virtual que ejecuta el sistema operativo, y está separada del área de memoria virtual que ejecuta los procesos utilizados por los programas del usuario.
Habilite este ajuste para usar la funcionalidad del espacio del núcleo para buscar eventos de proceso en el Host Sensor.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad del espacio del núcleo para buscar eventos de archivo en el Host Sensor.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad del espacio del núcleo para buscar eventos de registro en el Host Sensor.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad de espacio del núcleo para ejecutar acciones de detención de procesos (tanto manuales como automáticas) desde el sistema de Threat Detection and Response.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad de espacio del núcleo para ejecutar acciones de eliminación de archivos (tanto manuales como automáticas) desde el sistema de Threat Detection and Response.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad de contención del host (tanto manual como automatizada) del sistema de Threat Detection and Response.
Si deshabilita este ajuste, no se permitirá la contención del host ya que esta funcionalidad solo está disponible en el código controlador del núcleo.
Habilite este ajuste para usar la funcionalidad del espacio del núcleo para enumerar los identificadores de archivos que están asociados con los archivos que Threat Detection and Response está intentando poner en cuarentena o sacar de cuarentena (tanto manuales como automáticos).
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Habilite este ajuste para usar la funcionalidad de espacio del núcleo para escanear módulos que están asociados con procesos.
Si deshabilita este ajuste, se utilizará el código de espacio del usuario.
Ajustes del Ícono del Host Sensor
Habilité este ajuste para permitir a los usuarios finales pausar temporalmente la protección del Host Sensor desde el Ícono del Host Sensor. Cuando la protección está en pausa, el Host Sensor no escanea archivos, procesos ni entradas de registro, y no envía eventos a la nube. Esto también deshabilita temporalmente Host Ransomware Prevention.
Habilite este ajuste para notificar a los usuarios cuando el Host Sensor ejecute un valor de referencia en su dispositivo.
Habilite este ajuste para notificar a los usuarios cuando el Host Sensor realiza acciones correctivas en sus dispositivos, como Poner un Archivo en Cuarentena, Detener un Proceso y Eliminar Clave de Registro.
Especifique en minutos el tiempo mínimo que los Host Sensors deberían demorarse antes de que comiencen a ejecutar valores de referencia (proceso, directorio, registro y netstat). La demora real se determina aleatoriamente como un valor entre la demora mínima y la demora máxima.
Un valor de 0 significa que no se aplica ningún retraso.
Predeterminado: 0
Mín.: 0
Máx.: 240
Especifique en minutos el tiempo máximo que los Host Sensors deberían demorarse antes de que comiencen a ejecutar valores de referencia (proceso, directorio, registro y netstat). La demora real se determina aleatoriamente como un valor entre la demora mínima y la demora máxima.
Un valor de 0 significa que no se aplica ningún retraso.
Predeterminado: 60
Mín.: 0
Máx.: 240
Especifique la frecuencia para ejecutar los valores de referencia. Puede especificar que los valores de referencia se ejecuten todos los días o hasta cada 30 días. El valor predeterminado es 7 días.
Cree una clave de autenticación que se use entre el Host Sensor y el Firebox para confirmar que la VPN es lo suficientemente segura como para mantenerse conectada. Para generar la clave de autenticación, ingrese una frase alfanumérica o contraseña de entre 10 y 79 caracteres. Haga clic en el ícono generar para convertir el Contraseña en un UUID de 36 caracteres.
Ver También
Administrar Hosts y Host Sensors de TDR