You are on page 1of 368

Guía del administrador de Traps

4.0

paloaltonetworks.com/documentation
Contact Information
Corporate Headquarters:
Palo Alto Networks
3000 Tannery Way
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-support

About the Documentation


• For the most recent version of this guide or for access to related documentation, visit the Technical
Documentation portal www.paloaltonetworks.com/documentation.
• To search for a specific topic, go to our search page www.paloaltonetworks.com/documentation/
document-search.html.
• Have feedback or questions for us? Leave a comment on any page in the portal, or write to us at
documentation@paloaltonetworks.com.

Copyright
Palo Alto Networks, Inc.
www.paloaltonetworks.com

© 2017-2017 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo
Alto Networks. A list of our trademarks can be found at www.paloaltonetworks.com/company/
trademarks.html. All other marks mentioned herein may be trademarks of their respective companies.

Last Revised
November 27, 2017

2 GUÍA DEL ADMINISTRADOR DE TRAPS |


Table of Contents
Descripción general de Traps...........................................................................9
Acerca de Traps.........................................................................................................................................11
Descripción general de protección contra malware............................................................ 11
Descripción general de protección contra exploits............................................................. 12
Componentes de Traps........................................................................................................................... 14
Consola ESM................................................................................................................................. 14
Servidor ESM.................................................................................................................................15
Base de datos................................................................................................................................15
PUNTOS TERMINALES.............................................................................................................. 15
Agente de Traps........................................................................................................................... 15
Plataforma de logging externa.................................................................................................. 16
WildFire...........................................................................................................................................16
Carpeta forense............................................................................................................................ 18

Situaciones de implementación de Traps....................................................19


Implementación independiente............................................................................................................. 21
Implementaciones pequeñas.................................................................................................................. 22
Implementación pequeña de un solo sitio............................................................................. 22
Implementación pequeña de múltiples sitios........................................................................ 23
Implementaciones grandes..................................................................................................................... 24
Implementación grande de un solo sitio................................................................................ 24
Implementación grande de múltiples sitios con un Endpoint Security Manager........... 25
Implementación grande de múltiples sitios con agentes en itinerancia (sin VPN).........26
Implementación grande de múltiples sitios con agentes en itinerancia (con VPN)....... 27

Requisitos............................................................................................................29
Requisitos de hardware...........................................................................................................................31
Requisitos de hardware para un Endpoint Security Manager independiente................ 31
Requisitos de hardware para un Endpoint Security Manager distribuido.......................32
Requisitos de hardware de Traps.............................................................................................34
Requisitos de software............................................................................................................................ 35
Requisitos de software de la consola ESM............................................................................35
Requisitos de software del servidor ESM.............................................................................. 35
Requisitos de software de la base de datos..........................................................................36
Requisitos de software de Traps..............................................................................................37

Configurar la infraestructura de Traps........................................................ 39


Configurar la infraestructura de endpoints........................................................................................ 41
Activar licencias de Traps....................................................................................................................... 42
Configurar Endpoint Security Manager...............................................................................................44
Consideraciones de instalación de la infraestructura de endpoints................................. 44
Cifrado de TLS/SSL para los componentes de Traps.......................................................... 44
Configurar la base de datos del servidor MS-SQL...............................................................46
Instalar el software del servidor de Endpoint Security Manager......................................48
Instalar el software de la consola de Endpoint Security Manager....................................51
Configurar los endpoints.........................................................................................................................55
Proceso de implementación de Traps recomendado.......................................................... 55

TABLE OF CONTENTS iii


Opciones de instalación de Traps............................................................................................ 56
Instalar Traps en endpoints de Windows.............................................................................. 56
Instalar componentes de Traps usando Msiexec de Windows......................................................58
Instalar los componentes de Traps.......................................................................................... 58
Desinstalar los componentes de Traps................................................................................... 59
Verificar una instalación correcta......................................................................................................... 60
Verificar la conectividad desde el endpoint.......................................................................... 60
Verificar la conectividad desde la consola ESM................................................................... 60

VDI........................................................................................................................63
Descripción general de VDI................................................................................................................... 65
Aplicaciones y escritorios virtualizados.................................................................................. 65
Modos de VDI...............................................................................................................................65
Consideraciones de la instalación de VDI...........................................................................................68
Descripción general de la configuración de Traps en un entorno VDI........................................ 69
Configurar un VDI persistente.............................................................................................................. 70
Configurar un VDI no persistente........................................................................................................ 71
Requisitos para la configuración de la imagen maestra (Golden Image)......................... 71
Configuración de imagen maestra (golden image) para VDI no persistente...................72
CLI de la herramienta VDI de Traps........................................................................................74
Configurar Traps para una situación de almacenamiento persistente.............................76
Configurar Traps para una situación de almacenamiento no persistente....................... 77
Ajustar y probar la política de VDI.......................................................................................... 78

Administrar el servidor ESM.......................................................................... 81


Gestionar ajustes del servidor ESM..................................................................................................... 83
Gestionar ajustes de la consola ESM...................................................................................................85
Gestionar múltiples servidores ESM.................................................................................................... 86
Limitaciones conocidas con implementaciones de ESM múltiples................................... 86
¿Qué lógica usa el agente para seleccionar un servidor ESM?..........................................86
Activar, desactivar o eliminar un servidor ESM....................................................................88
Licencias de Traps.....................................................................................................................................89
Inclusión de una licencia de Traps usando la consola ESM............................................... 89
Añadir una licencia de Traps usando la herramienta de configuración de DB...............90
Administrar acceso del administrador a la consola ESM.................................................................92
Funciones administrativas.......................................................................................................... 92
Privilegios administrativos..........................................................................................................93
Usuarios administrativos.............................................................................................................95
Autenticación administrativa..................................................................................................... 96
Configurar cuentas y autenticación administrativa..............................................................96
Exportar e importar archivos de políticas........................................................................................ 101
Actualizaciones de contenido................................................................................................. 101

Supervisión....................................................................................................... 103
Mantenimiento de los endpoints y Traps.........................................................................................105
Uso del panel de Endpoint Security Manager.................................................................................106
Monitorización de eventos de seguridad......................................................................................... 107
Uso del panel de eventos de seguridad............................................................................... 107
Ver el historial de eventos de seguridad en un endpoint................................................ 110
Monitorización de endpoints...............................................................................................................111
Ver detalles de estado de los endpoints..............................................................................111
Ver notificaciones acerca de cambios en el estado del agente...................................... 111

iv TABLE OF CONTENTS
Ver el estado del agente desde la consola Traps...............................................................112
Ver el historial de reglas de un endpoint.............................................................................113
Ver cambios en la política de seguridad desde la consola Traps....................................113
Ver el historial de estado de servicio de un endpoint...................................................... 114
Eliminación de un endpoint de la consola ESM................................................................. 114
Monitorizar los servidores ESM..........................................................................................................116
Visualizar el estado de los servidores ESM......................................................................... 116
Ver notificaciones acerca del servidor ESM........................................................................116
Ver el resumen de reglas......................................................................................................................118
Monitorizar recuperación de informes forenses.............................................................................119

Primeros pasos con las reglas..................................................................... 121


Conceptos de las reglas de políticas de endpoints........................................................................ 123
Tipos de reglas de políticas.....................................................................................................123
Aplicación de las políticas........................................................................................................124
Política de protección predeterminada................................................................................ 125
Componentes y acciones comunes de las reglas............................................................................127
Condiciones................................................................................................................................. 127
Objetos de destino.................................................................................................................... 131
Nombrar o renombrar una regla............................................................................................ 132
Guardar reglas.............................................................................................................................132
Administración de reglas guardadas......................................................................................132
Filtrar reglas.................................................................................................................................133
Deshabilitar o habilitar todas las reglas de protección..................................................... 134
Mostrar u ocultar las reglas de políticas por defecto....................................................... 135
Comodines y variables en reglas de políticas..................................................................................136
Comodines en reglas de políticas.......................................................................................... 136
Variables de entorno en reglas de políticas........................................................................ 136
Compatibilidad de variable de entorno para Windows Vista y ediciones
posteriores................................................................................................................................... 137
Compatibilidad de variable de entorno para Windows XP..............................................138
Ejemplo: Uso de comodines y variables en reglas de políticas....................................... 139
Administración de procesos.................................................................................................................141
Tipos de protección de procesos...........................................................................................141
Procesos protegidos por la política por defecto................................................................ 141
Añadir un nuevo proceso protegido..................................................................................... 141
Importación o exportación de un proceso.......................................................................... 143
Ver, modificar o borrar un proceso.......................................................................................144
Ver procesos actualmente protegidos por Traps...............................................................145

Protección de malware................................................................................. 147


Prácticas recomendadas de la política de protección de malware............................................. 149
Flujo de protección contra malware..................................................................................................150
Fase 1: Evaluación de la política de prevención de malware.......................................... 150
Fase 2: Evaluación de la política de restricción..................................................................150
Fase 3: Evaluación de veredictos de hashes.......................................................................151
Gestionar reglas de protección contra malware............................................................................. 153
Reglas de protección contra malware.................................................................................. 153
Configuración de Protección de procesos hijo...................................................................154
Configuración de mejoras del MPM del Gatekeeper........................................................156
Administrar restricciones en archivos ejecutables......................................................................... 159
Reglas de restricción................................................................................................................. 159
Añadir una nueva regla de restricción..................................................................................160

TABLE OF CONTENTS v
Administrar listas blancas globales........................................................................................ 161
Bloquear la ejecución desde carpetas locales y de red.................................................... 162
Colocar carpeta de red en una lista blanca......................................................................... 164
Definir restricciones de medios externos............................................................................ 165
Definir restricciones de procesos hijo.................................................................................. 166
Definir restricciones de Java...................................................................................................167
Integración WildFire.............................................................................................................................. 170
Conceptos de integración de WildFire.................................................................................170
Configuración de ESM para comunicarse con WildFire................................................... 172
Configuración de una nube privada de WildFire............................................................... 173
Configuración de una regla de WildFire.............................................................................. 175
Gestión de hashes para archivos........................................................................................................179
Visualizar y buscar hashes.......................................................................................................179
Ver un informe de WildFire.................................................................................................... 185
Ver el historial de un veredicto..............................................................................................185
Cancelación de un veredicto de WildFire............................................................................186
Revisar una decisión de WildFire.......................................................................................... 187
Informe de veredicto incorrecto............................................................................................ 188
Cargar un archivo en WildFire para su análisis.................................................................. 188
Gestionar configuración de cuarentena............................................................................... 189
Restauración de un archivo en cuarentena.........................................................................189

Protección contra exploits........................................................................... 193


Reglas de protección de exploits........................................................................................................195
Módulos de protección de exploits (EPM) de Windows...............................................................196
Módulos de protección de exploits (EPM) de Mac........................................................................ 198
Creación de una regla de protección contra exploits....................................................................199
Excluir un endpoint de una regla de protección contra exploits................................................ 202

Administración de endpoints.......................................................................203
Administrar reglas de acción de Traps..............................................................................................205
Reglas de acción de Traps.......................................................................................................205
Añadir una nueva regla de acción......................................................................................... 205
Gestionar datos recopilados por Traps................................................................................ 206
Desinstalar o actualizar Traps en el endpoint.....................................................................208
Administrar las reglas de ajustes de agentes...................................................................................210
Reglas de ajustes de agentes de Traps................................................................................ 210
Añadir una nueva regla de ajustes de agentes................................................................... 211
Definir las preferencias de logging de eventos.................................................................. 213
Ocultar o restringir el acceso a la consola de Traps......................................................... 214
Definir ajustes de comunicación entre el endpoint y el servidor ESM..........................215
Recopilar información de nuevos procesos.........................................................................218
Gestión de protección contra la manipulación de agentes..............................................220
Cambiar la contraseña de desinstalación.............................................................................221
Crear un mensaje de alerta de usuario personalizado...................................................... 222
Eliminación de un endpoint de la consola ESM..............................................................................225

Datos forenses................................................................................................ 227


Descripción general de datos forenses.............................................................................................229
Flujo de datos forenses............................................................................................................229
Tipos de datos forenses...........................................................................................................230
Prácticas recomendadas para la administración de datos forenses........................................... 232

vi TABLE OF CONTENTS
Administrar reglas y ajustes forenses................................................................................................233
Reglas forenses...........................................................................................................................233
Cambio de la carpeta forense por defecto..........................................................................233
Crear una regla forense............................................................................................................235
Definición de las preferencias del volcado de memoria...................................................236
Definición de las preferencias de recopilaciones forenses.............................................. 237
Recuperar datos acerca de un evento de seguridad......................................................... 239
Consulta a agente...................................................................................................................................241
Flujo de consulta a agente...................................................................................................... 241
Buscar endpoints para un archivo, carpeta o clave de registro...................................... 241
Visualizar los resultados de una consulta de agente.........................................................242

Informes y logs............................................................................................... 245


Tipos de log de eventos....................................................................................................................... 247
Eventos de seguridad................................................................................................................247
Políticas - General......................................................................................................................248
Políticas - Reglas........................................................................................................................ 249
Políticas: Gestión de procesos................................................................................................249
Políticas: Ajustes de restricción..............................................................................................249
Políticas - Controles de hash.................................................................................................. 250
Supervisar - Agente...................................................................................................................251
Supervisión de ESM.................................................................................................................. 255
Ajustes: Administración............................................................................................................ 256
Ajustes - Agente........................................................................................................................ 257
Ajustes - ESM............................................................................................................................. 258
Ajustes: Condiciones................................................................................................................. 258
Ajustes - Licencias..................................................................................................................... 259
Paquete de configuración - instalación................................................................................ 260
Variables comunes usadas en Eventos............................................................................................. 261
Variables de eventos de cambio de agente........................................................................ 261
Variables de cambio de evento de configuración de ESM.............................................. 262
Variables de eventos de cambio de política........................................................................262
Variables de eventos del servidor ESM................................................................................263
Variables de supervisión de eventos de seguridad............................................................264
Envío de logs a una plataforma de logging externa.......................................................................265
Habilitar el envío de logs a una plataforma de logging externa......................................265
Habilitar el envío de logs a una plataforma de logging externa usando la herramienta
de configuración de DB........................................................................................................... 266
Formato CEF............................................................................................................................... 268
Formato LEEF............................................................................................................................. 282
Formato Syslog (RFC5424)......................................................................................................297
Reenvío de logs a Panorama............................................................................................................... 311
Habilitar del reenvío de logs a Panorama............................................................................311
Ver logs ESM y eventos correlacionados en Panorama................................................... 313
Enviar logs a correo electrónico......................................................................................................... 314
Habilitar el reenvío de logs a correo electrónico...............................................................314
Formato de correo electrónico...............................................................................................315

Solución de problemas..................................................................................331
Recursos de solución de problemas de Traps................................................................................. 333
Procesos de Traps y Endpoint Security Manager.......................................................................... 335
Archivo de asistencia técnica del ESM............................................................................................. 337
Herramienta de configuración de bases de datos (DB).................................................................338

TABLE OF CONTENTS vii


Acceder a la herramienta de configuración de bases de datos.......................................338
Configurar el acceso administrativo a la consola ESM utilizando la herramienta de
configuración de bases de datos (DB).................................................................................. 339
Configurar los ajustes del servidor ESM usando la herramienta de configuración de
bases de datos (DB).................................................................................................................. 340
Ajustes de servidor ESM personalizados............................................................................. 341
Cytool.........................................................................................................................................................344
Acceder a Cytool....................................................................................................................... 344
Ver el estado del agente que usa Cytool.............................................................................345
Ver procesos actualmente protegidos por Traps usando Cytool................................... 346
Administrar ajustes de protección en el endpoint usando Cytool................................. 346
Administrar controladores de Traps y servicios en el endpoint usando Cytool.......... 350
Visualizar y comparar las políticas de seguridad en un endpoint utilizando
Cytool............................................................................................................................................353
Gestionar logs de componentes de Traps usando Cytool............................................... 355
Restauración de un archivo en cuarentena con Cytool....................................................356
Ver estadísticas de un proceso protegido con Cytool...................................................... 357
Ver detalles sobre el módulo de análisis local de Traps usando Cytool........................358
Ver detalles hash de un archivo con Cytool....................................................................... 359
Solución de problemas de Traps........................................................................................................ 360
¿Por qué no puedo instalar Traps?........................................................................................360
¿Por qué no puedo actualizar o desinstalar Traps?........................................................... 361
¿Por qué no se puede conectar Traps con el servidor ESM?.......................................... 361
¿Cómo soluciono un error de certificado de servidor de Traps?....................................363
Solución de problemas de la consola ESM...................................................................................... 365
¿Por qué no puedo iniciar sesión en la consola ESM?......................................................365
¿Por qué recibo un error de servidor cuando inicio la consola ESM?........................... 366
¿Por qué aparecen todos los endpoints como desconectados en la consola
ESM?..............................................................................................................................................366

viii TABLE OF CONTENTS


Descripción general de Traps
Traps™ sustituye a las soluciones de antivirus obsoletas a través de la prevención de las
amenazas persistentes avanzadas (advanced persistent threats, APT) y los ataques de día cero.
Traps también proporciona protección para sus endpoints al bloquear vectores de ataque antes
de que se ejecute el malware o se aprovechen vulnerabilidades o errores de software.
En los siguientes temas se describe la solución de Traps de forma más detallada.

> Acerca de Traps


> Componentes de Traps

9
10 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps
© 2017 Palo Alto Networks, Inc.
Acerca de Traps
Los ciberataques son ataques realizados en redes o endpoints para causar daños, robar información o
lograr otros objetivos que impliquen la toma de control de sistemas informáticos que pertenecen a otros.
Los adversarios perpetran los ciberataques haciendo que un usuario ejecute de forma no intencionada un
archivo ejecutable malicioso o aprovechando una debilidad en un archivo ejecutable legítimo para ejecutar
un código malicioso sin que el usuario tenga conocimiento de ello.
Una forma de evitar estos ataques es la identificación de los archivos ejecutables, bibliotecas de vínculos
dinámicos (dynamic-link libraries, DLL) u otras partes del código como malintencionadas para así evitar
su ejecución probando cada módulo de código potencialmente peligroso frente una lista de firmas de
amenazas conocidas y específicas. La debilidad de este método es que las soluciones antivirus (AV) basadas
en firmas necesitan tiempo para identificar las amenazas de creación reciente que son conocidas solo por el
atacante (también denominadas ataques de día cero o exploits) y añadirlas a la lista de amenazas conocidas,
lo que deja a los endpoint vulnerables hasta que se actualicen las firmas.
La solución Traps utiliza un enfoque más efectivo y eficiente para prevenir ataques por tanto elimina la
necesidad de usar antivirus (AV) tradicionales. En vez de intentar mantenernos actualizados ante la siempre
creciente lista de amenazas conocidas, Traps configura una serie de obstáculos que previenen los ataques
en sus puntos de entrada inicial, cuando los archivos ejecutables legítimos están a punto de permitir accesos
maliciosos al sistema sin saberlo.
Traps se centra en las vulnerabilidades del software en procesos que abren archivos no ejecutables
utilizando técnicas de prevención de exploits. Traps también utiliza técnicas de prevención de malware para
evitar la ejecución de archivos ejecutables maliciosos. Con este doble enfoque, la solución Traps puede
evitar todo tipo de ataques, ya sean amenazas conocidas o desconocidas.
Todos los aspectos de los ajustes de seguridad del endpoint son altamente configurables: los endpoints y
los grupos a los que se aplican los ajustes, las aplicaciones que protegen y las reglas, restricciones y acciones
definidas. Esto permite a cada organización configurar Traps a la medida de sus necesidades para obtener la
máxima protección con una mínima alteración de las actividades diarias.
• Descripción general de protección contra malware
• Descripción general de protección contra exploits

Descripción general de protección contra malware


Los archivos ejecutables maliciosos, conocidos como malware o software malicioso, habitualmente simulan
ser archivos no maliciosos o van integrados en ellos. Estos archivos pueden intentar obtener el control,
recopilar información confidencial o alterar el funcionamiento normal del sistema.
Traps previene el malware al reducir la superficie de ataque e incrementar la eficacia de su detección de
malware. Esta estrategia combina varias capas de protección, colectivamente conocidas como el Motor
de prevención de malware. Gracias al uso de la siguiente combinación de técnicas de mitigación, el motor
de prevención de malware puede automáticamente impedir que se ejecuten archivos desconocidos y
maliciosos, incluidos archivos de salvapantallas de Microsoft Windows (.scr) y macros, y, cuando no puede
impedirlo, detener el comportamiento malicioso.
• WildFire integration (Integración de WildFire): permite la detección automática de malware desconocido
y evita rápidamente las amenazas antes de que una empresa resulte afectada.
• Evaluation of trusted signers (Evaluación de firmantes de confianza): permite que los archivos
ejecutables desconocidos firmados por firmantes de confianza se ejecuten en el endpoint.
• Local static analysis (Análisis estático local): permite que Traps use aprendizaje automático para analizar
archivos ejecutables desconocidos y emitir un veredicto. Traps usa el veredicto devuelto por el módulo
de análisis local hasta que recibe un veredicto del servidor ESM.

GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps 11


© 2017 Palo Alto Networks, Inc.
• Policy-based restrictions (Restricciones basadas en políticas): permite bloquear la ejecución de archivos
desde carpetas locales, carpetas de red o ubicaciones de soportes externos específicas.
• Malware protection modules (Módulos de protección contra malware): ataca conductas de malware
específicas y le permite bloquear la creación de procesos hijo.
• Office file protection (Protección de archivo de Office): permite bloquear macros conocidas y
desconocidas cuando se ejecutan desde archivos de Microsoft Office.
Para obtener información adicional, consulte Flujo de protección contra malware.

Descripción general de protección contra exploits


Un exploit es una secuencia de comandos que aprovecha un error o vulnerabilidad de una aplicación o
un proceso de software. Los atacantes utilizan exploits como el medio para acceder y utilizar un sistema
en su beneficio. Para obtener el control de un sistema, el atacante debe aprovechar una cadena de
vulnerabilidades del sistema. El bloqueo de cualquier intento de ataque de una vulnerabilidad del sistema
bloqueará el exploit completamente.
En un ataque típico, el atacante intenta obtener el control de un sistema en primer lugar dañando u
omitiendo la asignación de memoria o los controladores. Utilizando técnicas de daño de memoria, como
desbordamiento de búfer o daños en la pila, el hacker puede entonces activar un error en el software o
aprovechar la vulnerabilidad de un proceso. A continuación, el atacante debe manipular un programa para
que ejecute el código facilitado o especificado por él, al mismo tiempo que evade la detección. Si el atacante
logra acceder al sistema operativo, puede entonces cargar malware, tal como troyanos (programas que
contienen archivos ejecutables maliciosos) o usar el sistema de cualquier otro modo en su beneficio. Traps
evita esos intentos de exploit mediante el uso de obstáculos o trampas en cada etapa del intento de exploit.

Para combatir estos tipos de ataques, Traps utiliza Protección contra exploits. Cuando un usuario abre
un archivo no ejecutable, tal como un PDF o un documento de Word, y el proceso que abrió el archivo
está protegido, el agente de Traps inyecta fácilmente código en el software. Esto ocurre en la etapa más
temprana posible, antes de que se cargue en la memoria cualquier archivo perteneciente al proceso. A
continuación el agente de Traps activa uno o más Módulos de protección de exploits (consulte Módulos de
protección de exploits (EPM) de Windows y Módulos de protección de exploits (EPM) de Mac) dentro del
proceso protegido. El EPM se dirige a una técnica de exploits específica y se ha diseñado para evitar ataques
a las vulnerabilidades de los programas basándose en daños de memoria o fallos lógicos.
Los ejemplos de ataques que pueden evitar los EPM incluyen el secuestro de librerías DLL (sustitución de
una DLL legítima por una malintencionada con el mismo nombre), suplantación del flujo de control de un
programa y la inserción de un código malicioso como controlador de excepciones.
Además de proteger automáticamente los procesos contra los citados ataques, Traps informa de cualquier
evento de prevención al Endpoint Security Manager, y realiza acciones adicionales según los ajustes de las
reglas de políticas de seguridad. Las acciones comunes que realiza Traps incluyen la recopilación de datos
forenses y la información al usuario en relación con el evento. Traps no realiza ninguna acción adicional de
exploración o monitorizado.

12 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps


© 2017 Palo Alto Networks, Inc.
Por defecto, la política de seguridad del endpoint protege las aplicaciones más vulnerables y las que
se utilizan con más frecuencia, pero también se pueden añadir a la lista de procesos protegidos otras
aplicaciones propias y de terceros. Para más información, consulte Añadir un nuevo proceso protegido.

GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps 13


© 2017 Palo Alto Networks, Inc.
Componentes de Traps
La solución de Traps gira en torno al Endpoint Security Manager (ESM), que incluye una consola ESM, una
base de datos, un servidor ESM y el software de protección de agente de Traps. El agente de Traps está
instalado en cada endpoint de la organización y, juntos, estos componentes administran reglas de políticas
de seguridad, distribuyen la política de seguridad a los endpoints y aplican la política en ellos. El siguiente
diagrama muestra los componentes de Traps y las relaciones entre sí y con los demás componentes de
seguridad.

En los siguientes temas se describe Traps y los demás componentes en mayor detalle.
• Consola ESM on page 14
• Servidor ESM on page 15
• Base de datos on page 15
• PUNTOS TERMINALES on page 15
• Agente de Traps on page 15
• Plataforma de logging externa on page 16
• WildFire on page 16
• Carpeta forense on page 18

Consola ESM
La consola de Endpoint Security Manager (ESM) es una interfaz web que le perite gestionar eventos de
seguridad, monitorizar el estado de los endpoints y configurar reglas de políticas desde un navegador web.
La consola ESM se comunica con la base de datos de forma independiente del servidor ESM. Puede instalar
la consola ESM en el mismo servidor que el servidor ESM, en un servidor independiente o en un servidor
basado en la nube.

Como práctica recomendada, utilice una única consola ESM para gestionar el o los
servidores ESM en su implementación de Traps. El uso de múltiples consolas ESM no es
compatible.

Para obtener información sobre los requisitos de hardware y software para la consola ESM, consulte
Requisitos de software de la consola ESM.

14 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps


© 2017 Palo Alto Networks, Inc.
Servidor ESM
El servidor Endpoint Security Manager (ESM) funciona como un servidor de conexión que transporta
información entre los componentes del ESM, incluido el agente de Traps y WildFire. cada servidor ESM
admite hasta 16.000 agentes de Traps en Traps ESM 4.0.0 o hasta 30.000 agentes de Traps en Traps
ESM 4.0.1. En una implementación de ESM múltiple puede también instalar hasta 5 servidores ESM que
admitirían hasta 80.000 agentes (Traps ESM 4.0.0) o hasta 150.000 agentes (Traps 4.0.1).
El servidor ESM recupera periódicamente la política de seguridad de la base de datos y la distribuye a todos
los agentes de Traps. Los agentes de Traps también transmiten información de eventos de seguridad al
servidor ESM. Para obtener información sobre los requisitos para el servidor ESM, consulte Requisitos de
software del servidor ESM on page 35.

Base de datos
La base de datos almacena información administrativa, reglas de las políticas de seguridad, historial de
los endpoints y otras informaciones sobre eventos de seguridad. La base de datos se gestiona mediante
la plataforma MS-SQL. Cada base de datos requiere una licencia y puede comunicarse con uno o más
servidores ESM. La base de datos puede instalarse en el mismo servidor que la consola ESM y el servidor
ESM, por ejemplo, en un entorno independiente o puede instalarse en un servidor dedicado. Para obtener
información sobre los requisitos de hardware y software para la base de datos, consulte Requisitos de
software de la consola ESM.

Durante la evaluación, recomendamos que utilice SQL Server Express, que le permite
migrar fácilmente la base de datos a SQL Server Standard o SQL Server Enterprise.

PUNTOS TERMINALES
Un endpoint es un ordenador, servidor, equipo virtual, tablet o dispositivo móvil basado en Windows o Mac
que ejecuta la aplicación de protección en el lado del cliente denominada Traps. Para conocer los requisitos
previos, consulte Traps Software Requirements.

Agente de Traps
El agente de Traps protege el endpoint mediante la aplicación de la política de seguridad de su organización
según se define en el Endpoint Security Manager. Según la configuración, Traps puede proteger contra
intentos de aprovechamiento de vulnerabilidades y errores de software, y puede prevenir la ejecución de
archivos ejecutables maliciosos en sus endpoints.
Cuando se produce un evento de seguridad en un endpoint, Traps recopila información forense sobre el
evento y, opcionalmente, también puede notificar al usuario sobre el evento e incluso mostrar un mensaje
de notificación personalizado. Periódicamente, Traps comunica el estado del endpoint y transmite los datos
relacionados con cualquier evento de seguridad al Endpoint Security Manager. La tabla siguiente describe
los tipos de mensajes que el agente de Traps envía al servidor ESM:

Tipo de mensaje DESCRIPTION

Estado de Traps El agente de Traps envía periódicamente mensajes al servidor ESM para
indicar que está operativo y para solicitar la política de seguridad más
reciente. Las páginas de notificaciones y estado del Endpoint Security
Manager muestran el estado de cada endpoint. La duración entre los
mensajes, conocida como periodo heartbeat, puede configurarse.

GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps 15


© 2017 Palo Alto Networks, Inc.
Tipo de mensaje DESCRIPTION

Notificaciones El agente de Traps envía mensajes de notificación sobre los cambios del
agente, como por ejemplo, cuándo se inicia o se detiene un servicio, al
servidor ESM. El servidor crea logs de estas notificaciones en la base de datos
y usted puede visualizar las notificaciones en la consola ESM.

Actualizaciones Un usuario final puede solicitar una actualización inmediata de las políticas al
hacer clic en Check-in now (Registrar ahora) en la consola de Traps. Esto hace
que el agente de Traps solicite la política de seguridad más reciente al servidor
ESM sin esperar a que transcurra el periodo heartbeat.

Informes de prevención Si ocurre un evento de prevención en un endpoint en el que se ha instalado


un agente de Traps, el agente envía toda la información relacionada con el
evento al servidor ESM en tiempo real.

Traps también proporciona un interfaz de usuario que se puede utilizar para ver el estado de protección
del endpoint, historial de eventos de seguridad, procesos en ejecución y reglas de políticas de seguridad
actual. Normalmente, un usuario no necesita ejecutar la consola de Traps, pero la información puede ser
de utilidad cuando se investiga un evento relacionado con la seguridad. Si fuera necesario, se puede decidir
ocultar el icono de la consola que inicia la consola o evitar que los usuarios la inicien desde un endpoint. Si
proporciona acceso a la consola de Traps, puede acceder a la consola desde la área de notificación (bandeja
del sistema) del endpoint.

Plataforma de logging externa


Al usar una plataforma de logging externa, como la administración de eventos e información de seguridad
(SIEM, por sus siglas en inglés) o un dispositivo syslog, puede ver logs acumulados de la consola y los
servidores ESM. También puede configurar el ESM para enviar logs a Panorama. La habilidad de ver los logs
de Traps en el mismo contexto que los logs del cortafuegos le permite correlacionar la actividad discreta
observada en la red y los endpoints. Los eventos correlacionados ayudan a tener una visión general de toda
su red y los endpoints de forma que pueda detectar cualquier amenaza que haya evitado la detección o se
haya aprovechado de ángulos muertos, y reforzar su política de seguridad antes de que se produzcan daños.
Cuando está habilitada, el componente del ESM envía informes acerca de los eventos a la plataforma de
logging externa, además de almacenarlos internamente. El componente del ESM que envía los logs varía
según el tipo de evento. Por ejemplo, al supervisar cambios de veredicto, la consola ESM envía logs cuando
cambia veredictos por hashes. Si WildFire cambia el veredicto, el servidor ESM envía los logs.
También puede integrar la plataforma de logging externa con herramientas de supervisión de terceros —
como Splunk— para analizar los datos de los logs. Descargue la aplicación Splunk para Palo Alto Networks
en https://apps.splunk.com/app/491/.
Para añadir una plataforma de logging externa, consulte Enviar logs a una plataforma de logging externa.

WildFire
El agente de Traps se ha diseñado para bloquear ataques antes de que se ejecute cualquier código malicioso
en el endpoint. Si bien este enfoque garantiza la seguridad de los datos y la infraestructura, tan solo permite
recopilar información forense en el momento de la prevención. Y aunque Traps puede evitar el ataque,
Traps por sí solo no puede revelar el objetivo del ataque o su flujo completo.
Para proporcionar más información sobre la actividad del malware, el Endpoint Security Manager admite
integración con WildFire. Esto permite que Endpoint Security Manager envíe archivos ejecutables

16 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps


© 2017 Palo Alto Networks, Inc.
desconocidos a WildFire, un entorno de análisis de malware que convierte amenazas desconocidas en
incidentes evitables.
Puede integrar WildFire con su Endpoint Security Manager de las dos siguientes formas:
• WildFire public cloud (Nube pública de WildFire): el entorno virtual de WildFire analiza e identifica
malware anteriormente desconocido y genera firmas que los cortafuegos de Palo Alto Networks y los
Endpoint Security Managers de Palo Alto Networks pueden usar para detectar y bloquear malware.
Cuando traps detecta una muestra desconocida (un archivo ejecutable o macro), el Endpoint Security
Manager puede enviar automáticamente la muestra a WildFire para su análisis.

• WildFire private cloud (Nube privada de WildFire): una nube privada de WildFire le permite analizar
archivos ejecutables desconocidos descubiertos en los endpoints de Windows en un entorno aislado
local. Para implementar una nube privada de WildFire, debe instalar un dispositivo WF-500 local.

El dispositivo WF-500 local es perfecto para implementaciones con regulaciones legales y privadas
que limitan la transferencia de archivos fuera de la red. El dispositivo WF-500 de WildFire consulta la
nube pública de WildFire para obtener el veredicto y, si no se conoce, analizar el archivo ejecutable en
el entorno aislado de seguridad local. De forma predeterminada, el WF-500 no envía el malware que
descubre fuera de su red. Sin embargo, puede configurarlo para que lo reenvíe automáticamente a la
nube pública de WildFire con el fin de generar y distribuir firmas a todos los cortafuegos de Palo Alto
Networks con licencias de Threat Prevention y WildFire. De lo contrario, el WF-500 solo reenvía a la
nube pública de WildFire el informe de malware (no la muestra en sí misma).
Si se habilita la integración de WildFire en la consola ESM, la página Status (Estado) de la consola de Traps
muestra un junto a Forensic Data Collection (Recopilación de datos forenses). Si WildFire no está
habilitado, la consola de Traps muestra un junto a Forensic Data Collection (Recopilación de datos
forenses).
Para obtener más información, consulte Configurar el ESM para comunicarse con WildFire y Flujo de
protección contra malware.

GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps 17


© 2017 Palo Alto Networks, Inc.
Carpeta forense
Cuando Traps encuentra un evento relacionado con la seguridad, como la ejecución de un archivo o un
ataque de exploits, crea un log de detalles forenses en tiempo real en relación con el evento del endpoint.
Los datos forenses incluyen el volcado de memoria y otra información asociada con el evento. Puede
obtener los datos forenses creando una regla de acción para recopilar los datos del endpoint. Una vez que
el endpoint recibe la política de seguridad que incluye la regla de acción, el agente de Traps envía toda la
información forense a la carpeta forense, que en ocasiones se denomina carpeta de cuarentena.
Durante la instalación inicial, usted especifica la ruta de la carpeta forense que utiliza el Endpoint Security
Manager para almacenar la información forense que recupera de los endpoints. El Endpoint Security
Manager es compatible con múltiples carpetas forenses y habilita el Servicio de transferencia inteligente en
segundo plano (Background Intelligent Transfer Service, BITS) en la carpeta durante la instalación. Si no se
puede acceder a la carpeta forense especificada durante la instalación, Traps utiliza por defecto la carpeta
forense especificada en la consola ESM. Puede cambiar la carpeta por defecto en cualquier momento
utilizando la consola ESM.
Para obtener más información, consulte Flujo de datos forenses on page 229.

18 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps


Situaciones de implementación de Traps
Puede implementar la solución de Traps en una amplia variedad de entornos. Los temas
siguientes describen los escenarios típicos de implementación, tomando en consideración el
número de agentes y sitios:

> Implementación independiente on page 21


> Implementaciones pequeñas on page 22
> Implementaciones grandes on page 24

Para conocer los requisitos previos y consideraciones en relación con la instalación, consulte
Requisitos on page 29.

19
20 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps
© 2017 Palo Alto Networks, Inc.
Implementación independiente

Para una prueba de concepto (proof of concept, POC) inicial o un sitio pequeño con menos de 3000 agentes
de Traps, utilice una implementación independiente para instalar los siguientes componentes del Endpoint
Security Manager (ESM) en un solo servidor o equipo virtual:
• Servidor ESM
• Consola ESM
• Carpeta forense (cuarentena)
• Base de datos
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
Para las prácticas correctas en el uso de un enfoque en fases en la instalación de Traps en endpoints,
consulte Proceso de implementación de Traps recomendado on page 55.

GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps 21


© 2017 Palo Alto Networks, Inc.
Implementaciones pequeñas
• Implementación pequeña de un solo sitio on page 22
• Implementación pequeña de múltiples sitios on page 23

Implementación pequeña de un solo sitio

Este escenario de implementación de sitio único admite hasta 16.000 agentes de Traps en Traps ESM 4.0.0
o hasta 30.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM para la administración de la política de seguridad y los agentes de Traps.
• Dos servidores ESM, uno principal y otro de respaldo, en el mismo segmento de red que el servidor de
base de datos y la consola ESM.
• Una carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los
detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este escenario de implementación, un solo sitio contiene la base de datos, la consola ESM para la
administración de las políticas locales y los endpoints y servidores ESM redundantes. Si no se puede acceder
al servidor ESM principal, los agentes de Traps se conectan al Endpoint Security Manager utilizando el
servidor de respaldo. Ambos servidores obtienen la política de seguridad de la base de datos y la distribuyen
a los agentes.

22 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps


© 2017 Palo Alto Networks, Inc.
Implementación pequeña de múltiples sitios

Este escenario de implementación de varios sitio admite hasta 32.000 agentes de Traps si se usa Traps
ESM 4.0.0 o hasta 30.000 agentes de Traps si se está usando Traps ESM 4.0.1 y consta de los siguientes
componentes:
• Un servidor de base de datos dedicado en uno de los sitios.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM por sitio o dos servidores ESM por sitio para la redundancia.
• Una carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los
detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este escenario de implementación, el Sitio A contiene un servidor ESM, la base de datos y una consola
ESM para la administración de políticas locales y endpoints. El Sitio B contiene un segundo servidor ESM
con capacidad para 16.000 agentes adicionales en Traps ESM 4.0.0 o 30.000 agentes de Traps adicionales
en Traps 4.0.1. Ambos servidores obtienen la política de seguridad de la base de datos localizada en el Sitio
A y la distribuyen a los agentes. Los agentes se conectan con el servidor ESM principal de su sitio, mientras
el servidor ESM del otro sitio actúa como servidor secundario de respaldo.

GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps 23


© 2017 Palo Alto Networks, Inc.
Implementaciones grandes
• Implementación grande de un solo sitio on page 24
• Implementación grande de múltiples sitios con un Endpoint Security Manager on page 25
• Implementación grande de múltiples sitios con agentes en itinerancia (sin VPN) on page 26
• Implementación grande de múltiples sitios con agentes en itinerancia (con VPN) on page 27

Implementación grande de un solo sitio

Este escenario de implementación de un único sitio admite hasta 80.000 agentes de Traps en Traps ESM
4.0.0 o hasta 150.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM 4.0.0 para cada 16.000 agentes de Traps (hasta un máximo de 80.000 agentes) o un
servidor ESM 4.0.1 para cada 30.000 agentes de Traps (hasta un máximo de 150.000 agentes).
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, se pueden conectar hasta 80.000 (4.0.0) o 130.000 (4.0.1) agentes de Traps al Endpoint
Security Manager. Para permitir este escenario, los endpoints se conectan a cinco servidores ESM a
través de un equilibrador de carga opcional. Cada servidor ESM se conecta a una base de datos central
administrada por una consola ESM dedicada.

24 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps


© 2017 Palo Alto Networks, Inc.
Implementación grande de múltiples sitios con un Endpoint
Security Manager

Este escenario de implementación de varios sitios admite hasta 80.000 agentes de Traps en Traps ESM
4.0.0 o hasta 150.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM para cada 16.000 agentes de Traps (para un máximo de 80.000 agentes) en cada sitio
4.0.0 o 30.000 agentes de Traps (para un máximo de 150.000 agentes) en cada sitio 4.0.1
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, los sitios A, B, C, D y E necesitan poder admitir hasta 16.000 agentes de Traps cada uno
en Traps ESM 4.0.0 o 30.000 agentes de Traps en Traps ESM 4.0.1. Para permitir este escenario, debe
implementar un servidor ESM en cada sitio que recupera la política de seguridad de la base de datos ubicada
en el Sitio A. Los agentes se conectan al Endpoint Security Manager utilizando sus servidores ESM locales
como servidor principal y usan los servidores ESM de otros sitios como servidores secundarios.

GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps 25


© 2017 Palo Alto Networks, Inc.
Implementación grande de múltiples sitios con agentes en
itinerancia (sin VPN)

Este escenario de implementación está compuesto por los siguientes componentes:


• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM para cada 30.000 agentes de Traps (para un máximo de 150.000 agentes) en cada sitio
4.0.1 o 16.000 agentes de Traps (para un máximo de 80.000 agentes) en cada sitio 4.0.0
• Un servidor ESM con un registro DNS público que acepte las conexiones de agentes de Traps en
itinerancia de alguna de las siguientes maneras:
• Configurado con un puerto que acepte conexiones de redes externas.
• Instalado en un DMZ con una conexión al servidor de base de datos interno.

Este servidor también puede funcionar como servidor de respaldo.

• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, los sitios A, B, C y D necesitan poder admitir hasta 16.000 agentes de Traps cada uno en
Traps ESM 4.0.0 o 30.000 agentes de Traps en Traps ESM 4.0.1. Un sitio adicional admite agentes de Traps
que están en itinerancia. Para permitir este escenario, cada sitio contiene un servidor ESM que recupera
la política de seguridad de la base de datos ubicada en el Sitio A. Los endpoints internos se conectan al
Endpoint Security Manager utilizando sus servidores ESM locales. Los endpoints externos se conectan a
través de un servidor ESM público localizado en un DMZ o a través de un puerto que se configura para
permitir el tráfico de redes externas. Si un endpoint está en itinerancia y no se puede conectar al servidor

26 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps


© 2017 Palo Alto Networks, Inc.
ESM, Traps recoge los datos de prevención localmente hasta que el agente puede establecer una conexión
con la carpeta forense.

Implementación grande de múltiples sitios con agentes en


itinerancia (con VPN)

En Traps ESM 4.0.1, este escenario de implementación admite hasta 90.000 agentes de Traps que se
pueden conectar a través de sitios locales y desde ubicaciones remotas a través de un túnel VPN. Para
admitir hasta 150.000 agentes de Traps, puede implementar dos servidores ESM 4.0.1 adicionales.
En Traps ESM 4.0.0, este escenario de implementación admite hasta 48.000 agentes de Traps que se
pueden conectar a través de sitios locales y desde ubicaciones remotas a través de un túnel VPN. Para
admitir hasta 80.000 agentes de Traps, puede implementar dos servidores ESM 4.0.0 adicionales.
Este entorno de sitios múltiples está compuesto por los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM para cada 30.000 agentes de Traps (para un máximo de 150.000 agentes) en cada sitio
4.0.1 o 16.000 agentes de Traps (para un máximo de 80.000 agentes) en cada sitio 4.0.0

GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps 27


© 2017 Palo Alto Networks, Inc.
• GlobalProtect o una gateway VPN alternativa para proporcionar a los usuarios en itinerancia una
dirección IP interna para acceder al servidor ESM.
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, los sitios A, B y C necesitan poder admitir hasta 16.000 agentes de Traps cada uno,
con algunos de esos agentes ubicados fuera del emplazamiento. Para permitir este escenario, cada sitio
contiene un servidor ESM que recupera la política de seguridad de la base de datos ubicada en el Sitio A.
Los endpoints internos se conectan al Endpoint Security Manager utilizando sus servidores ESM locales. Los
endpoints externos se conectan a través de un túnel VPN que proporciona el endpoint con una dirección IP
interna para la conexión al sitio. Si un endpoint está en itinerancia y no se puede conectar a través de VPN,
Traps recoge los datos de prevención localmente hasta que el agente puede establecer una conexión con la
carpeta forense.

28 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps


Requisitos
En los siguientes temas siguientes se describen los requisitos previos para la instalación de la
infraestructura de Traps.

> Requisitos de hardware on page 31


> Requisitos de software on page 35

29
30 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos
© 2017 Palo Alto Networks, Inc.
Requisitos de hardware
• Requisitos de hardware para un Endpoint Security Manager independiente on page 31
• Requisitos de hardware para un Endpoint Security Manager distribuido on page 32
• Requisitos de hardware de Traps on page 34

Requisitos de hardware para un Endpoint Security Manager


independiente

En un Implementación independiente on page 21, instala los componentes de Endpoint Security Manager
components, que están compuestos del servidor ESM, consola ESM y base de datos, en el mismo servidor.
La tabla siguiente muestra los requisitos de requisitos para un servidor independiente.

Especificación 250 agentes 3000 agentes

Procesador 2-Core Intel Xeon E5-2660 V2 4-Core Intel Xeon E5-2660 V2


2,2 GHz o superior 2,2 GHz o superior

Espacio de disco para • Primer año: 250MB • Primer año: 2,5GB


datos de Traps • Segundo año 500MB • Segundo año 5GB
• Tercer año 1GB • Tercer año 10GB

RAM 4GB 16GB

Base de datos SQL Express Servidor SQL

Para los requisitos de Traps, consulte Requisitos de hardware de Traps on page 34.

GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos 31


© 2017 Palo Alto Networks, Inc.
Requisitos de hardware para un Endpoint Security Manager
distribuido
En una implementación distribuida, usted instala los componentes del Endpoint Security Manager, que
están compuestos del servidor ESM, consola ESM y base de datos, en servidores diferentes.
Las siguientes tablas muestran los requisitos de hardware para cada Endpoint Security Manager en las
versiones 4.0.1 y 4.0.0. Para los requisitos de hardware necesarios para la instalación de los componentes
ESM en un servidor independiente , consulte Requisitos de hardware para un Endpoint Security Manager
independiente.

Table 1: Requisitos de hardware para ESM 4.0.1

Especificación 500 agentes 5.000 10.000 30.000 100.000 150.000


agentes agentes agentes agentes agentes

Requisitos de hardware de la consola ESM

Procesador 2-Core 4-Core 4-Core 4-Core 4-Core 4-Core


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o
superior superior superior superior superior superior

Espacio en 3 GB más 3 GB más 3 GB más 3 GB más 3 GB más 3 GB más


disco 50 GB para 50 GB para 50 GB para 50 GB para 50 GB para 50 GB para
la carpeta la carpeta la carpeta la carpeta la carpeta la carpeta
forense forense forense forense forense forense

RAM 4GB 8GB 8GB 8GB 8GB 8GB

Requisitos de hardware del servidor ESM

Procesador 2-Core 4-Core 8-Core 8-Core Instale Instale


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 4 o más 5 o más
superior superior superior superior servidores servidores
ESM para ESM para
Espacio en 3 GB más 3 GB más 3 GB más 3 GB más admitir este admitir este
disco 50 GB para 50 GB para 50 GB para 50 GB para número de número de
la carpeta la carpeta la carpeta la carpeta agentes agentes
forense forense forense forense (cada (cada
servidor servidor
RAM 4GB 4GB 8GB 8GB tiene tiene
capacidad capacidad
para hasta para hasta
30.000 30.000
agentes) agentes)

Requisitos de hardware de la base de datos

Procesador 4-Core 8-Core 8-Core 8-Core 8-Core 8-Core


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o
superior superior superior superior superior superior

32 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos


© 2017 Palo Alto Networks, Inc.
Especificación 500 agentes 5.000 10.000 30.000 100.000 150.000
agentes agentes agentes agentes agentes

Espacio de • Primer • Primer • Primer • Primer • Primer • Primer


disco para año: año: año: año: año: año:
datos de 250MB 2,5GB 5GB 15GB 50GB 75GB
Traps • Segundo • Segundo • Segundo • Segundo • Segundo • Segundo
año año 5GB año año año año
500MB • Tercer 10GB 30GB 100GB 150GB
• Tercer año • Tercer • Tercer • Tercer • Tercer
año 1GB 10GB año año año año
20GB 60GB 200GB 300GB

RAM 4GB de 8GB de 8GB de 8GB de 32GB de 32GB de


RAM RAM RAM RAM RAM RAM

Table 2: Requisitos de hardware para ESM 4.0.0

Especificación 500 agentes 5.000 10.000 16.000 50.000 80.000


agentes agentes agentes agentes agentes

Requisitos de hardware de la consola ESM

Procesador 2-Core 4-Core 4-Core 4-Core 4-Core 4-Core


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o
superior superior superior superior superior superior

Espacio en 3 GB más 3 GB más 3 GB más 3 GB más 3 GB más 3 GB más


disco 50 GB para 50 GB para 50 GB para 50 GB para 50 GB para 50 GB para
la carpeta la carpeta la carpeta la carpeta la carpeta la carpeta
forense forense forense forense forense forense

RAM 4GB 8GB 8GB 8GB 8GB 8GB

Requisitos de hardware del servidor ESM

Procesador 2-Core 4-Core 8-Core 8-Core Instale Instale


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 4 o más 5 o más
superior superior superior superior servidores servidores
ESM para ESM para
Espacio en 3 GB más 3 GB más 3 GB más 3 GB más admitir este admitir este
disco 50 GB para 50 GB para 50 GB para 50 GB para número de número de
la carpeta la carpeta la carpeta la carpeta agentes agentes
forense forense forense forense (cada (cada
servidor servidor
RAM 4GB 4GB 8GB 8GB tiene tiene
capacidad capacidad
para hasta para hasta
16.000 16.000
agentes) agentes)

Requisitos de hardware de la base de datos

GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos 33


© 2017 Palo Alto Networks, Inc.
Especificación 500 agentes 5.000 10.000 16.000 50.000 80.000
agentes agentes agentes agentes agentes

Procesador 4-Core 8-Core 8-Core 8-Core 8-Core 8-Core


2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o 2,2 GHz o
superior superior superior superior superior superior

Espacio de • Primer • Primer • Primer • Primer • Primer • Primer


disco para año: año: año: año: año: año:
datos de 250MB 2,5GB 5GB 7,5GB 26GB 52GB
Traps • Segundo • Segundo • Segundo • Segundo • Segundo • Segundo
año año 5GB año año año año
500MB • Tercer 10GB 15GB 52GB 104GB
• Tercer año • Tercer • Tercer • Tercer • Tercer
año 1GB 10GB año año año año
20GB 30GB 100GB 200GB

RAM 4GB de 8GB de 8GB de 8GB de 32GB de 32GB de


RAM RAM RAM RAM RAM RAM

Requisitos de hardware de Traps


La siguiente tabla muestra los requisitos de hardware para cada endpoint.

Especificación Por endpoint

Procesador • Intel Pentium 4 o superior con soporte para el conjunto de


instrucciones SSE2
• AMD Opteron/Athlon 64 o superior con soporte para el
conjunto de instrucciones SSE2

Espacio en 200 MB mínimo; 20 GB recomendado


disco

RAM 512MB mínimo; 2GB recomendado

Para los requisitos de software, consulte Requisitos de software de Traps on page 37.

34 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos


© 2017 Palo Alto Networks, Inc.
Requisitos de software
• Requisitos de software de la consola ESM on page 35
• Requisitos de software del servidor ESM on page 35
• Requisitos de software de la base de datos on page 36
• Requisitos de software de Traps on page 37

Requisitos de software de la consola ESM


Antes de instalar el software de la consola ESM, asegúrese de que el servidor reúna los siguientes
requisitos:
El servidor ESM y la consola ESM deben ejecutar la misma versión.
Versión en inglés de Windows Server físico o virtual. Para determinar qué versiones de Windows Server
son compatibles, consulte ¿Dónde puedo instalar Endpoint Security Manager [ESM]? en la Matriz de
compatibilidad de Palo Alto Networks®.
Internet Information Services (IIS) 7.0 o posterior conASP.NET y componentes de compresiones de
contenidos estáticos
.NET Framework 4.5.1 Full
Certificado SSL de una autoridad de certificación (certificate authority, CA) de confianza con
autenticación del servidor y autenticación del cliente (recomendado).
Permite la comunicación en el puerto TCP de los clientes con el servidor (el puerto por defecto es 2125).
Carpeta forense con BITS habilitado.
Permite la comunicación en el puerto HTTP (80) o puerto HTTPS (443) de los clientes con la carpeta de
cuarentena.
Navegador, cualquiera de los siguientes:
• Internet Explorer 10 y versiones posteriores.
• Microsoft Edge (todas las versiones)
• Chrome 30 y versiones posteriores.
• Firefox 35 y versiones posteriores.
• Opera 25 y versiones posteriores.
Para información sobre los requisitos de hardware de la consola ESM, consulte Requisitos de hardware
para un Endpoint Security Manager distribuido

Requisitos de software del servidor ESM


En una implementación de varias consolas ESM, puede implementar varios servidores ESM para admitir los
agentes en su organización. El número de agentes que la implementación ESM admite, al igual que cada
servidor, varía dependiendo de la versión ESM.
• 4.0.1: 30.000 agentes por servidor ESM y un total de 150.000 agentes por base de datos
• 4.0.0: 16.000 agentes por servidor ESM y un total de 80.000 agentes por base de datos
A pesar de que es posible implementar el número de servidores ESM que desee, no es posible sobrepasar el
número total de agentes admitidos en la base de datos.
Antes de instalar el software del servidor ESM, asegúrese de que el servidor reúna los siguientes requisitos:
El servidor ESM y la consola ESM deben ejecutarse con la misma versión.
Asegúrese de que el tiempo de comunicación de ida y vuelta entre el servidor ESM y la base de datos es
de menos de 80 minutos.
.NET Framework 4.5.1 Full

GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos 35


© 2017 Palo Alto Networks, Inc.
Certificado SSL de una autoridad de certificación (certificate authority, CA) de confianza con
autenticación del servidor y autenticación del cliente (recomendado).
Permite la comunicación en el puerto TCP de los clientes con el servidor (el puerto por defecto es 2125).
Carpeta forense con BITS habilitado.
Internet Information Services (IIS) 7.0 o posterior con ASP.NET y componentes de compresiones de
contenidos estáticos
Versión en inglés de Windows Server físico o virtual. Para determinar qué versiones de Windows Server
son compatibles, consulte ¿Dónde puedo instalar Endpoint Security Manager [ESM]? en la Matriz de
compatibilidad de Palo Alto Networks®.
La comunicación entre el servidor ESM y los agentes se basa en el cliente de Windows Communication
Foundation (WCF) con versión TLS/SSL que depende de la versión del agente de Traps y el sistema
operativo.
• Traps 4.0.x en Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008: TLS/
SSL 1.0
• Traps 4.0.x en todos los demás sistemas operativos: TLS/SSL 1.2
• Traps 3.4.x: TLS/SSL 1.0
Para información sobre los requisitos de hardware del servidor ESM, consulte Requisitos de hardware
para un Endpoint Security Manager distribuido on page 32

Requisitos de software de la base de datos


Las aplicaciones del servidor requieren una base de datos SQL que puede ser local, instalada en el mismo
servidor que la consola o el servidor ESM, o externa, instalada en otro equipo. Si planea implementar varios
servidores ESM, instale la base de datos en la consola ESM o utilice una base de datos externa.

Consulte al equipo de soporte de Palo Alto Networks si necesita integración con una base
de datos existente.

Suministro de un servidor de base de datos que cumpla con los siguientes requisitos previos:
Aplicación de base de datos para utilizarla durante la evaluación o la producción. Utilice uno de los
siguientes:

SQL Server Express SQL Server Enterprise SQL Server Standard

Versiones • 2008 R2 • 2008 R2 • 2008 R2


• 2012 • 2012 • 2012
• 2014 • 2012 con Always • 2014
• 2016 On* • 2016
• 2014 • 2016 con Always
• 2014 con Always On*
On*
* Always On (Siempre
• 2016 activo) según la
• 2016 con Always disponibilidad de grupo
On*
* Always On (Siempre
activo) según la
disponibilidad de grupo

36 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos


© 2017 Palo Alto Networks, Inc.
SQL Server Express SQL Server Enterprise SQL Server Standard

Agentes admitidos • 200 endpoints • 200 endpoints • 200 endpoints


durante la • 50 VDI • 50 VDI • 50 VDI
evaluación • 50 servidores • 50 servidores • 50 servidores

Agentes soportados 250 agentes • 4.0.1—150.000 • 4.0.1—150.000


en producción por agentes agentes
cluster de base de • 4.0.0—80.000 • 4.0.0—80.000
datos agentes agentes
Versión en inglés de Windows Server físico o virtual. Para determinar qué versiones de Windows Server
son compatibles, consulte ¿Dónde puedo instalar Endpoint Security Manager [ESM]? en la Matriz de
compatibilidad de Palo Alto Networks®.
Para información sobre los requisitos de hardware de la base de datos, consulte Requisitos de hardware
para un Endpoint Security Manager distribuido

Requisitos de software de Traps


Antes de instalar el software de Traps, asegúrese de que el endpoint de destino cumple los siguientes
requisitos previos:
Servidor ESM o consola ESM que ejecute la misma versión o una versión posterior que el agente de
Traps.
Sistema operativo: Palo Alto Networks admite Traps en varios sistemas operativos. Para conocer la
versión de Traps mínima de un sistema operativo en concreto, consulte Where Can I Install the Endpoint
Security Manager (ESM)? (¿Dónde puedo instalar Endpoint Security Manager [ESM]?) en Palo Alto
Networks® Compatibility Matrix (Matriz de compatibilidad de Palo Alto Networks®).
Entornos virtuales y aplicaciones: Palo Alto Networks admite Traps en escritorios y aplicaciones
virtuales. Para conocer la versión de Traps mínima para una tecnología virtual en concreto, consulte
¿Dónde puedo instalar Endpoint Security Manager (ESM)? en la Matriz de compatibilidad de Palo Alto
Networks®.
Permite la comunicación en el puerto TCP de los clientes con el servidor (el puerto por defecto es 2125).
(Solo Windows) .NET:

Sistema operativo Versión de .NET

Windows 7 y versiones anteriores .NET 3.5 SP1 o 3.5.1

Windows 8 .NET 4.5

Windows 8,1 .NET 4.5.1

Windows 10 y versiones posteriores .NET 4.6

Windows Server 2008 .NET 3.5 SP1 o 3.5.1

Windows Server 2012 .NET 4.5

Windows Server 2012 R2 y versiones posteriores .NET 4.5.1

Windows Server 2016 .NET 4.5.1

GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos 37


© 2017 Palo Alto Networks, Inc.
(Solo Windows ) cliente BITS
(Solo Windows) accesorios de Windows (bloc de notas) para ver logs.
Requisitos de hardware de Traps

38 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos


Configurar la infraestructura de Traps
Los temas siguientes muestran cómo configurar los componentes de la infraestructura de
Traps:

> Configurar la infraestructura de endpoints


> Activar licencias de Traps
> Configurar Endpoint Security Manager
> Configurar los endpoints
> Instalar componentes de Traps usando Msiexec de Windows
> Verificar una instalación correcta

39
40 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps
© 2017 Palo Alto Networks, Inc.
Configurar la infraestructura de endpoints
Use el siguiente flujo de trabajo para configurar la infraestructura de endpoints o, para actualizar la
infraestructura de endpoints existente, utilice el flujo de trabajo para Actualizar a Traps 4.0como se describe
en la Guía de nuevas funciones de Traps 4.0:

STEP 1 | Activar licencias de Traps.

STEP 2 | Revise las consideraciones de instalación del software.


Consideraciones de instalación de la infraestructura de endpoints
Requisitos

STEP 3 | Revise las etapas de implementación recomendadas.


Proceso de implementación de Traps recomendado

STEP 4 | (Opcional) Configure el cifrado de SSL.


Cifrado de TLS/SSL para los componentes de Traps

STEP 5 | (Opcional) Configure el servidor MS-SQL.


Requisitos de software de la base de datos
Configurar la base de datos del servidor MS-SQL

STEP 6 | Instale el software del servidor ESM


Requisitos de software del servidor ESM
Instalar el software del servidor de Endpoint Security Manager
(Opcional) Instalar componentes de Traps usando Msiexec de Windows

STEP 7 | Instale el software de la consola ESM


Requisitos de software de la consola ESM
Instalar el software de la consola de Endpoint Security Manager
(Opcional) Instalar componentes de Traps usando Msiexec de Windows

STEP 8 | Instale el agente de Traps en los endpoints.


Requisitos de software de Traps
Instalar Traps en endpoints de Windows
(Opcional) Instalar componentes de Traps usando Msiexec de Windows

STEP 9 | Verifique que la instalación se haya realizado correctamente.


Verificar una instalación correcta

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 41


© 2017 Palo Alto Networks, Inc.
Activar licencias de Traps
Antes de poder comenzar a usar el Endpoint Security Manager para prevenir ataques de malware y exploits
en sus endpoints, debe activar la licencia de Traps para el número de agentes de endpoint que se haya
comprado. Al añadir nuevas licencias o renovar las que ya tenía, el portal de atención al cliente añade
automáticamente las licencias con el código de autorización que ya tiene. Como resultado, solo necesita
activar una licencia si lo hace por primera vez.

STEP 1 | Inicie sesión en el sitio web de soporte de Palo Alto Neworks tras recibir el correo electrónico
de procesamiento.

STEP 2 | (Solo licencias nuevas) Seleccione Assets (Activos) > Advanced Endpoint Protections (Protección
avanzada de endpoint) > Activate New Auth-Code (Activar nuevo código de autenticación).

STEP 3 | (Solo licencias nuevas) Introduzca en el campo Authorization Code (Código de autenticación) el
código de autorización de Traps que encontrará en el correo electrónico de procesamiento y
haga clic en Agree and Submit (Aceptar y enviar).

STEP 4 | En la columna License (Licencia), haga clic en el icono de descarga ( ) para descargar la clave
de licencia.

STEP 5 | Seleccione la versión de Traps en la que se utilizará esta clave de licencia (Pre 3.3, 3.3-3.4 o
4.0) y haga clic en Download (Descargar).

42 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
STEP 6 | Guarde la clave de licencia en una ubicación a la que pueda acceder desde el Endpoint Security
Manager.

STEP 7 | Continúe con la configuración del Endpoint Security Manager.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 43


© 2017 Palo Alto Networks, Inc.
Configurar Endpoint Security Manager
• Consideraciones de instalación de la infraestructura de endpoints on page 44
• Cifrado de TLS/SSL para los componentes de Traps on page 44
• Configurar la base de datos del servidor MS-SQL on page 46
• Instalar el software del servidor de Endpoint Security Manager on page 48
• Instalar el software de la consola de Endpoint Security Manager on page 51

Consideraciones de instalación de la infraestructura de endpoints


Para instalar o actualizar los componentes del ESM, considere lo siguiente:
• El servidor ESM y la consola ESM deben tener la misma versión.
• El servidor ESM y la consola ESM son compatibles con versiones mixtas de Traps y también son
compatibles con versiones anteriores. Por ejemplo, un servidor ESM y consola ESM puede admitir una
mezcla de agentes de Traps ejecutando tanto la versión actual como la anterior.
Consulte también: Requisitos on page 29.

Cifrado de TLS/SSL para los componentes de Traps


Traps admite las versiones 1.0 y 1.2 de Seguridad de la capa de transporte (TLS) y la 3.0 de Capa de sockets
seguros (SSL). Los protocolos TLS/SSL —o sencillamente SSL, como se les conoce con frecuencia— permiten
a los clientes confiar en la identidad del servidor y la transmisión de datos y garantiza la comunicación
a través de del cifrado del tráfico. Traps usa TLS/SSL como protocolo de comunicación para proteger el
tráfico entre los siguientes componentes:
• Servidor ESM y agentes de Traps
• Consola ESM y usuario administrativo
• Consola ESM y Panorama
• Consola ESM y WildFire
• Servidor ESM y Panorama
• Servidor ESM y WildFire
• Carpeta de carga de BITS y agentes de Traps
Traps admite TLS 1.2 en endpoints de Mac y proporciona soporte doble para TLS 1.2 y 1.0 en los endpoints
de Windows, dependiendo de la versión de la biblioteca de .NET:
• Las versiones más antiguas de Windows (como por ejemplo Windows XP), que utilizan .NET 3.5 admiten
TLS 1.0
• Las versiones más recientes de Windows, que utilizan .NET 4.5, admiten TLS 1.2

44 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
A continuación se detallan los tres pasos para habilitar SSL en los componentes de Traps. En primer lugar,
debe emitir o solicitar un certificado para cada servidor y consola ESM. Tenga en cuenta que no hace falta
realizar ajustes adicionales en el tráfico entre WildFire y el servidor ESM puesto que este último cifra el
tráfico con los certificados de terceros de confianza que Windows incluye por defecto. Seguidamente,
habilite el cifrado SSL durante la instalación del servidor y la consola ESM. Por último, implemente el
certificado —según el tipo— en sus endpoints. A continuación dispone de instrucciones más detalladas:

STEP 1 | Emita o solicite un certificado para cada componente de ESM —servidor y consola— con el
propósito de autentificar el servidor y el cliente. Este certificado debe ser de un tipo tal que le
permita exportarlo con una contraseña.
El nombre del certificado puede ser simple o incluir caracteres comodín. Un certificado con un nombre
simple requiere que el Nombre común, CN del certificado coincida con el nombre de dominio completo
(FQDN) del componente del ESM (por ejemplo, servidor.trapsserver.com). Un certificado con un
nombre con caracteres comodín le permite utilizar el mismo certificado con aquellos componentes
del ESM que compartan el mismo subdominio (por ejemplo, puede usar *.trapsserver.com tanto para
servidor.trapsserver.com como para consola.trapsserver.com). Este último tipo de certificado también
resulta útil en implementaciones con varios servidores ESM.

Si va a utilizar un certificado con un nombre con caracteres comodín, le recomendamos


configurar el nombre del servidor con el FQDN al instalar el software ESM.

Siga uno de estos procesos básicos para obtener certificados:


• Obtener certificados de una CA externa de confianza: La ventaja de obtener un certificado de una
entidad de certificación (CA) externa de confianza como GoDaddy es que los endpoints ya confiarán
en el certificado porque las actualizaciones de Windows y los navegadores más habituales incluyen
certificados de CA raíz de entidades conocidas en sus almacenes de certificados raíz de confianza.
• Obtener certificados de una CA de empresa: Las empresas con su propia CA raíz interna podrán
utilizarla con el fin de emitir certificados para los componentes de ESM. La ventaja es que los clientes
vinculados a un dominio probablemente ya confían en la CA de empresa. Otra ventaja de este
método es que la clave privada no sale del componente de ESM.
• Generar certificados autofirmados: Un certificado autofirmado lo firma la misma entidad cuya
identidad certifica. Puede generar un certificado autofirmado con el Administrador de IIS u otra
herramienta disponible para el público e implementarla posteriormente en el endpoint.

STEP 2 | Instale el software ESM y habilite el cifrado SSL; consulte todas las instrucciones de la
instalación en Instalar el software del servidor de Endpoint Security e Instalar el software de la
consola de Endpoint Security Manager.
1. Durante la instalación tanto del servidor como de la consola ESM, seleccione la opción External
Certificate (SSL) (Certificado externo [SSL]) y busque el archivo PKCS#12 o PFX que contiene el
certificado y la clave privada.

Si aún no dispone de un archivo PKCS#12 o PFX, siga el método que prefiera para
generarlo. Por ejemplo, en IIS puede usar la función Export (Exportar) de MMC
Console (Consola MMC) > Certificates snap-in (Complemento de certificados). Al
exportar el certificado y la clave privada, debe crear una contraseña para proteger la
clave.
2. Introduzca la contraseña del certificado.
El instalador vincula el certificado al puerto de comunicación entre el agente y el ESM.
Si instala Traps en el servidor ESM y la consola ESM, y utiliza un certificado autofirmado o uno de
CA de empresa, también deberá instalar el certificado en el servidor como se describe en el siguiente
paso.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 45


© 2017 Palo Alto Networks, Inc.
STEP 3 | (Certificados emitidos por una CA de empresa y certificados autofirmados) Instale el certificado en el
almacén de certificados raíz de confianza (certificados de CA de empresa y autofirmados) de la
cuenta del ordenador. Los endpoints confían automáticamente en los certificados emitidos por
un CA externo de confianza —debido a la cadena de confianza— y no hace falta instalarlos.
1. Añada el certificado al endpoint mediante uno de estos métodos:
• Copie manualmente el certificado.
• Inclúyalo en la imagen maestra de los nuevos endpoints.
• Siga un método de implementación centralizado como, por ejemplo, un objeto de directiva de
grupo (GPO) de Active Directory.
2. Compruebe que el certificado figura en el almacén correcto del endpoint.

Configurar la base de datos del servidor MS-SQL


Endpoint Security Manager exige una base de datos que esté administrada en la plataforma SQL Server
(para conocer las versiones de SQL Server compatibles, consulte Requisitos de software de la base de
datos). Endpoint Security Manager utiliza la base de datos para almacenar información administrativa, reglas
de políticas de seguridad, información acerca de eventos de seguridad y otros datos.
Antes de instalar Endpoint Security Manager, debe configurar la base de datos SQL con los permisos
necesarios. Cuando utilice la autenticación de Windows como método de autenticación de usuarios, el
propietario debe tener permisos para iniciar sesión como servicio y ser un administrador local en el servidor
ESM.
Se recomienda el procedimiento siguiente como la práctica correcta para crear y configurar una base de
datos de servidor MS-SQL.

STEP 1 | Cree una nueva base de datos.


1. Seleccione SQL Server Management Studio en el menú Inicio.
2. Haga clic en Connect (Conectar) para abrir Microsoft SQL Server Management Studio.

3. Haga clic con el botón derecho en Databases (Bases de datos) y luego seleccione New Database
(Nueva base de datos).

46 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
STEP 2 | Configure los ajustes de la base de datos.
El propietario de la base de datos que especifique ya debe existir como administrador local o de dominio.

1. Introduzca el Database name (Nombre de la base de datos).


2. Seleccione el Owner (Propietario) de la base de datos:
1. Haga clic en el botón de puntos suspensivos ( ).
2. Introduzca el nombre del objeto con el formato [domain\user] o Browse (Examinar) para
buscar un nombre de objeto.
3. Seleccione Check Names (Comprobar nombres) para validar el propietario de la base de datos.
3. Haga clic en OK (Aceptar) y luego haga clic en OK (Aceptar) otra vez.

STEP 3 | Verifique los privilegios del propietario de la base de datos.


1. Expanda la base de datos que ha creado y, a continuación, seleccione Security (Seguridad) > Users
(Usuarios).
2. Haga doble clic en dbo.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 47


© 2017 Palo Alto Networks, Inc.
3. Seleccione la página Owned Schemas (Esquemas propios) y luego seleccione db_owner.
4. Seleccione la página Membership (Pertenencia) y luego seleccione db_owner.
5. Haga clic en OK (Aceptar).

Instalar el software del servidor de Endpoint Security Manager


Para instalar el software del servidor de Endpoint Security Manager (ESM):

STEP 1 | Antes de comenzar:


• Verifique que el servidor reúne los requisitos que se describen en Requisitos de software del servidor
ESM.
• Obtenga una código de autorización de su gestor de cuentas de Palo Alto Networks o del distribuidor
y Active las licencias de Traps.
• Obtenga el software de https://support.paloaltonetworks.com (TOOLS (HERRAMIENTAS) >
SOFTWARE UPDATES (ACTUALIZACIONES DE SOFTWARE) > Filter By (Filtrar por): Endpoint
Security Manager).

STEP 2 | Inicie la instalación del software del servidor ESM También puede instalar el servidor ESM
usando Msiexec (consulte Instalar componentes de Traps usando Msiexec de Windows).
1. Haga doble clic en el archivo de instalación ESMCore.
2. Haga clic en Next (Siguiente) para comenzar el proceso de configuración.
3. En el diálogo del Contrato de licencia de usuario final, seleccione la casilla I accept the terms in the
License Agreement (Acepto los términos del contrato de licencia) y, a continuación, haga clic en Next
(Siguiente).
4. Deje la carpeta de instalación por defecto o haga clic en Change (Cambiar) para especificar una
carpeta de instalación diferente, y luego haga clic en Next (Siguiente).

STEP 3 | Especifique el nivel de seguridad para la comunicación entre el servidor ESM y los agentes de
Traps.
Para cifrar la comunicación en SSL, utilice un archivo de certificado de servidor-cliente (formato PFX) y
suministre la contraseña para descifrar la clave privada.

48 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
1. Especifique el ESM Server port (Puerto del servidor ESM) para utilizar para el acceso al servidor o
mantenga el ajuste por defecto (2125).
2. Seleccione el método de configuración de certificado:
• External Certificate (SSL) [Certificado externo (SSL)]: cifra la comunicación entre el servidor y los
agentes en SSL (por defecto). A continuación utilice Browse (Examinar) para ir hasta el certificado
de servidor-cliente e introduzca la contraseña obligatoria para descifrar la clave privada.
• No Certificate (no SSL) [Sin certificado (No SSL)]: no cifra la comunicación entre el servidor y los
agentes (no recomendado).
3. Haga clic en Next (Siguiente).

STEP 4 | Configure los ajustes que permiten la comunicación entre el servidor ESM y la base de datos.
Para establecer el acceso a la base de datos, debe especificar el método de autenticación y un
usuario que tenga privilegios administrativos para administrar a base de datos. El nombre de usuario
(y contraseña) que introduzca depende del tipo de método de autenticación que seleccione: la
autenticación de Windows (recomendada) o la autenticación de servidor SQL

1. Introduzca el nombre de dominio totalmente cualificado o la dirección IP del Server Name (Nombre
del servidor) de la base de datos. Si su servidor SQL utiliza una instancia que no sea el valor por
defecto, también debe incluir el nombre de la instancia en el formato <servername>\<instance>.
2. Introduzca el Database Name (Nombre de la base de datos).
3. Seleccione el método de autenticación e introduzca las credenciales de la cuenta. Esta cuenta
también se debe añadir como propietario de base de datos en el servidor de base de datos (para
obtener más información, consulte Configurar la base de datos del servidor MS-SQL).
• Use Windows Authentication (Use la autenticación de Windows) para autenticar usando una
cuenta de usuario del dominio de Windows que tenga privilegios para administrar el servidor

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 49


© 2017 Palo Alto Networks, Inc.
de base de datos e introducir el Domain\User (Dominio\Usuario) (por ejemplo, mydomain
\administrator) y la Password (Contraseña).
• Use SQL Server Authentication (Use la autenticación de servidor SQL) para autenticar usando un
usuario local que tenga privilegios para administrar la base de datos e introducir los datos de Login
(Inicio de sesión) y la Password (Contraseña).
4. (4.0.1 y posterior) Para habilitar una conexión segura entre el servidor ESM y la base de datos que usa
TLS/SSL 1.2:
1. Seleccione Secure DB Connection (SSL) [Conexión de BD segura (SSL)]. Esta opción habilita el
servidor ESM para cifrar la comunicación entre el servidor ESM y la base de datos.
2. Para una seguridad más estricta, seleccione la opción Validate SQL Server Certificate Signer
(Validar firmante de certificado de servidor SQL). Esto habilita al servidor ESM para certificar
que el certificado que presenta la base de datos coincide con un certificado específico. Para
que la validación tenga éxito debe importar el certificado de la base de datos a Trusted Root
Certification Authorities (Entidades de certificación raíz de confianza.).

La comunicación segura entre el servidor ESM y la base de datos solo está admitida
por SQL Server Enterprise o SQL Server Standard.
5. Haga clic en Next (Siguiente).

Si uno o más servidores ESM ya se conectan con la base de datos, el instalador le


solicita que se una al grupo de la base de datos de los servidores ESM. Si selecciona
Yes (Sí), el instalador obtiene el resto de los ajustes de instalación de la base de
datos. Saltar al paso 7 para completar la instalación.

STEP 5 | Establezca la contraseña para desinstalar el software de Traps.

1. Introduzca y luego confirme una contraseña inicial, que debe contener ocho caracteres o más.
Aparecerá un mensaje que le pedirá esta contraseña cada vez que usted o un usuario intente
desinstalar el software de Traps.

Después de instalar el software del servidor ESM, puede Cambiar la contraseña de


desinstalación más adelante creando una regla de ajustes de agente a través de la
consola ESM.
2. Haga clic en Next (Siguiente).

STEP 6 | Importar la licencia de Traps. Si prefiere no proporcionar una licencia de Traps durante la
instalación, solo tendrá acceso de solo lectura a la consola ESM hasta que añada una licencia de
Traps válida.

50 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
1. Seleccione Browse (Examinar) para buscar el archivo de la licencia y después haga clic en Open
(Abrir). Si no tiene una licencia, comuníquese con su administrador de cuentas, distribuidor o vaya a
https://support.paloaltonetworks.com.
El instalador muestra los datos de la licencia del archivo correspondiente.
2. Haga clic en Next (Siguiente).

STEP 7 | Finalice la instalación.


1. Haga clic en Install (Instalar).
2. Cuando finalice la instalación, haga clic en Finish (Finalizar).

Instalar el software de la consola de Endpoint Security Manager


Puede instalar el software de a consola de ESM en un servidor exclusivo o en el mismo servidor que el
software del servidor ESM.

STEP 1 | Antes de comenzar:


• Verifique que el sistema reúne los requisitos que se describen en Requisitos de software de la consola
ESM.
• Obtenga el software de https://support.paloaltonetworks.com (TOOLS (HERRAMIENTAS) >
SOFTWARE UPDATES (ACTUALIZACIONES DE SOFTWARE) > Filter By (Filtrar por): Endpoint
Security Manager).

STEP 2 | Inicie la instalación del software de la consola ESM También puede instalar la consola ESM
usando Msiexec (consulte Instalar componentes de Traps usando Msiexec de Windows).
1. Haga doble clic en el archivo de instalación ESMConsole.
2. Haga clic en Next (Siguiente) para comenzar el proceso de configuración.
3. Seleccione la casilla I accept the terms of the License Agreement (Acepto los términos del contrato
de licencia) y, a continuación, haga clic en Next (Siguiente).

STEP 3 | Indique la carpeta de instalación para la consola ESM.


Deje la carpeta de instalación por defecto o haga clic en Change (Cambiar) para especificar una carpeta
de instalación diferente, y luego haga clic en Next (Siguiente).

STEP 4 | Especifique el nivel de seguridad para la comunicación entre el administrador y la consola ESM.
Para cifrar la comunicación en SSL, utilice un archivo de certificado de servidor-cliente (formato PFX) y
suministre la contraseña para descifrar la clave privada.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 51


© 2017 Palo Alto Networks, Inc.
1. Seleccione el método de configuración de certificado:
• No Certificate (no SSL) [Sin certificado (No SSL)]: no cifra la comunicación hacia y desde la consola
ESM.
• External Certificate (SSL) [Certificado externo (SSL)]: recomendado) cifra la comunicación hacia y
desde la consola ESM en SSL (por defecto). A continuación utilice Browse (Examinar) para ir hasta
el certificado de servidor-cliente e introduzca la contraseña obligatoria para descifrar la clave
privada.
2. Haga clic en Next (Siguiente).

STEP 5 | Configure los ajustes que permiten la comunicación entre la consola ESM y la base de datos.
Para establecer el acceso a la base de datos, debe especificar el método de autenticación y un
usuario que tenga privilegios administrativos para administrar a base de datos. El nombre de usuario
(y contraseña) que introduzca depende del tipo de método de autenticación que seleccione: la
autenticación de Windows (recomendada) o la autenticación de servidor SQL

Use los mismos ajustes de base de datos que introdujo durante la instalación del servidor
ESM.

1. Introduzca el nombre de dominio totalmente cualificado o la dirección IP del Server Name (Nombre
del servidor) de la base de datos. Si su servidor SQL utiliza una instancia que no sea el valor por
defecto, también debe incluir el nombre de la instancia en el formato <servername>\<instance>.
2. Introduzca el Database Name (Nombre de la base de datos).
3. Seleccione el método de autenticación e introduzca las credenciales de la cuenta. Esta cuenta
también se debe añadir como propietario de base de datos en el servidor de base de datos (para
obtener más información, consulte Configurar la base de datos del servidor MS-SQL).
• Use Windows Authentication (Use la autenticación de Windows) para autenticar usando una
cuenta de usuario del dominio de Windows que tenga privilegios para administrar el servidor

52 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
de base de datos e introducir el Domain\User (Dominio\Usuario) (por ejemplo, mydomain
\administrator) y la Password (Contraseña).
• Use SQL Server Authentication (Use la autenticación de servidor SQL) para autenticar usando un
usuario local que tenga privilegios para administrar la base de datos e introducir los datos de Login
(Inicio de sesión) y la Password (Contraseña).
4. (4.0.1 y posterior) Para habilitar una conexión segura entre la consola ESM y la base de datos que usa
TLS/SSL 1.2:
1. Seleccione Secure DB Connection (SSL) [Conexión de BD segura (SSL)]. Esta opción habilita la
consola ESM para cifrar la comunicación entre la consola ESM y la base de datos.
2. Para una seguridad más estricta, seleccione la opción Validate SQL Server Certificate Signer
(Validar firmante de certificado de servidor SQL). Esto habilita a la consola ESM para certificar
que el certificado que presenta la base de datos coincide con un certificado específico. Para
que la validación tenga éxito debe importar el certificado de la base de datos a Trusted Root
Certification Authorities (Entidades de certificación raíz de confianza.).

La comunicación segura entre la consola ESM y la base de datos solo está admitida
por SQL Server Enterprise o SQL Server Standard.
5. Haga clic en Next (Siguiente).

STEP 6 | Configure los ajustes para el usuario administrativo que acceda a la consola ESM.

1. Elija el tipo de autenticación que desea usar.


• Machine (Máquina):la consola ESM autentica a un usuario o grupo en la equipo local.
• Domain (Dominio): la consola ESM autentica a un usuario o grupo que pertenecen al dominio del
equipo.
2. Introduzca el nombre de la cuenta para el usuario que administrará el servidor y haga clic en Next
(Siguiente).

STEP 7 | Indique el destino de la carpeta forense.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 53


© 2017 Palo Alto Networks, Inc.
1. Mantenga la ruta de la carpeta forense o seleccione Browse (Examinar) para buscar una ubicación de
carpeta alternativa y haga clic en OK (Aceptar).

El instalador habilita automáticamente BITS para esta carpeta.

2. Haga clic en Next (Siguiente).

STEP 8 | Finalice la instalación.


1. Haga clic en Install (Instalar).
2. Cuando finalice la instalación, haga clic en Finish (Finalizar).

STEP 9 | Inicie la consola ESM mediante uno de los siguientes métodos:


• Haga doble clic en el icono en el escritorio.
• Abra el programa desde el menú Start (Iniciar) > All Programs (Todos los programas.

STEP 10 | Introduzca sus credenciales de administrador


Si no proporcionó su licencia de Traps durante la instalación del servidor de Traps, la consola ESM estará
disponible en modo de solo lectura. Para habilitar el acceso de lectura y escritura a la consola ESM, debe
añadir una licencia de Traps válida (consulte Inclusión de una licencia de Traps usando la consola ESM).

54 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
Configurar los endpoints
Para configurar Traps en los endpoints de su organización, consulte los temas siguientes:
• Proceso de implementación de Traps recomendado
• Opciones de instalación de Traps
• Instalar Traps en endpoints de Windows
• Instalar componentes de Traps usando Msiexec de Windows
• Instalar Traps en endpoints de Mac

Proceso de implementación de Traps recomendado


El software Traps suele implementarse en los endpoints de una red tras una prueba de concepto (proof
of concept, POC) inicial, que simula el entorno de producción de la empresa. Durante la etapa de POC o
etapa de implementación, usted analiza los eventos de seguridad para determinar cuáles de ellos se deben
a actividades malintencionadas y cuáles se deben a procesos legítimos que se comportan de una manera
incorrecta o arriesgada. También se simula la cantidad y los tipos de endpoints, los perfiles de usuario y los
tipos de aplicaciones que se ejecutan en los endpoints en su organización y, de acuerdo con estos factores,
usted define, comprueba y ajusta la política de seguridad de la organización.
El objetivo de este proceso de varios pasos es proporcionar la máxima protección a su organización, sin
interferir en los flujos de trabajo legítimos.
Después de la finalización exitosa de la POC inicial, recomendamos la implementación de varios pasos en el
entorno de producción corporativa por los siguientes motivos:
• La POC no siempre refleja todas las variables que existen en su entorno de producción.
• Existe una escasa probabilidad de que el agente de Traps afecte las aplicaciones comerciales, lo que
puede revelar vulnerabilidades en el software como un ataque prevenido.
• Durante la POC, es mucho más fácil aislar los problemas que aparecen y proporcionar una solución antes
de la implementación completa en un entorno grande en el que los problemas podrían afectar a una gran
cantidad de usuarios.
El enfoque de implementación de varios pasos garantiza una implementación adecuada de la solución Traps
en toda la red. Aplique los pasos siguientes para un mejor soporte y control sobre la protección añadida.

Paso Duración Plan

1. Instale Traps en los Semana 1 Instale Endpoint Security Manager (ESM), junto con una
endpoints. base de datos MS SQL, la consola ESM y el servidor ESM, e
instale el agente de Traps en algunos (3-10) endpoints.
Compruebe el funcionamiento normal de los agentes de
Traps (inyección y política) y verifique que no haya cambios
en la experiencia del usuario.

2. Expanda la 2 Expanda gradualmente la distribución de agentes a grupos


implementación de Traps. semanas más grandes que tengan atributos similares (hardware,
software, usuarios). Transcurridas dos semanas, puede
tener hasta 100 endpoints con Traps.

3. Finalice la instalación de 2 o más Distribuya ampliamente el agente de Traps en toda


Traps. semanas la organización hasta que todos los endpoints estén
protegidos.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 55


© 2017 Palo Alto Networks, Inc.
Paso Duración Plan

4. Defina la política de la Hasta 1 Añada reglas de protección para aplicaciones de terceros o


empresa y los procesos semana propias y luego compruébelas.
protegidos.

5. Refine la política de la Hasta 1 Implemente reglas de política de seguridad en algunos


empresa y los procesos semana endpoints que utilicen las aplicaciones con frecuencia.
protegidos. Ajuste la política según sea necesario.

6. Finalice la política de la Unos Implemente las reglas globalmente.


empresa y los procesos minutos
protegidos.

Opciones de instalación de Traps


Puede instalar Traps de las formas siguientes:
• Instalar desde endpoint: en situaciones en las que necesite instalar Traps en un algunos endpoints,
puede instalar el software Traps manualmente utilizando el flujo de trabajo descrito en Instalar Traps en
endpoints de Windows e Instalar Traps en endpoints de Mac.
• Instalar con Msiexec: para instalar Traps desde la línea de comandos, aplique la utilidad Msiexec para
realizar operaciones en un instalador de Windows, como se describe en Instalar componentes de Traps
usando Msiexec de Windows. Se recomienda utilizar software de implementación de MSI para instalar
Traps en toda una organización o un número elevado de endpoints.
• Instalar usando el software de implementación de aplicación: También puede utilizar las opciones
de instalación de Msiexec con software de implementación de MSI, como Policy System Center
Configuration Manager (SCCM), Altiris, o Group Policy Object (GPO).
• Instalar con una regla de acción: si los endpoints de su organización ya tienen instalado Traps, puede
actualizar el software Traps configurando una regla de acción, como se describe en Desinstalar o
actualizar Traps en el endpoint.

Instalar Traps en endpoints de Windows


Antes de instalar Traps en un endpoint de Windows, verifique que el sistema cumple los requisitos que se
describen en Requisitos de software de Traps.

STEP 1 | Inicie la instalación del software Traps. También puede instalar Traps usando Msiexec (consulte
Instalar componentes de Traps usando Msiexec de Windows).

Las versiones de Traps que instale en sus endpoints deben ser las mismas o anteriores a
la versión del servidor ESM y la consola ESM.

1. Obtenga el software de su administrador de cuentas de Palo Alto Networks, su vendedor o en


https://support.paloaltonetworks.com.
2. Descomprima el archivo zip y haga doble clic en el archivo de instalación Traps; elija la versión x64
(64 bits) o x86 (32 bits) según el SO del endpoint.
3. Haga clic en Next (Siguiente).
4. Seleccione I accept the terms in the License Agreement (Acepto los términos del contrato de
licencia) y, a continuación, haga clic en Next (Siguiente).

STEP 2 | Configure los agentes de Traps para conectarlos al servidor ESM.

56 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
1. Proporcione la siguiente información para el servidor ESM:

• Host Name (Nombre del host): introduzca el FQDN o la dirección IP del servidor ESM.
• Port (Puerto): si es necesario, cambie el número de puerto (por defecto es 2125).
• Seleccione SSL para cifrar la comunicación con el servidor (valor por defecto) o No SSL para no
cifrar la comunicación (no recomendado).
2. Haga clic en Next (Siguiente) > Install (Instalar).

STEP 3 | Haga clic en Finalizar.

Le recomendamos que reinicie el endpoint tras finalizar la instalación.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 57


© 2017 Palo Alto Networks, Inc.
Instalar componentes de Traps usando
Msiexec de Windows
Una alternativa al uso de los instaladores de Windows es el uso de Windows Msiexec para instalar el
servidor ESM y la consola ESM en los servidores de Windows y el agente de Traps en los endpoints de
Windows. Msiexec le proporciona un control completo del proceso de instalación y le permite instalar,
modificar y realizar operaciones en un instalador de Windows desde la interfaz de línea de comandos
(command line interface, CLI). También puede usar MSIXEC para crear logs de cualquier problema que surja
durante la instalación.
Además, para instalar Traps en varios endpoints por primera vez, puede usar Msiexec junto con System
Center Configuration Manager (SCCM), Altiris, o Group Policy Object (GPO), u otro software de
implementación MSI. Después de instalar correctamente Traps en un endpoint y establecer una conexión
inicial con el servidor ESM, puede actualizar o desinstalar Traps en uno o más endpoints al crear una regla
de acción (consulte Desinstalar o actualizar Traps en el endpoint).
Antes de instalar Traps, verifique que el sistema cumple los requisitos que se describen en Requisitos de
software de Traps.
• Instalar los componentes de Traps
• Desinstalar los componentes de Traps

Instalar los componentes de Traps


Siga estos pasos para instalar componentes de Traps (el servidor y la consola ESM y el agente de Traps) con
Msiexec.

STEP 1 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y luego en Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).

STEP 2 | Ejecute el comando msiexec seguido de una o varias de estas opciones o propiedades:

Aunque Msiexec admite opciones adicionales, Traps y los instaladores de ESM admiten
solo las opciones indicadas en esta lista. Por ejemplo, con Msiexec, la opción para
instalar el software en un directorio no estándar no se admite puesto que se debe utilizar
la ruta predeterminada.

• Opciones de instalación, visualización y logging:


• /i <installpath>\<installerfilename>.msi—Instala un paquete. Por ejemplo,
msiexec /i c:\install\traps.msi.
• /qn—No muestra ninguna interfaz de usuario (instalación silenciosa). Como mínimo, también debe
especificar el nombre del servidor host o la dirección IP con la propiedad CYVERA_SERVER.
• /L*v <logpath>\<logfilename>.txt—Exporta información detallada de registro a un
archivo.. Por ejemplo, /L*v c:\logs\install.txt.
Para ver la lista completa de los parámetros de Msiexec, consulte https://www.microsoft.com/
resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx.
• Propiedades públicas:

58 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
• CYVERA_SERVER=<servername>—Nombre de la dirección IP o el servidor host principal
(ESMserver, por defecto).
• CYVERA_SERVER_PORT=<serverport>—Puerto de servidor host principal (2125, por defecto)
• USE_SSL_PRIMARY=[0|1]—(solo instalación silenciosa) Defina las preferencias de cifrado del
servidor principal especificando 0 para no usar SSL (no recomendado) o 1 para usarlo (valor por
defecto).
Por ejemplo, para instalar Traps sin una interfaz de usuario, especifique un servidor con el nombre
TrapsServer que no use el cifrado SSL en un puerto distinto del predeterminado (por ejemplo, 5212, un
puerto no estándar), cree un log de instalación en C:\temp e introduzca lo siguiente:

msiexec /i c:\install\traps.msi /qn CYVERA_SERVER=TrapsServer


USE_SSL_PRIMARY=0 CYVERA_SERVER_PORT=5212 /l*v C:\temp\trapsinstall.log

Le recomendamos que reinicie el dispositivo tras finalizar la instalación.

Desinstalar los componentes de Traps


Siga estos pasos para desinstalar componentes de Traps (el servidor y la consola ESM y el agente de Traps)
con Msiexec.

STEP 1 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y luego en Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).

STEP 2 | Ejecute el comando msiexec seguido de una o varias de estas opciones o propiedades:
• Opciones de desinstalación y logging:
• /x <installpath>\<installerfilename>.msi—Desinstalar un paquete. Por ejemplo,
msiexec /x c:\install\traps.msi.
• /L*v <logpath>\<logfilename>.txt—Exporta información detallada de registro a un
archivo.. Por ejemplo, /L*v c:\logs\uninstall.txt.
Para ver la lista completa de los parámetros de Msiexec, consulte https://www.microsoft.com/
resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx.
• Propiedades públicas:
• UNINSTALL_PASSWORD=<uninstallpassword>—Especificar la contraseña del administrador.
Para desinstalar Traps y una salida detallada del log a un archivo llamado uninstallLogFile.txt, introduzca
el siguiente comando:

msiexec /x c:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v c:


\install\uninstallLogFile.txt

Debe especificar la propiedad UNINSTALL_PASSWORD para desinstalar el paquete con éxito.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 59


© 2017 Palo Alto Networks, Inc.
Verificar una instalación correcta
Puede verificar si la instalación del servidor ESM y endpoint se ha realizado correctamente al comprobar la
conectividad entre el servidor y cada endpoint en ambos lados de la conexión.
• Verificar la conectividad desde el endpoint on page 60
• Verificar la conectividad desde la consola ESM on page 60

Verificar la conectividad desde el endpoint


Tras instalar correctamente Traps, el agente de Traps debería poder conectarse con el servidor que ejecuta
el Endpoint Security Manager.

STEP 1 | Inicie la consola de Traps:


• En la barra de tareas de Windows, haga doble clic en el icono de Traps (o haga clic con el botón
derecho en el icono y seleccione Console [Consola]).
• En la barra de tareas de Mac, haga clic en el icono de Traps y seleccione Open Console (Abrir
consola).
• Ejecute CyveraConsole.exe desde la carpeta de instalación de Traps.

STEP 2 | Compruebe el estado de la conexión del servidor. Si Traps está conectado al servidor, el estado
Conexión indica que la conexión se ha realizado con éxito. Si el agente de Traps no puede
establecer una conexión con el servidor principal o secundario, la consola de Traps indica el
estado desconectado.

STEP 3 | Verificar la conectividad desde la consola ESM.

Verificar la conectividad desde la consola ESM


Tras verificar correctamente que el endpoint puede llegar al servidor ESM, compruebe que el endpoint
aparece en la lista de ordenadores en la página Monitor (Supervisar) > Agent (Agente) > Health (Estado) de
la consola ESM.

60 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps


© 2017 Palo Alto Networks, Inc.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).

STEP 2 | Encuentre el nombre del endpoint en la lista de ordenadores y verifique el estado. Un icono
indica que se está ejecutando Traps en el endpoint. Para ver detalles adicionales acerca del
endpoint, seleccione la fila de endpoints.

GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps 61


© 2017 Palo Alto Networks, Inc.
62 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps
VDI
> Descripción general de VDI on page 65
> Consideraciones de la instalación de VDI on page 68
> Descripción general de la configuración de Traps en un entorno VDI on page 69
> Configurar un VDI persistente on page 70
> Configurar un VDI no persistente on page 71

63
64 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI
© 2017 Palo Alto Networks, Inc.
Descripción general de VDI
Su entorno comercial en constante cambio exige una infraestructura flexible para respaldar los requisitos
en desarrollo de escritorio, aplicación y acceso a datos de su personal. Al implementar una infraestructura
de escritorio virtual (virtual desktop infrastructure, VDI), puede dar atribuciones a sus empleados para que
trabajen independientemente de la ubicación, usando diferentes dispositivos.
La interfaz de usuario de un individuo en un entorno virtualizado se llama escritorio virtual. Normalmente,
el escritorio virtual se almacena en un servidor remoto y no de forma local. El software de virtualización de
escritorio separa el dispositivo físico del software y presenta un sistema operativo aislado para los usuarios.
Cuando un usuario accede a una infraestructura VDI, la infraestructura proporciona al usuario una imagen
del escritorio alojado.
Un entorno VDI normalmente supone ejecutar escritorios de usuarios dentro de máquinas virtuales que
están alojadas en servidores de centros de datos. En un entorno VDI, cada usuario recibe una máquina
virtual dedicada que ejecuta un sistema operativo independiente. Esto es diferente a una máquina virtual
específica a la cual se pueden conectar usuarios desde aplicaciones virtualizadas que se ejecutan en un
entorno normal.
Si bien una solución VDI presenta muchas ventajas de seguridad de escritorio (como el control centralizado,
una menor complejidad y una gestión eficiente del acceso y de los privilegios del usuario), es fundamental
para garantizar que toda la VDI sea segura. Garantizar este nuevo entorno centralizado es cada vez más
difícil. Una única dirección IP puede representar miles de usuarios diferentes que acceden a sus aplicaciones
y datos usando diferentes dispositivos. Los usuarios también pueden tener otras aplicaciones en su centro
de datos, además del escritorio virtual. Al usar Traps para asegurar su entorno VDI, puede aprovechar los
siguientes beneficios:
• Protección avanzada del endpoint como parte de la solución de Traps que previene los exploits de
vulnerabilidad sofisticados y los ataques desconocidos impulsados por malware.
• Esto se consigue mediante un agente de Traps ligero con gran escalabilidad que usa un nuevo e
innovador enfoque para rechazar los ataques sin necesidad de conocimiento previo sobre la amenaza.
• El software no depende de la exploración o el mantenimiento de bases de datos externas.
Los temas siguientes describen la implementación de VDI de forma más detallada:
• Aplicaciones y escritorios virtualizados
• Modos de VDI

Aplicaciones y escritorios virtualizados


Para proteger los endpoints en un entorno VDI, puede instalar Traps en una variedad de aplicaciones y
escritorios virtualizados. Para determinar qué versiones son compatibles, consulte la sección de Traps de la
Matriz de compatibilidad de Palo Alto Networks®.

Modos de VDI
Es posible ejecutar un entorno VDI en los siguientes modos:
• Modo VDI no persistente
• Modo VDI persistente

Modo VDI no persistente


En el modo de VDI no persistente, cada sesión es provisional. Cuando un usuario accede a un escritorio
virtual no persistente y cierra sesión al final del día, ninguno de sus ajustes o datos (incluidos los accesos
directos de escritorio, fondos o nuevas aplicaciones) se conservan. Al final de una sesión, el escritorio

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 65


© 2017 Palo Alto Networks, Inc.
virtual se limpia y regresa al estado original limpio de la imagen maestra. La próxima vez que el usuario inicie
sesión, recibirá una imagen nueva.
Cuando instala Traps en modo VDI no persistente, el equipo muestra la siguiente conducta:
• Licensing (Licencias): con escritorios virtuales no persistentes, el agente de Traps recibe la licencia desde
un grupo de licencias de endpoint disponibles. El ESM automáticamente revoca la licencia cuando el
usuario finaliza la sesión, se desinstala el agente, la sesión finaliza o cuando el VDI se mantiene inactivo
durante dos heartbeats consecutivos más 25 minutos. La revocación de la licencia la libera para que otro
agente de Traps pueda usarla.
• Connectivity (Conectividad): cuando el usuario inicia sesión en el equipo VDI, el agente de Traps se
conecta al servidor ESM para recibir la licencia y obtener las actualizaciones relevantes. El agente de
Traps continúa comunicándose con el servidor ESM a lo largo del ciclo de vida de la instancia VDI. El
agente de Traps solo protege el equipo cuando un usuario está conectado. Cuando el usuario no está
conectado, el agente de Traps se desconecta del servidor ESM. Durante este tiempo, Traps no recibe
políticas o veredictos actualizados y no envía comunicaciones heartbeat al servidor ESM.
• Verdict updates (Actualizaciones de veredictos): cuando usted identifica la imagen maestra como un
VDI, ESM rastrea todos los equipos VDI que han producido a partir de la imagen maestra. Cuando el
veredicto de un archivo que se había visto en la imagen maestra cambia en la caché del servidor ESM, el
servidor ESM envía el veredicto cambiado a todos los equipos que se produjeron a partir del equipo VDI
original, independientemente de si estos equipos abrieron el archivo en cuestión o no.
• Storage (Almacenamiento): Con VDI no persistentes, muchas soluciones VDI le permiten elegir entre
almacenamiento persistente y no persistente. Con el almacenamiento no persistente, los ajustes de
usuario y los datos permanecen almacenados el tiempo que dura la sesión y se eliminan totalmente
cuando la sesión finaliza o el usuario se desconecta. Con el almacenamiento persistente, puede
seleccionar carpetas o ubicaciones específicas que persisten después de que la sesión finalice.

Modo VDI persistente


Un escritorio virtual persistente es una asignación uno a uno de un equipo virtual a un usuario. Cada
escritorio virtual almacena y opera usando su propia imagen de disco. En este modelo, un escritorio
persistente mantiene todos los cambios de configuración y ajustes de personalización que un usuario realiza
durante una sesión (tales como cambios de fondo, accesos directos guardados y aplicaciones instaladas
recientemente).
Cuando el usuario finaliza una sesión y cierra sesión en el escritorio virtual, el equipo virtual mantiene todos
los cambios la próxima vez que el usuario inicia sesión en el escritorio, dichos cambios aún están en vigor.
El proceso de implementación de Traps en el modo VDI persistente es muy similar a la implementación
de Traps en un servidor o estación de trabajo estándar. Para instalar el agente de Traps, puede instalar
el software de Traps en la imagen maestra (golden image) y ejecutarlo en el escritorio virtual de la misma
manera que cualquier otra aplicación VDI. Cuando instala Traps en modo VDI persistente, el equipo muestra
la siguiente conducta:
• Licensing (Licencias): igual que en la implementación estándar, Traps recibe una licencia de agente del
grupo de licencias disponibles. Traps mantiene la licencia a lo largo del ciclo de vida de la instancia de
VDI, sin embrago, si la instancia de VDI permanece inactiva durante un periodo de tiempo especificado
por el License Revocation Period (periodo de revocación de la licencia) (90 días por defecto), el servidor
ESM automáticamente revoca la licencia, por lo que otro agente de Traps puede hacer uso de esta.
• Connectivity (Conectividad): Cuando el usuario inicia sesión en la instancia VDI, el agente de Traps se
conecta al servidor ESM para recibir la licencia y obtener las actualizaciones relevantes. El agente de
Traps continúa comunicándose con el servidor ESM a lo largo del ciclo de vida de la instancia VDI y
continúa protegiendo el equipo cuando un usuario cierra sesión. Durante este tiempo, Traps continua
recibiendo políticas o veredictos actualizados y envía comunicaciones heartbeat al servidor ESM.
• Verdict updates (Actualizaciones de veredictos): al igual que con un endpoint estándar (no VDI), el
servidor ESM envía actualizaciones de veredictos a equipos en modo VDI persistente solo si el archivo se
ha ejecutado en el endpoint anteriormente.

66 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
• Storage (Almacenamiento): con un VDI persistente, cada usuario ejecuta una sesión de escritorio de
forma independiente. Los ajustes para los usuarios normalmente se guardan en el escritorio lógico
mientras que los datos del usuario se almacenan en una unidad lógica diferente. Tanto los ajustes como
los datos permanecen después de que el usuario haya finalizado la sesión.

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 67


© 2017 Palo Alto Networks, Inc.
Consideraciones de la instalación de VDI
Optimice la política de sesión por defecto en el grupo de prueba de VDI para garantizar una generación
de sesión estable cuando se vuelve a compilar la VDI.
Cada nueva creación de VDI comenzará con la política inicial según la configuración de la imagen
maestra (golden image). Cuando la imagen maestra (golden image) esté activa y se comunique con el
servidor ESM, compruebe la política en el grupo de prueba de VDI y envíela a los agentes de Traps de
VDI. Luego ajuste la política.
Los problemas con sesiones no persistentes limitadas son más difíciles de investigar debido a que no hay
datos forenses después de cerrar sesión. Tenga en cuenta las siguientes opciones para garantizar que los
datos forenses estén disponibles:
• Configure una regla de ajustes de agente en todos los nombres de archivo no persistentes para
permitir al agente de Traps Send the memory dumps automatically (Enviar automáticamente los
volcados de memoria).
• Reproduzca el problema en una sesión persistente para recopilar logs y volcados de memoria y
permitir la solución adicional de problemas.
Establezca una cantidad fija de nombres de host de sesión (no aleatoria) a medida que el ESM emite las
licencias según el nombre de host. Se admiten todas las convenciones para fijar nombres.
El servidor ESM revoca automáticamente una licencia cuando un agente cierra sesión de una sesión
VDI. En los casos en que la sesión VDI no se cierra correctamente, el servidor ESM espera que se agote
el tiempo de espera antes de revocar automáticamente la licencia para ponerla a disposición de otros
agentes. Si otra sesión VDI necesita usar la licencia antes de que finalice el periodo de revocación de la
licencia, utilice la consola ESM para Eliminación de un endpoint de la consola ESM on page 114 a la
fuerza. Esta acción devuelve la licencia al grupo de licencias y elimina la sesión de VDI de la consola ESM.
Para el modo de VDI no persistente, después de actualizar el agente de Traps en la imagen maestra
(golden image) de Traps 3.4 o versiones anteriores, debe marcar la imagen maestra (golden image) como
un VDI usando la herramienta DVI de Traps (consulte Configuración de imagen maestra (golden image)
para VDI no persistente on page 72).

68 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
Descripción general de la configuración de
Traps en un entorno VDI
Use el siguiente flujo de trabajo para configurar Traps en un entorno VDI

STEP 1 | Revise las consideraciones de instalación y los requisitos previos del software.
Consideraciones de instalación de la infraestructura de endpoints on page 44
Requisitos on page 29
Consideraciones de la instalación de VDI on page 68

STEP 2 | Configure el servidor de la base de datos.


Requisitos de software de la base de datos on page 36
Configurar la base de datos del servidor MS-SQL on page 46

STEP 3 | Configure el servidor ESM.


Requisitos de software del servidor ESM on page 35
Instalar el software del servidor de Endpoint Security Manager on page 48

STEP 4 | Configure la consola ESM.


Requisitos de software de la consola ESM on page 35
(Opcional) Cifrado de TLS/SSL para los componentes de Traps on page 44
Instalar el software de la consola de Endpoint Security Manager on page 51

STEP 5 | Adjudicar licencias adicionales al grupo general de licencias del agente, si es necesario.
Inclusión de una licencia de Traps usando la consola ESM on page 89

STEP 6 | Establezca la imagen que utilizará para duplicar sus VDI.


Configurar un VDI persistente on page 70
o
Configurar un VDI no persistente on page 71

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 69


© 2017 Palo Alto Networks, Inc.
Configurar un VDI persistente
En modo persistente, puede configurar la imagen de la misma manera que lo haría con un endpoint sin
VDI estándar pero debe identificar el endpoint como una imagen maestra desde la consola ESM. Esto
garantiza que el ESM trata cualquier sesión diseminada como un endpoint independiente e impide que el
ESM revoque la licencia de acuerdo con las directrices para el modo no persistente.

Esta tarea es necesaria solo para Traps 4.0.0 y Traps 4.0.1. En Traps 4.0.2, el agente
automáticamente asigna un ID único a todos las VDI. El ESM entonces utiliza este ID para
distinguir entre duplicados de VDI persistentes. Por tanto, para Traps 4.0.2 y versiones
posteriores, puede saltarse este paso.

STEP 1 | Instale el software adicional con el que tenga previsto contar en las instancias de VDI.
1. Instale Traps (consulte Instalar Traps en endpoints de Windows).
2. Instale el software adicional que necesite.

STEP 2 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).

STEP 3 | Seleccione la fila del endpoint que constituye la imagen maestra.

STEP 4 | En el menú de acción , seleccione Set As Master Image (Establecer como imagen maestra).
La consola ESM actualiza el tipo de endpoint a Imagen maestra.

Esta opción está deshabilitada (en color gris) para VDI persistentes con Traps 4.0.2.

70 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
Configurar un VDI no persistente
Para configurar una máquina virtual no persistente, debe configurar una política de plantilla conocida como
imagen maestra (golden image). Los ajustes en la imagen maestra (golden image) se utilizan para crear cada
nuevo duplicado de VDI. Para impedir que cada nuevo duplicado de VDI empiece con una caché de archivos
y veredictos desconocidos, deben recopilar todos los archivos ejecutables portátiles (PE) que existen en el
sistema y solicitar sus veredictos a WildFire.
La obtención de veredictos para todos los PE en la imagen es un proceso de varios pasos. Después de
recopilar todos los archivos ejecutables portátiles (PE), debe usar la herramienta VDI de Traps (la interfaz
gráfica o la interfaz de línea de comandos) para crear un archivo de caché de WildFire que contenga los
veredictos para todos los archivos PE detectados en la imagen maestra (golden image), incluidos los que
WildFire determine que son maliciosos. A continuación configure los ajustes adicionales dependiendo del
tipo de almacenamiento que desea utilizar en su implementación de VDI no persistente. También puede
usar la herramienta VDI de Traps para identificar la imagen maestra (golden image) como instancia VDI en el
registro de Windows.
• Requisitos para la configuración de la imagen maestra (Golden Image) on page 71
• Configuración de imagen maestra (golden image) para VDI no persistente on page 72
• CLI de la herramienta VDI de Traps on page 74
• Configurar Traps para una situación de almacenamiento persistente on page 76
• Configurar Traps para una situación de almacenamiento no persistente on page 77
• Ajustar y probar la política de VDI on page 78

Requisitos para la configuración de la imagen maestra (Golden


Image)
Siga estos pasos para preparar la imagen maestra (golden image).

STEP 1 | Instale el software adicional con el que tenga previsto contar en las instancias de VDI.

Si tras finalizar el proceso para configurar la imagen maestra (golden image), tiene
que instalar más software, deberá volver a crear el archivo de caché de WildFire con la
herramienta VDI de Traps. De esta forma, se asegura de que Traps emite veredictos del
software nuevo.

1. Instale Traps en la imagen maestra (golden image) (consulte Instalar Traps en endpoints de Windows).
2. Instale el software adicional que necesite.

STEP 2 | Verifique que el agente de Traps en la imagen maestra (golden image) pueda acceder al
servidor ESM.
En el agente de Traps, haga clic en Check In Now (Registrar ahora) para obtener los veredictos más
recientes del servidor ESM. Si se puede acceder al servidor ESM, el estado de la consola será Connected
(Conectada).

STEP 3 | Use Cytool para detener los servicios de Traps (incluido el análisis local) en el endpoint.
Consulte Inicio o parada de los componentes de tiempo de ejecución de Traps en el endpoint. Tenga en
cuenta que el servicio de informes de Traps (Traps Reporting Service) continúa ejecutándose.

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 71


© 2017 Palo Alto Networks, Inc.
STEP 4 | Recopile con Sigcheck todos los archivos PE disponibles en la imagen maestra (golden image).
Esta herramienta crea un archivo que puede usar como entrada para la herramienta VDI de
Traps.
1. Descargue Sigcheck (una utilidad de Windows Sysinternals) de https://technet.microsoft.com/en-us/
sysinternals/bb897441.aspx.
2. Abra un símbolo del sistema como administrador y vaya al directorio en el que descargó Sigcheck.
3. Ejecute Sigcheck orgánicamente para encontrar archivos ejecutables, independientemente de la
extensión, y exportar a la carpeta que elija los hashes en un archivo con un formato delimitado por
comas y el nombre que prefiera.

Los parámetros de Sigcheck están sujetos a cambios. Para ver las pautas de uso
disponibles, ejecute el comando sigcheck sin opciones.

Los siguientes ejemplos muestran los comandos que puede utilizar en dos versiones diferentes de
Sigcheck:
Sigcheck versión 2.54

sigcheck /s /c /e /h C:\ > C:\temp\outfilename.csv

Sigcheck versión 2.2

sigcheck /accepteula -s -h -e -c C:\ > C:\temp\outfilename.csv

Configuración de imagen maestra (golden image) para VDI no


persistente
Para evitar iniciar su VDI con una caché de archivos ejecutables desconocidos, use la herramienta VDI de
Traps para solicitar veredictos de todos los archivos PE conocidos en su imagen maestra (golden image).

Hay dos versiones de la herramienta VDI: 32-bit y 64-bit. Use la versión de la herramienta
VDI que coincide con su arquitectura VDI.

STEP 1 | Antes de comenzar:


• Consulte Requisitos para la configuración de la imagen maestra (Golden Image) on page 71.
• Para asegurarse de que la herramienta VDI de Traps puede obtener veredictos para todos los
archivos no conocidos, también recomendamos que compruebe si el servidor ESM accede a WildFire
(https://wildfire.paloaltonetworks.com).

STEP 2 | Use la herramienta VDI de Traps para obtener veredictos para todos los archivos PE
(recopilados en 4 on page 72).

Una versión de línea de comandos de la herramienta VDI de Traps también está


disponible. Consulte CLI de la herramienta VDI de Traps on page 74.

La herramienta VDI de Traps se comunica con el servidor ESM para solicitar cualquier veredicto que el
servidor ha almacenado en el caché del servidor. La herramienta VDI de Traps a continuación crea un
archivo de caché de WildFire que puede contener cualquiera de los siguientes veredictos para cada hash:
malicioso, benigno o desconocido. Un hash tiene un veredicto desconocido si el servidor ESM no ha
enviado una muestra a o ha recibido un veredicto actualizado de WildFire.

72 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
1. Abra la herramienta VDI de Traps.
2. Configure los siguientes ajustes:
• ESM server address (Dirección de servidor ESM): dirección IP o nombre de host del servidor ESM
utilizado para comprobar los hashes. Este servidor debe poder conectarse a WildFire.
• ESM server SSL binding (Enlazar servidor ESM a SSL) : establezca el valor como True (Verdadero)
si el servidor utiliza un enlace SSL [el valor por defecto es False (Falso)].
• Input file (Archivo de entrada): ruta del archivo de valores separados por comas (comma-
separated value, CSV) que creó en el 4 on page 72 y que contiene todos los hashes.
• Password (Contraseña): introduzca la contraseña de desinstalación del agente. Esta contraseña es
necesaria para leer los datos de las ubicaciones protegidas cuando la Protección de servicio está
habilitada.
• ESM server port (Puerto del servidor ESM): número de puerto para el servidor ESM (por defecto
es 2125).
• Hash bulk size (Tamaño de hash): se informará al servidor de los hashes en fragmentos de este
tamaño (el valor por defecto es 300; el intervalo es de 1 a 500).
• Tool timeout in hours (Tiempo de espera de herramienta en horas): tiempo de espera en horas
necesario para que la herramienta VDI de Traps termine de obtener veredictos. Si la herramienta
VDI de Traps supera el tiempo de espera, deja de generar caché de WildFire (el valor por defecto
es 24 horas).
• Wait for WildFire verdicts (Esperar por veredictos de WildFire): seleccione Falso para omitir la
carga de hashes desconocidos y crear un archivo de caché.
• WildFire verdicts check interval (Intervalo de comprobación de veredictos de WildFire): tiempo
en minutos entre las consultas para comprobar los nuevos veredictos (el valor por defecto es 10).
• Write malware to cache (Escribir malware en archivo de caché): seleccione True (Verdadero) para
escribir los veredictos de malware en el archivo de caché [el valor por defecto es False (Falso)].
3. Haga clic en Start (Iniciar).
La herramienta VDI de Traps utiliza los resultados de la búsqueda de veredictos para crear el archivo
de caché de veredictos de WildFire.
4. Espere dos horas a que el servidor ESM consulte con WildFire cualquier veredicto desconocido y
luego proceda al siguiente paso. Durante este tiempo, el servidor ESM rellena la caché del servidor
con veredictos para hashes que WildFire ha analizado anteriormente.

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 73


© 2017 Palo Alto Networks, Inc.
STEP 3 | Envíe cualquier archivo ejecutable desconocido para su análisis.
La herramienta VDI de Traps carga los archivos al servidor ESM que a su vez envía los archivos a
WildFire para su inspección. Después de que el servidor ESM envía las muestras, el servidor solicita
información sobre veredictos actualizados a WildFire cada 10 minutos. El proceso completo puede
tardar hasta 24 horas en obtener los veredictos de todos los archivos no conocidos.
1. Abra la herramienta VDI de Traps.
2. Cambiar el ajuste Wait for WildFire verdicts (Esperar por veredictos de WildFire) a True (Verdadero).
Este ajuste permite a la herramienta VDI de Traps enviar los archivos ejecutables desconocidos
restantes y esperar una respuesta de WildFire.
3. Haga clic en Start (Iniciar).
Después de que la búsqueda de veredictos se completa, la herramienta VDI de Traps recrea el caché
de WildFire que contiene los hashes y sus veredictos.

STEP 4 | Revise los archivos PE que WildFire determine que son maliciosos.
1. En la consola ESM, vaya a la página Policies (Políticas) > Malware > Hash Control (Control de
hashes).
2. Use las condiciones de búsqueda de Hash Control (Control de hashes) para identificar el malware
detectado en la imagen maestra (golden image).

3. Realice una de las siguientes opciones para cada archivo PE malicioso:


• Elimine el archivo PE malicioso de la imagen maestra (golden image).
• Si considera que el veredicto de WildFire no es correcto:
1. Anule el veredicto para el archivo PE en la página Hash Control (Control de hashes) de la
consola ESM.
2. Asegúrese de que el agente de Traps recibe las anulaciones de veredictos. Para ello, ejecute la
herramienta VDI con la opción Wait for WildFire verdicts (Esperar por veredictos de WildFire)
establecida como True (Verdadero). Esto permite que la herramienta VDI de Traps obtenga los
veredictos cambiados del servidor ESM. Este paso normalmente tarda menos de 10 minutos.

STEP 5 | Configure la imagen maestra (golden image) como un VDI no persistente con la herramienta
VDI de Traps.
Esto garantiza que el agente en cada máquina generada se registra con el ESM como un nuevo agente.
Esto también garantiza que el ESM revoca licencias para la VDI cuando la sesión está inactiva o finaliza.
1. En la imagen maestra (golden image), abra la herramienta VDI de Traps.
2. Seleccione Menu (Menú) > Mark as VDI (Marcar como VDI).
3. Introduzca la contraseña de Traps y haga clic en Mark as VDI (Marcar como VDI).
La herramienta VDI de Traps identifica el equipo en el registro de Windows como un VDI no
persistente.

CLI de la herramienta VDI de Traps


La herramienta VDI de Traps solicita veredictos para todos los archivos PE detectados en la imagen maestra
(golden image) y envía los veredictos a un archivo de caché de WildFire. Puede utilizar la versión de interfaz
de línea de comandos (CLI) de la herramienta VDI de Traps para automatizar la creación de este archivo.
Tenga en cuenta las siguientes directrices de uso para la CLI de herramienta VDI de Traps:

74 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
• Si ejecuta la herramienta VDI de Traps con al menos un argumento de línea de comando, se ejecutará
en modo sin supervisión (sin interfaz de usuario). Si emite el comando TrapsVdiTool sin ningún
argumento, la interfaz de usuario se abre.
• De forma predeterminada, los argumentos con valores de marcas -sí o no- se definen como sí. Por tanto,
para usar el valor predeterminado, puede especificar el argumento sin el valor (por ejemplo, use -ssl en
vez de -ssl:y).
• Si un valor de ruta contiene uno o más espacios, rodee el argumento de la ruta completa con comillas
dobles, por ejemplo: "-i:c:\temp\sig file.csv"
• No es posible utilizar la herramienta VDI de Traps para comprobar los hashes y marcar el ordenador
como un VDI, utilizando el argumento -m, al mismo tiempo. Por lo tanto, debe ejecutar estas acciones
por separado.
• Para escribir el resultado al archivo de log, utilice el > redirigir para enviar el resultado a un nombre de
archivo de su elección, por ejemplo: TrapsVdiTool -m > TrapsVDI.log

STEP 1 | Descargar y descomprimir la herramienta VDI de Traps en la imagen maestra (golden image).

STEP 2 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).

STEP 3 | Vaya a la carpeta que contiene la CLI de la herramienta VDI de Traps:

C:\Users\Administrator>cd C:\TrapsVDItool

STEP 4 | Vea el uso y opciones para la herramienta de configuración DB:

c:\TrapsVDItool> TrapsVdiTool -help TrapsVdiTool -i:path [-o:path] [-


e:address] [-p:port] [-ssl] [-b:size] [-to: hours] [-v] [-c:minutes] [-r]
[-m] [-silent] [-s:password] TrapsVdiTool -m:password -help Displays the
help screen. -silent Perform tasks in silent mode (no log displays). -
i:path Input file (must be CSV). Specifies the path of the file produced
by the sigcheck tool. No default. Surround the entire path argument with
double quotes to specify a path that contains spaces, for example: "-i:c:
\temp\sig file.csv". -e:address Specifies the ESM server address (FQDN or
IP). Default: ESMSERVER -p:port Specifies the ESM server port. Default:
2125 -ssl[:flag] ESM server SSL binding. Indicates use of secured server
connection. 'y' for using SSL, 'n' otherwise. Default: n -b:size Hash bulk
size. Specifies the bulk size for hash transfers. Default: 300 -to:hours
Tool timeout in hours. Limits execution time to specified number of hours.
Default: 24 -v[:flag] Wait for WildFire verdicts. Indicates if should
wait for WildFire verdicts. 'y' for waiting, 'n' - otherwise. Default: n -
c:minutes Specifies WildFire verdicts check interval in minutes. Default: 10
-r[:flag] Instructs the tool to continue from where it left off previously.
Default: n -w[:flag] Write malware verdicts to cache. Default: n -g[:flag]
Write grayware verdicts to cache. Default: y -s:password The agent's
uninstall password. Required to read data from protected locations when
Service Protection is enabled. -m: Instructs the Traps VDI Tool to identify
this computer as VDI using the uninstall password and skips performing
hash checks. No default. Do not use this option if you want the Traps VDI
Tool to perform hash checks. CLI execution examples. TrapsVdiTool -i:c:
\temp\sig.csv -e:192.168.70.100 -ssl -to:1 Submits the list of executable

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 75


© 2017 Palo Alto Networks, Inc.
files in the 'c:\temp\sig.csv' input file t o the ESM Server with the IP
address 192.168.70.100 over a secured connection and limits the execution
time to 1 hour. Todos los otros argumentos se establecerán con sus valores
predeterminados. TrapsVdiTool "-i:c:\temp\sig file.csv" -v -w Submits the
list of executable files in the 'c:\temp\sig file.csv' input f ile to the
default ESMServer and waits for all WildFire verdicts before writing them
to cache. TrapsVdiTool -s:password -m Identificar el equipo como VDI sin
realizar comprobaciones de hash.

STEP 5 | Especifique los argumentos para crear un archivo de caché de WildFire o para marcar la imagen
maestra (golden image) como una instancia VDI. Por ejemplo:
• TrapsVdiTool -i:c:\temp\sig.csv -e:192.168.70.100 -ssl -to:1

La herramienta VDI de Traps solicita veredictos para los hashes en el archivo de entrada c:\temp
\sig.csv, al servidor ESM con la dirección IP 192.168.70.100, a través de una conexión segura y limita
el tiempo de ejecución a 1 hora.
Todos los otros argumentos se establecen con sus valores predeterminados.
• TrapsVdiTool "-i:c:\temp\sig file.csv" -v -w

La herramienta VDI de Traps solicita veredictos para los hashes en el archivo de entrada c:\temp
\sig file.csv, al servidor ESM predeterminado y crea el archivo de caché solo después de haber
recibido los veredictos de todos los hashes. Tenga en cuenta que la ruta del archivo está cerrada con
comillas porque el nombre de archivo contiene un espacio.
• TrapsVdiTool -m:password

La herramienta VDI de Traps identifica la imagen maestra (golden image) como una instancia de VDI
sin realizar las comprobaciones de hash.

Configurar Traps para una situación de almacenamiento


persistente
Si utiliza un equipo VDI para descargar en un área de almacenamiento local, necesita realizar cambios
adicionales a la imagen maestra (golden image), incluidos cambios en las propiedades del servicio de Traps y
los scripts de puesta en marcha y apagado.

STEP 1 | Cree un enlace simbólico desde la unidad estándar del equipo hacia el almacenamiento local del
equipo cada vez que la VDI se reinicie.
En la imagen maestra (golden image), ejecute el Script de puesta en marcha usando un GPO o
prográmelo para que se ejecute como una tarea o política local.
Para configurar el GPO para scripts de puesta en marcha:
1. Ejecute gpmc.msc (administrador de políticas de grupo) en su controlador de dominio y luego cree un
nuevo GPO.
2. Asigne al GPO un nombre significativo y haga clic en OK (Aceptar).
3. Haga clic con el botón derecho en el GPO creado recientemente y seleccione Edit (Editar).
4. En el panel izquierdo del editor del administrador de políticas de grupo, vaya a Scripts (Startup/
Shutdown) [Inicio/Apagado] y luego vaya al panel derecho y haga doble clic en Startup (Inicio).
5. Haga clic en Add (Añadir), busque su script, seleccione el script y haga clic en OK (Aceptar).
6. Cierre ambos complementos del administrador de política de grupo.

76 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
STEP 2 | Restablezca el estado de los servicios antes de que la imagen se selle y migre a un entorno de
prueba o producción.
En la imagen maestra (golden image)n, cree un archivo por lotes usando un Script de apagado y luego
ejecútelo.

STEP 3 | Configure los servicios de Traps


1. Abra services.msc: Haga clic en Start (Iniciar) > Run (Ejecutar), introduzca services.msc y luego pulse
Enter (Intro).
2. Haga clic con el botón derecho en el servicio Traps y seleccione Properties (Propiedades).
3. En la lista desplegable Startup type (Tipo de inicio) del servicio, seleccione Manual.
4. Haga clic en Apply (Aplicar) y luego en OK (Aceptar).
5. Repita el proceso para Traps Dump Analyzer Service (Servicio de Analizador de volcado de Traps) y
Traps Reporting Service (Servicio de informes de Traps).

Script de puesta en marcha

set drivepath=D:\ set datapath=%drivepath%\ProgramData\Cyvera set policypath=


%ProgramData%\CyveraNotInUse\LocalSystem\Data\ClientPolicy.json IF EXIST
%drivepath% ( IF EXIST %ProgramData%\Cyvera ( rename %ProgramData%\Cyvera
CyveraNotInUse ) %windir%\system32\cmd.exe /c mklink /J %ProgramData%\Cyvera
%datapath% 2>&1 IF NOT EXIST %datapath% ( mkdir %datapath% ) IF NOT EXIST
%datapath%\Everyone\Data ( mkdir %datapath%\Everyone\Data ) IF NOT EXIST
%datapath%\Everyone\Temp ( mkdir %datapath%\Everyone\Temp ) IF NOT EXIST
%datapath%\LocalSystem ( mkdir %datapath%\LocalSystem ) IF EXIST %datapath%
\LocalSystem\ClientPolicy.* ( del /F %datapath%\LocalSystem\ClientPolicy.* )
IF NOT EXIST %datapath%\LocalSystem\Data ( mkdir %datapath%\LocalSystem
\Data copy %policypath% %datapath%\LocalSystem\Data\ClientPolicy.json ) IF
NOT EXIST %datapath%\Logs ( mkdir %datapath%\Logs ) IF NOT EXIST %datapath%
\Prevention ( mkdir %datapath%\Prevention ) IF NOT EXIST %datapath%\Quarantine
( mkdir %datapath%\Quarantine ) IF NOT EXIST %datapath%\Administrators
\Temp ( mkdir %datapath%\Administrators\Temp ) ) sc start cyserver sc start
cyveraservice net start tlaservice

Script de apagado

::Stop Cyvera services net stop CyveraService net stop CyServer net stop
tlaservice rd c:\ProgramData\Cyvera /q ren c:\ProgramData\CyveraNotInUse
Cyvera net start CyveraService net start CyServer

Configurar Traps para una situación de almacenamiento no


persistente
Para una situación de almacenamiento no persistente, debe configurar el servicio de Traps de acuerdo
con el servicio de administrador (o cualquiera de los otros servicios de carga) según el siguiente artículo de
Microsoft KB http://support.microsoft.com/kb/193888.

STEP 1 | Abra el registro de Windows Registry y busque la clave de CyveraService en


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

STEP 2 | Haga doble clic en el multistring DependOnService.

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 77


© 2017 Palo Alto Networks, Inc.
STEP 3 | Añada Spooler (Administrador) a la lista de datos de valores.

STEP 4 | Haga clic en OK (Aceptar).

Ajustar y probar la política de VDI


Después de configurar la imagen maestra (golden image), afine y pruebe la política con el siguiente flujo de
trabajo.

STEP 1 | Afine las políticas de protección contra malware y exploits para su VDI.
Si su organización admite un entorno mixto de instancias de VDI y no VDI, puede aplicar la Condition
for VDI Machine (Condición para máquina de VDI) a cada regla que aplica a solo las instancias VDI. Por
ejemplo, puede configurar Traps para que:

STEP 2 | Utilice la imagen maestra (golden image) para diseminar un pequeño grupo de sesiones
persistentes (2 o 3). Implemente las sesiones en un entorno de producción e imite el
comportamiento diario previsto, tal como la exploración, desarrollo y uso de aplicación
exclusivo.

STEP 3 | Recopile información adicional durante este periodo para optimizar aún más la política de
sesión por defecto y pruebe las restricciones especiales que se aplican a las sesiones no
persistentes. En general, los clientes implementados en el modo persistente habilitan una mejor
recolección de datos forenses que los clientes implementados en el modo no persistente.

STEP 4 | Resuelva cualquier problema de estabilidad en el equipo de prueba y en el grupo de VDI de


prueba que haya sido causado por el exploit o las políticas de protección contra malware.

STEP 5 | Después de que el servidor de VDI disemine una sesión desde la imagen maestra (golden
image) y se conecte al servidor ESM, desconecte la imagen maestra. Luego revise la política
VDI de manera que la integración de WildFire esté habilitada, la inyección de EPM esté
establecida de acuerdo con la configuración evaluada en la imagen maestra (golden image), los
ajustes de heartbeat y creación de informes utilicen intervalos más prolongados (se recomienda
60 minutos) y los volcados de memoria se envíen automáticamente.
Traps reemplazará la imagen maestra (golden image) inicial por la política de VDI modificada. Cambiar la
política de VDI afecta toda la sesión diseminada en el siguiente reinicio.

STEP 6 | Vuelva a compilar la imagen maestra (golden image).


1. Reinicie la imagen de imagen maestra (golden image).
2. Verifique que la imagen maestra (golden image) pueda conectarse al servidor ESM.

78 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI


© 2017 Palo Alto Networks, Inc.
3. Apague la imagen maestra (golden image) y luego vuelva a compilarla.

STEP 7 | Inicie sesión en la consola ESM y verifique el estado de las instancias de VDI en la página
Monitor (Supervisar) > Agent (Agente) > Health (Estado). Si su organización utiliza un entorno
mixto, puede filtrar la columna de tipo del equipo para mostrar solo las instancias de VDI. La
consola ESM debería mostrar el estado de las instancias de VDI como conectado.

GUÍA DEL ADMINISTRADOR DE TRAPS | VDI 79


© 2017 Palo Alto Networks, Inc.
80 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI
Administrar el servidor ESM
> Gestionar ajustes del servidor ESM on page 83
> Gestionar ajustes de la consola ESM on page 85
> Gestionar múltiples servidores ESM on page 86
> Licencias de Traps on page 89
> Administrar acceso del administrador a la consola ESM on page 92
> Exportar e importar archivos de políticas on page 101

81
82 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM
© 2017 Palo Alto Networks, Inc.
Gestionar ajustes del servidor ESM
El servidor ESM facilita la comunicación entre los agentes de Traps y WildFire.
El servidor ESM se comunica periódicamente con WildFire para:
• Enviar archivos desconocidos para el análisis
• Solicite veredictos asociados a archivos ejecutables y archivos que contienen macros
• Enviar solicitudes para volver a analizar un archivo
El ESM se comunica con los agentes de Traps para llevar a cabo tres tareas principales:
• Obtener el estado operativo del agente
• Obtener informes sobre los procesos que se están ejecutando en el endpoint
• Enviar la política de seguridad más reciente
Puede cambiar la frecuencia con la que se comunican el servidor y el endpoint con la herramienta
de configuración de bases de datos (DB) (consulte Configurar los ajustes del servidor ESM usando la
herramienta de configuración de DB) o la consola ESM.

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).

STEP 2 | Configure cualquiera de estos ajustes del servidor ESM:


• Quarantine Network Path (Ruta de red para cuarentena): (Traps 3.1 y versiones anteriores) carpeta
forense por defecto para usar cuando el agente de Traps no puede llegar a la carpeta asociada con el
servidor ESM al cual el agente está conectado.
• Inventory Interval (Minutes) [Intervalo de inventario (minutos)]: introduzca la frecuencia con la cual
Traps enviará una lista al servidor ESM para informar las aplicaciones que se están ejecutando en el
endpoint.
• Heartbeat Grace Period (Seconds) [Periodo de gracia de Heartbeat (segundos)]: introduzca el periodo
de gracia permitido para un agente de Traps que no ha respondido (el intervalo es 300 a 86.400; el
valor por defecto es 300).
• Forensic Folder URL (URL de carpeta forense): URL de la carpeta forense habilitada para BITS.

Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio
completo (FQDN) y especifique el puerto 443 (por ejemplo, HTTPS://
ESMserver.Domain.local:443/BitsUploads). Si no desea utilizar SSL,
especifique el puerto 80 (por ejemplo, http://ESMSERVER:80/BitsUploads).
• Keep-alive Timeout (Tiempo de conexión persistente): intervalo de tiempo (en minutos) después
del cual el ESM envía un mensaje de persistencia a una plataforma de logging externa (el intervalo
es 0 o superior; el valor por defecto es 0). El mensaje de keep-alive alerta a la plataforma de logging
externa de que el componente del ESM está activo y recopilando logs. La consola ESM indica la hora
a la que el servidor ESM envió el último mensaje de persistencia en el campo Last Heartbeat (Último
heartbeat) en la vista de detalles adicionales del servidor ESM en la página Settings (Ajustes) > ESM >
Multi ESM (Varios ESM).
• Update From Server Package Address (Actualizar desde una dirección de paquete de servidor): URL
de la consola ESM a la que se puede acceder externamente y que se emplea para alojar los paquetes
de actualización de los agentes de Traps. Por defecto, al configurar una regla de acción para actualizar
el software de Traps, la regla se configura para utilizar el nombre de host de la consola ESM. Si solo
se puede acceder a la consola ESM mediante el registro DNS y no con el nombre de host por defecto
de la consola ESM, utilice este campo para indicar una URL que empiece por el prefijo HTTP o HTTPS
seguido del registro DNS.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 83


© 2017 Palo Alto Networks, Inc.
Si no indica ninguna URL de servidor en este campo, la regla de acción para
actualizar los agentes emplea la sesión actual para determinar la preferencia de
SSL. Por ejemplo, si accede a la consola ESM mediante HTTP y crea una regla de
acción para actualizar los agentes, estos reciben una ruta de actualización con un
prefijo HTTP. Si accede mediante HTTPS, los agentes reciben una ruta con un prefijo
HTTPS.
• Use DNS For Address Resolution (Use DNS para la resolución de dirección): seleccione esta opción
para habilitar el DNS para la resolución de dirección. Por defecto, esta opción está deshabilitada para
evitar el logging excesivo de errores del DNS.
• Automatic Revocation (Revocación automática): predeterminado, el servidor ESM automáticamente
revoca una licencia de un agente después de un periodo de 90 días. Para cambiar el Revocation
Period (Periodo de revocación), introduzca un valor entre 30 y 365 días. O, para impedir que el
servidor ESM revoque la licencia, desactive la opción para Automatic Revocation (Revocación
automática). Cuando la opción Automatic Revocation (Revocación automática) se desactiva, el
servidor ESM no revoca la licencia independientemente del periodo de tiempo en el que el agente de
Traps no ha establecido una comunicación con el servidor ESM.

STEP 3 | (Opcional) En las implementaciones con varios servidores ESM, también puede configurar cada
servidor ESM para que se comunique con WildFire mediante un servidor proxy.
1. Seleccione Settings (Ajustes) > ESM > Multi ESM (Varios ESM).
2. Seleccione la fila del servidor ESM cuya comunicación con el proxy desea configurar. La consola ESM
muestra los ajustes del servidor.
3. Seleccione Edit (Editar).
4. Habilite la comunicación con el Proxy.
5. Indique la dirección FQDN o IP del servidor proxy en el campo Proxy Host/IP (Host proxy/IP) y
un número de Proxy Port (Puerto proxy) (8080, por defecto). De manera opcional, habilite Proxy
Authentication (Autenticación proxy) e introduzca el Username (Nombre de usuario) y la Password
(Contraseña)— solo con caracteres ISO-8859-1— que el servidor ESM utilizará para autenticarse en el
servidor proxy.
6. Haga clic en Save (Guardar) para guardar los cambios que realice en el servidor ESM.
7. Si lo desea, repita este proceso para configurar los ajustes de proxy del resto de servidores ESM.
Puede utilizar la misma configuración de proxy para varios servidores ESM o una distinta para cada
uno.
Si desea más información, consulte Gestionar múltiples servidores ESM.

STEP 4 | Save (Guardar) sus cambios.

84 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Gestionar ajustes de la consola ESM
Puede configurar los siguientes ajustes para el servidor que alberga la consola desde Consola ESM on page
14:
• Periodo de visualización del panel
• Modo de autenticación de usuario utilizado para autenticar usuarios que inician sesión en la consola
ESM, ya sea de equipo o dominio
• Servidor proxy para facilitar la comunicación entre la consola ESM y WildFire.

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).

STEP 2 | Configure cualquiera de los siguientes ajustes para la consola ESM:


• Dashboard Display Period (Days) [Periodo de visualización del panel (días)]: Número de días usados
para generar los gráficos y las tablas del panel. De forma predeterminada, la consola ESM muestra la
información recopilada en los últimos 30 días (intervalo 1-10.000).
• User Authentication Mode (Modo de autenticación de usuario ): método para autenticar a los
usuarios en la consola ESM, ya sea e Machine (Equipo) (local), o Domain (Dominio).
• Proxy: introduzca el FQDN o dirección IP del servidor proxy en el campo Proxy Host/IP (Host proxy/
IP) y un número de Proxy Port (Puerto proxy) (por defecto 8080). opcionalmente, active la Proxy
Authentication (Autenticación de proxy) y a continuación introduzca el Username (Nombre de
usuario) y Password (Contraseña), use solo caracteres ISO-8859-1, que la consola ESM usará para
autenticar con el servidor proxy.

STEP 3 | Save (Guardar) sus cambios.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 85


© 2017 Palo Alto Networks, Inc.
Gestionar múltiples servidores ESM
Para admitir implementaciones a gran escala o de múltiples sitios, puede configurar y gestionar múltiples
servidores Endpoint Security Manager (ESM) desde la consola ESM. Cada uno de los servidores ESM
se conecta a una base de datos compartida donde se almacenan políticas de seguridad e información
relacionada con los agentes y eventos de Traps, y permite la carga de datos forenses en una carpeta forense
dedicada. La posibilidad de añadir servidores ESM adicionales le permite escalar el número de conexiones
de Traps que puede conectar a su red.
• Limitaciones conocidas con implementaciones de ESM múltiples on page 86
• ¿Qué lógica usa el agente para seleccionar un servidor ESM? on page 86
• Activar, desactivar o eliminar un servidor ESM on page 88

Limitaciones conocidas con implementaciones de ESM múltiples


En una implementación de ESM múltiple, cada servidor ESM debe cumplir con los requisitos especificados
en Requisitos de software del servidor ESM. Las implementaciones de múltiples ESM también tienen las
siguientes limitaciones:
• Load balancing (Equilibrio de carga): para usar un equilibrador de carga para gestionar el tráfico entre
múltiples servidores ESM, debe especificar la dirección IP del equilibrador de carga, en vez del servidor
ESM, cuando instala el agente de Traps. Los agentes de Traps pueden entonces establecer conexiones a
través del equilibrador de carga, en vez de intentar conectarse directamente con un servidor ESM.
• IP addressing (Asignación de dirección IP): cada servidor ESM debe tener una dirección IP estática.
• Scaling (Escalada): puede instalar un máximo de cinco servidores ESM. Para instalar servidores
adicionales, póngase en contacto con su ingeniero de ventas.
• LDAP (Protocolo Ligero de Acceso a Directorios): para usar objetos de Active Directory (AD) como
destinos para las reglas de seguridad, agente o ajustes de agente, los servidores ESM deben poder
conectarse a su servidor LDAP. En una implementación múltiple de ESM, donde un servidor ESM no
puede consultar al servidor LDAP, por ejemplo un servidor ESM implementado en una DMZ, y las reglas
especifican objetos AD, los agentes de Traps que se conectan al servidor ESM no podrán obtener la
política de seguridad y mostrarán un estado de desconectado. Esto significa que si instala agentes
de Traps para comunicarse con el servidor ESM externo y especifica objetos de AD en sus reglas, los
agentes de Traps no recibirán ninguna política de seguridad hasta que se conecten a un servidor ESM
interno que se pueda comunicar con el servidor LDAP.
Para aplicar reglas a un grupo específico de endpoints cuando un servidor ESM no puede consultar su
servidor LDAP, recomendamos que elimine cualquier objeto AD de su política de seguridad y que a
cambio, defina condiciones de coincidencia y las aplique a sus reglas según sean necesarias.

¿Qué lógica usa el agente para seleccionar un servidor ESM?


El agente de Traps recibe una lista de todos los servidores ESM conocidos en intervalos de heartbeat
periódicos. Para determinar el servidor de ESM al que el agente se debe conectar, Traps tiene en cuenta la
prioridad y el TTL (cantidad de saltos de nodo) de cada servidor. Traps prioriza la lista de servidores de ESM
por dirección IP interna (prioridad 1), dirección IP externa (prioridad 2) y el servidor ESM que se especificó
durante la instalación del agente (prioridad 3). Un ejemplo con cuatro servidores ESM:

Servidor ESM TTL de dirección interna TTL de dirección


externa

A 2 3

86 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Servidor ESM TTL de dirección interna TTL de dirección
externa

B 1 4

C 2 5

D (instalación por 2 5
defecto)

Después de evaluar el valor TTL de cada servidor ESM, Traps crea una lista ordenada:
Priority=1, TTL=1, Latency=10.00ms, Address=https://
esmserverB.example.com:2125/
Priority=1, TTL=2, Latency=20.00ms, Address=https://
esmserverA.example.com:2125/
Priority=1, TTL=2, Latency=20.00ms, Address=https://
esmserverC.example.com:2125/
Priority=2, TTL=3, Latency=30.00ms, Address=https://10.31.32.1:2125/
Priority=2, TTL=4, Latency=40.00ms, Address=https://10.31.32.2:2125/
Priority=2, TTL=5, Latency=50.00ms, Address=https://10.31.32.3:2125/
Priority=3, TTL=2, Latency=20.00ms, Address=https://
esmserverD.example.com:2125/
En este ejemplo, el servidor ESM B presenta el valor TTL más bajo (menor número de saltos) y la mayor
prioridad. Si Traps no puede establecer conexión con el servidor ESM B —el servidor ESM preferido—, se
desplaza por la lista hasta poder establecer una conexión con un servidor ESM.
Si se da un empate en el que dos servidores de ESM tienen la misma prioridad y el mismo valor TTL, el
agente de Traps selecciona aleatoriamente cualquiera de los dos.
Si no se puede acceder a ningún servidor ESM (porque la lista de servidores de ESM está vacía, por
ejemplo), el estado del agente cambia a No Connection (Sin conexión). Tras un periodo de inactividad, el
agente intenta establecer conexión de nuevo (por defecto, cada minuto o como indique alguna regla de
comunicación de los ajustes del agente). El agente de Traps también verifica periódicamente la integridad
de la lista de servidores ESM (por defecto, cada hora o como indique alguna regla de comunicación de los
ajustes del agente). El agente de Traps también puede validar inmediatamente la lista de servidores ESM si
se da alguno de estos casos:
• La dirección de red del endpoint cambia.
• El endpoint reanuda su actividad o se reinicia.
• La dirección IP de un servidor ESM cambia.
• Se ejecuta la acción Check-In Now (Registrar ahora) en la consola de Traps.
• No se logra establecer comunicación o se agota el tiempo máximo de espera de la solicitud desde el
agente.

Si elimina o deshabilita temporalmente un servidor ESM, la consola ESM lo quita de


la lista de servidores ESM disponibles y la actualiza en los agentes de Traps con el
siguiente heartbeat. No obstante, si especificó el servidor ESM (ahora deshabilitado) en
la instalación de Traps, dichos agentes mantendrán el servidor ESM (con prioridad 3) en
la lista de servidores ESM disponibles a los que se pueden conectar.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 87


© 2017 Palo Alto Networks, Inc.
Activar, desactivar o eliminar un servidor ESM
Tras instalar cada servidor ESM (véase Instalar el software del servidor de Endpoint Security Manager), la
consola ESM muestra información de identificación acerca de cada servidor en la página Settings (Ajustes) >
ESM > Multi ESM (Varios ESM).

Puede modificar los ajustes de configuración para los servidores ESM en cualquier momento. También
puede deshabilitar temporalmente, activar o quitar un servidor ESM, según fuera necesario.

Acción Pasos

Configurar ajustes de Consulte Gestionar ajustes del servidor ESM.


servidor ESM

Deshabilitar un servidor Seleccione Disable Selected (Deshabilitar seleccionados) en el menú de


ESM acción de la parte superior de la página. La consola ESM cambia el
estado del servidor a Disabled (Deshabilitada). Esta acción elimina de
forma temporal el servidor ESM de la lista de servidores ESM disponibles
a los que se pueden conectar los agentes de Traps; sin embargo, si el
servidor ESM se indicó durante la instalación de Traps, el agente retiene al
servidor ESM en su lista de servidores disponibles.
Esta opción le permite volver a activar el servidor ESM más adelante.

Eliminar un servidor ESM Para quitar de servicio un servidor ESM, seleccione Delete Selected
(Eliminar seleccionados) en el menú de acción en la parte superior
de la página. Esta acción elimina de forma permanente el servidor ESM
de la consola ESM y de la lista de servidores ESM disponibles a los que se
pueden conectar los agentes de Traps; sin embargo, si el servidor ESM se
indicó durante la instalación de Traps, el agente retiene al servidor ESM
en su lista de servidores disponibles. No es posible volver a activar un
servidor ESM eliminado a no ser que lo vuelva a instalar primero.

Activar un servidor ESM Seleccione Activate Selected (Habilitar seleccionados) en el menú de


acción de la parte superior de la página. Esta acción añade el servidor
ESM deshabilitado al grupo de servidores disponibles.

88 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Licencias de Traps
La licencia de Traps impone la fecha de vencimiento y el número máximo de endpoints que usted puede
gestionar (tamaño del grupo de licencias) desde la consola ESM. La licencia le permite gestionar la política
de seguridad del endpoint, habilitar WildFire y obtener soporte. Cada instancia de base de datos requiere
una licencia de Traps válida.
Cuando un agente de Traps intenta registrarse con el servidor ESM por primera vez, el servidor ESM asigna
al agente una licencia del grupo de licencias compartido. Todos los endpoints, independientemente del tipo,
servidor, estación de trabajo o VDI, reciben una licencia del grupo de licencias compartido.
Cuando el agente de Traps está inactivo y no se ha comunicado con el servidor ESM dentro del periodo
de revocación establecido de la licencia, el servidor ESM automáticamente revoca la licencia del agente de
Traps. Si el agente de Traps posteriormente envía una comunicación heartbeat al servidor ESM y conecta
correctamente, el servidor ESM lo considera como un nuevo agente y le adjudica una nueva licencia del
grupo de licencias disponibles.
Después de que una licencia de agente (y el periodo de gracia de dos días) caduca, la protección de Traps se
deshabilita.
Para adquirir licencias, póngase en contacto con su administrador de cuentas de Palo Alto Networks o su
distribuidor.

En versiones anteriores de Traps, la consola ESM mantenía grupos de licencias separados


para cada tipo de endpoint. Para ampliar o asignar licencias adicionales a agentes de Traps
bajo versiones anteriores a Traps 4.0, asegúrese de que selecciona la versión de agente
correcta cuando solicita nuevas licencias del Portal de asistencia técnica.

Puede gestionar las licencias de las siguientes maneras:


• View license utilization (Visualizar el uso de la licencia): utilice el gráfico License Capacity (Capacidad
de licencias) en el Dashboard (Panel) para visualizar el uso actual de todas las licencias en estaciones de
trabajo, servidores y VDI.
• Add a Traps license (Añadir una licencia de Traps): utilice la página Settings (Ajustes) > License (Licencia)
para añadir soporte para características o usuarios adicionales. Consulte Inclusión de una licencia
de Traps usando la consola ESM. También puede añadir una licencia a través de la herramienta de
configuración de bases de datos (DB) (consulte Añadir una licencia de Traps usando la herramienta de
configuración de DB).
• Adjust the automatic license revocation period (Modificar el periodo de revocación automático de
licencia): el servidor ESM automáticamente revoca una licencia de un agente después de un periodo de
inactividad. Para los agentes de Traps 4.0, el periodo de revocación es de 90 días. Para agentes de Traps
más antiguos, el periodo de revocación por defecto es de siete días. Para cambiar los predeterminados,
modifique el License Revocation Period (Periodo de revocación de licencia) en la página Settings
(Ajustes) > ESM > Settings (Ajustes). Para obtener más información acerca de los ajustes del servidor
ESM, consulte Gestionar ajustes del servidor ESM.
• Detach a license (Desasociar una licencia): para desasociar una licencia de un endpoint, puede Eliminar
un endpoint de la consola ESM. Esta acción libera la licencia inmediatamente para que lo pueda usar
otro agente de Traps, y la devuelve al grupo de licencias disponibles, y retira el endpoint de la vista
predeterminada en la página Health (Estado).

Inclusión de una licencia de Traps usando la consola ESM


Para poder comenzar a usar Traps para proteger sus endpoints, debe instalar una licencia de Traps válida.
Para gestionar licencias, debe tener asignada un rol con privilegios de licencia habilitados.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 89


© 2017 Palo Alto Networks, Inc.
STEP 1 | Antes de comenzar: Obtenga una licencia a través de su administrador de cuentas de Palo Alto
Networks o su distribuidor.

STEP 2 | Seleccione Settings (Ajustes) > Licensing (Licencias) y a continuación Add (Añadir) para añadir
una nueva licencia.

STEP 3 | Vaya a Browse (Examinar) y seleccione Upload (Cargar) para el archivo de licencia. La consola
ESM muestra información sobre la nueva licencia, incluidas las características de la licencia, el
tamaño del grupo de licencias, la cantidad de endpoints para los cuales se emitió la licencia, la
fecha en que añadió la licencia y la fecha de vencimiento de la licencia.

STEP 4 | (Opcional) Para verificar la utilización de la licencia de Traps, seleccione Dashboard (Panel) y
acceda a License Capacity (Capacidad de licencias).

STEP 5 | (Opcional) Para exportar la información de la licencia a un archivo CSV, seleccione Settings
(Ajustes) > Licensing (Licencias) y haga clic en el menú de acción , y seleccione Export Logs
(Exportar logs).

STEP 6 | (Opcional) De forma predeterminada, el servidor ESM automáticamente revoca la licencia de


un agente que no se haya conectado a un servidor ESM dentro de un periodo de 909 días.
Para cambiar el número de días en el que el servidor ESM revoca una licencia o para prevenir la
Automatic Revocation (Revocación automática), consulte Gestionar ajustes del servidor ESM.

Añadir una licencia de Traps usando la herramienta de


configuración de DB
Usando la Herramienta de configuración de bases de datos (DB), puede gestionar ajustes básicos del
servidor ESM, incluida la capacidad de instalar una licencia. Puede acceder a la herramienta de configuración
DB utilizando un símbolo del sistema de Microsoft MS-DOS ejecutado como administrador. La herramienta
de configuración DB se encuentra en la carpeta Server (Servidor) del servidor ESM.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

STEP 1 | Antes de comenzar: Obtenga una licencia a través de su administrador de cuentas de Palo Alto
Networks o su distribuidor.

STEP 2 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios), haga clic
con el botón secundario del ratón en Command prompt (Símbolo del sistema), y seleccione Run as
administrator (Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún
no pulse Enter (Intro). A continuación, para abrir el símbolo del sistema como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).

STEP 3 | Vaya a la carpeta que contiene la herramienta de configuración DB:

90 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint
Security Manager\Server

STEP 4 | Cargue la nueva licencia:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig importLicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml

La herramienta de configuración DB carga el archivo de licencia. Para comprobar la licencia que usa la
consola ESM, consulte Añadir una licencia de Traps usando la consola ESM.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 91


© 2017 Palo Alto Networks, Inc.
Administrar acceso del administrador a la
consola ESM
Cuando instala la consola de Endpoint Security Manager (ESM), usted especifica la cuenta administrativa
y el tipo de autenticación que los administradores utilizarán para acceder a la consola. La consola ESM
puede autenticar usuarios definidos en el servidor de consola ESM local o mediante el uso de cuentas de
dominio (incluidos grupos y unidades de la organización) definidas en Active Directory (AD). Después de la
instalación, puede cambiar el modo de autenticación, personalizar las funciones con privilegios de acceso y
asignar funciones a cuentas administrativas.
• Funciones administrativas
• Privilegios administrativos
• Usuarios administrativos
• Autenticación administrativa
• Configurar cuentas y autenticación administrativa

Funciones administrativas
El control de acceso basado en rol (role-based access control, RBAC) le permite utilizar funciones
previamente configuradas o personalizadas para asignar derechos de acceso a usuarios administrativos.
Cada función extiende privilegios específicos a los usuarios que usted asignó a la función y cada privilegio
define el acceso a ajustes de configuración y páginas específicos en la consola ESM. Al personalizar una
función y asignar privilegios específicos, puede aplicar la separación de la información entre las áreas
funcionales o regionales de su organización para proteger la privacidad de los datos en la consola ESM.

La manera en la que configura su acceso administrativo depende de los requisitos de seguridad de su


organización. Utilice las funciones para asignar privilegios de acceso específicos a cuentas de usuario
administrativos. Por defecto, la consola ESM posee funciones integradas con derechos de acceso
específicos que no se pueden modificar. Cuando se agregan nuevas características al producto, la consola
ESM automáticamente añade las nuevas características a las definiciones de función por defecto. La
siguiente tabla enumera funciones integradas y los privilegios de acceso asociados a cada una:

Función Privilegios

Superusuario Acceso completo de lectura-escritura a la consola ESM.

Administrador de TI Acceso de lectura-escritura para las páginas de supervisión y ajustes de


configuración y acceso de solo lectura para todas las demás páginas de la
consola ESM. No incluye la capacidad de deshabilitar la protección.

Administrador de Acceso de lectura-escritura a las páginas de configuración de políticas,


seguridad supervisión y ajustes en la consola ESM, incluida la capacidad de deshabilitar la
protección. Esta función también incluye acceso de solo lectura a las páginas

92 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Función Privilegios
de estado del agente, pero no acceso al estado del servidor o las páginas de
licencias.

Si bien no puede modificar los privilegios asociados con las funciones integradas, puede crear funciones
personalizadas que brindan un control de acceso más pormenorizado sobre las áreas funcionales de la
interfaz web. Para estas funciones, puede asignar acceso de lectura-escritura, acceso de solo lectura o
ningún tipo de acceso a todas las páginas y funciones de configuración de la consola ESM.
Un ejemplo de uso de función personalizada es los administradores de seguridad que deben poder visualizar
logs sobre el estado de los endpoints, pero que no necesitan configurar reglas de seguridad.

Privilegios administrativos
Para cada función administrativa personalizada que usted crea, puede seleccionar los privilegios y niveles de
acceso para cada privilegio. Los niveles de acceso para cada privilegio son:
• Enable (Habilitar): permite el acceso completo de lectura-escritura a una página en la consola ESM.
• Disable (Deshabilitar): oculta el acceso a una página.
• Read Only (Solo lectura): permite que un usuario visualice pero no modifique una página.
La siguiente tabla describe los privilegios que se pueden personalizar para cada función.

Privilegio Descripción

Esta activa Los usuarios a los que se les asigna esta función pueden
acceder a la consola ESM.

Habilitar notificaciones de licencia La consola ESM muestra notificaciones de licencias a los


usuarios que tienen este privilegio habilitado cuando una
licencia caduca o está a punto de caducar.

Dashboard (Panel) Acceso al panel principal de la consola ESM.

Eventos de seguridad Acceso a la página de eventos de seguridad

Políticas Acceso a todas las páginas de políticas.

Exploit Acceso a todas las páginas de reglas de protección contra


exploits donde puede visualizar las reglas de protección
contra exploits definidas por usuario y predeterminadas.
Si su acceso lo permite, también puede configurar nuevas
reglas y procesos o modificarlos. Para un control más
detallado, configure el acceso por página de Exploits:
• Módulos de protección (Módulos de protección de
aplicación)
• Módulos de protección de kernel
• Administración de procesos

Malware Acceso a todas las páginas de reglas de protección contra


malware donde puede visualizar los ajustes y las reglas
de restricción definidas por usuario y predeterminadas,
reglas de protección contra malware, reglas de WildFire y

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 93


© 2017 Palo Alto Networks, Inc.
Privilegio Descripción
veredictos asociados a archivos abiertos en sus endpoints.
Si su acceso lo permite, también puede configurar nuevas
reglas o modificarlas y configurar sobreescrituras de hash
administrativas. Para un control más detallado, configure
el acceso a través de la página de Malware:
• Restricciones
• Ajustes de restricciones
• Módulos de protección
• WildFire
• Control de hashes

Datos forenses Acceso a la página de administración de datos forenses


y consulta a los agentes. Para un control más granular,
configure el acceso por páginas de Forenses individuales:
• Datos forenses
• Consulta a agente

Deshabilitar toda la protección Acceso para detener todas las reglas de protección de
Traps.

El establecimiento de este privilegio para


acceso de solo lectura funciona de la
misma forma que al establecer el acceso
en "deshabilitado". En ambos casos, la
consola ESM oculta la opción y no se
puede ver.

Monitor (Supervisar) Acceso a todas las páginas de supervisión.

Agente Acceso a todas las páginas de supervisión de agentes. Para


un control más granular, configure el acceso a través de
páginas de agente individuales:
• Estado
• Logs

ESM Acceso a todas las páginas de supervisión de ESM. Para


un control más granular configure el acceso a través de
páginas de ESM individuales:
• Estado
• Logs

Recuperación de datos Acceso a la página de supervisión de recuperación de


datos donde puede supervisar el estado de los datos
cargados al servidor ESM y exportar o eliminar datos.

Ajustes Acceso para la configuración o visualización de las páginas


ESM, Agente, Condiciones o Ajustes de licencias.

94 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Privilegio Descripción

ESM Acceso para la configuración de cualquiera de los ajustes


de ESM. Para un control más detallado, configure el
acceso por cualquiera de las páginas de ajustes de ESM:
• Ajustes
• WildFire
• Syslog
• EMAIL
• Panorama
• Multi ESM (ESM múltiples)
• Actualizaciones de contenido

Agente Acceso a la configuración de cualquier ajuste del agente o


reglas de acción o para crear paquetes de instalación para
endpoints Mac. Para un control más granular, configure el
acceso a través de cualquiera de las páginas de ajustes:
• Ajustes
• Acciones
• Paquete de instalación (solos endpoints de Mac)

Condiciones Acceso para la visualización y creación de condiciones que


puede usar en reglas de políticas.

Licencias Acceso para la visualización y gestión de licencias de


Traps.

Usuarios administrativos
Un usuario administrativo es una cuenta de usuario local o de dominio que posee acceso a funciones
administrativas de presentación de informes específicos en la consola ESM. Usando el control de acceso
basado en rol (role-based access control, RBAC), usted puede asignar privilegios y responsabilidades
específicos a una función y luego asignar esa función a uno o más usuarios que necesiten los mismos
permisos de acceso.

Es recomendable que cree una cuenta administrativa separada para cada persona que
necesite acceder a la consola ESM. Esto mejora la protección frente a la configuración (o
modificación) no autorizada y permite el logging de todas las acciones de cada uno de los
administradores.

Use la consola ESM para asignar acceso administrativo a cualquiera de los siguientes tipos de cuentas:

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 95


© 2017 Palo Alto Networks, Inc.
Tipo de cuenta DESCRIPTION

Usuario (Autenticación de equipo o dominio) Cuenta existente de dominio o usuario


local utilizada para iniciar sesión en la consola ESM. La consola ESM autentica
el usuario de una de dos maneras:
• Domain authentication Autenticación de dominio: autentica usando las
credenciales almacenadas en Active Directory.
• Machine authentication Autenticación de equipo: autentica usando las
credenciales almacenadas en el sistema local en el cual se instaló la consola
ESM.

Grupo (Autenticación de dominio únicamente) Extiende el acceso administrativo


a todos los miembros de un grupo de seguridad y utiliza las credenciales de
autenticación definidas en Active Directory para autenticar al usuario.

Unidad organizativa (Autenticación de dominio únicamente) Extiende el acceso administrativo a


todos los miembros de una unidad organizativa y utiliza las credenciales de
autenticación definidas en Active Directory para autenticar al usuario.

La consola ESM no retiene las credenciales para ninguna cuenta administrativa. Para
cambiar las credenciales de una cuenta administrativa, debe modificarlas en el equipo
local si utiliza la autenticación de equipo o en Active Directory si utiliza la autenticación de
dominio.

Autenticación administrativa
Cuando instala la consola ESM, usted especifica el usuario administrativo y el tipo de autenticación que
la consola ESM utiliza para autenticar a los usuarios administrativos. Puede cambiar estas preferencias
usando la Herramienta de configuración de bases de datos (DB) on page 338 (consulte Configurar el
acceso administrativo a la consola ESM utilizando la herramienta de configuración de bases de datos (DB)
on page 339) o usando la consola ESM (consulte Configurar el modo de autenticación on page 99).
También puede especificar el uso de un grupo de autenticación preexistente para el acceso administrativo.
Por defecto, no se especifica ningún grupo.
Puede configurar los siguientes tipos de autenticación de administrador:

Tipo de cuenta DESCRIPTION

Dominio Utiliza cuentas definidas en Active Directory (incluidos usuarios, grupos o


unidades organizativas) para el acceso administrativo.

Equipo Utiliza cuentas que son locales del servidor de la consola ESM para el
acceso administrativo.

Configurar cuentas y autenticación administrativa


• Configurar funciones administrativas on page 97
• Configuración de usuarios administrativos, grupos o unidades de la organización on page 98
• Configurar el modo de autenticación on page 99
• Cambiar la contraseña del modo ninja on page 99

96 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Configurar funciones administrativas

En la página Administration (Administración) > Roles (Funciones) puede ver todas las funciones integradas
y personalizadas para su organización. La creación de funciones personalizadas le permite adaptar los
permisos de acceso en torno a los requisitos de seguridad para su organización.
Cada función muestra el nombre y la descripción, la cantidad de usuarios asignados a la función y la fecha
en que se creó la función. La selección de la fila de una función expande esa fila para mostrar detalles y
acciones adicionales. Las acciones que puede realizar sobre la función varían para las funciones integradas y
personalizadas.
Si bien no puede modificar ni eliminar ninguna de las funciones integradas, puede visualizar los privilegios de
acceso que están asociados con la función. No obstante, sí puede añadir, modificar o eliminar una función
personalizada. También puede bloquear una función para evitar que los usuarios asignados a esa función
inicien sesión en la consola ESM. De manera similar, la eliminación de una función elimina de la consola ESM
los privilegios de acceso asociados con esa función y evita que los usuarios inicien sesión en la consola ESM
si están asignados a esa función. La consola ESM muestra funciones bloqueadas con un icono rojo en la
columna de estado.

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > Administration (Administración) > Roles
(Funciones). La consola ESM muestra todas las funciones integradas y personalizadas para su
organización.

STEP 2 | Seleccione y luego haga clic en Edit (Editar) para editar una función existente o en Add (Añadir)
para añadir una nueva.

STEP 3 | Defina el Role Name (Nombre de función) e introduzca una Description (Descripción).

STEP 4 | Seleccione la opción Is Active (Está activa) para habilitar la función o elimine la selección de la
opción para deshabilitarla.

STEP 5 | Seleccione un privilegio para alternar a través de los diferentes niveles de acceso para ese
privilegio. Por defecto, todos los privilegios están deshabilitados. Al seleccionar el privilegio una
vez, el ajuste cambia a acceso Read Only (Solo lectura); al seleccionar el privilegio nuevamente,
el nivel de acceso cambia a acceso de lectura-escritura (Enable (Habilitar)); y al seleccionar el
privilegio del estado habilitado, se deshabilita el privilegio.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 97


© 2017 Palo Alto Networks, Inc.
STEP 6 | Haga clic en Save (Guardar). La consola ESM muestra la función nueva o modificada en la tabla.

STEP 7 | Asigne la función a un usuario. Consulte Configuración de usuarios administrativos, grupos o


unidades de la organización on page 98.

Configuración de usuarios administrativos, grupos o unidades de la


organización

En la página Settings (Ajustes) > Administration (Administración) > Users (Usuarios), puede visualizar
todas las cuentas que proporcionan acceso administrativo a la consola ESM. Una cuenta puede ser un
usuario, un grupo o una unidad de la organización. Para brindar acceso administrativo a un grupo o unidad
de la organización, la cuenta debe existir en el dominio. Para brindar acceso administrativo a un usuario,
puede añadir un usuario al equipo local o un usuario en el dominio. La consola ESM utiliza el dominio o las
credenciales definidas en el equipo local para autenticar al usuario.

Es recomendable que cree una cuenta separada para cada usuario que necesite acceder a
la consola ESM.

Para cada cuenta, la consola ESM muestra el estado de la cuenta (Blocked [Bloqueada] o Unblocked
[Desbloqueda]), el Name (Nombre) de la cuenta, la Role (Función) asignada y la fecha en que se creó la
cuenta. Al seleccionar la fila de una cuenta, la fila se expandirá para mostrar detalles y acciones adicionales,
como por ejemplo, quién creó la función (System (Sistema), DbConfig o la cuenta administrativa que inició
sesión en la consola ESM). Las acciones que puede realizar en una función varían según dónde se creó la
función. Si tiene permiso para hacerlo, puede editar, bloquear, desbloquear o eliminar cualquiera de las
cuentas creadas por otros usuarios administrativos, pero no puede bloquear ni eliminar las cuentas que se
crearon desde DBconfig.
El bloqueo de una cuenta impide que la cuenta inicie sesión en la consola ESM. De manera similar, la
eliminación de una cuenta quita la cuenta y los ajustes de la consola ESM, e impide que la cuenta inicie
sesión en la consola ESM. Cuando una función que está asociada con una cuenta se bloquea, la consola ESM
muestra Role (Función) como <role name> (inactive). Cuando una función que está asociada con
una cuenta se elimina, la consola ESM muestra Role (Función) como N/A (inactive). La consola ESM
también muestra cuentas bloqueadas con un icono rojo en la columna de estado e indica una función
eliminada o bloqueada con un icono rojo junto al nombre de la Role (Función).

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > Administration (Administración) > Users
(Usuarios). La consola ESM muestra las cuentas de su organización, incluidos los usuarios,
grupos y unidades de la organización.

98 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Si no es posible iniciar sesión en la consola ESM, use la Herramienta de configuración
de bases de datos (DB) para comprobar y, opcionalmente, cambiar, los usuarios y grupos
que tiene acceso a la consola ESM (consulte Configuración del acceso administrativo a la
consola ESM utilizando la herramienta de configuración de bases de datos (DB)).

STEP 2 | Haga clic en Add User (Añadir usuario), Add Group (Añadir grupo) o Add Organizational Unit
(Añadir unidad de la organización) para crear una cuenta nueva. O bien, puede seleccionar la
fila de una cuenta existente y hacer clic en Edit (Editar) para modificar los ajustes de la cuenta.
Desde esta vista, también puede Block (Bloquear)Unblock (Desbloquear) o Delete (Eliminar)
una cuenta.

STEP 3 | Introduzca el Name (Nombre) de una cuenta existente. Si está usando autenticación de equipo,
solo puede añadir usuarios existentes en el equipo local. Si está usando la autenticación de
dominio, puede añadir un usuario de dominio, grupo o unidad organizativa existente.

La consola ESM trunca los nombres de usuario de más de 20 caracteres. Como


resultado, los usuarios deben iniciar sesión en la consola ESM usando solo los primeros
20 caracteres de su nombre de usuario.

STEP 4 | Seleccione la opción Is Active (Está activa) para habilitar la cuenta o elimine la selección de la
opción Is Active (Está activa) para deshabilitar la cuenta.

STEP 5 | Seleccione la función de la lista para asignar los privilegios de acceso a la cuenta. Para crear una
nueva función, consulte Configurar funciones administrativas.

STEP 6 | Save (Guardar) sus cambios. La consola ESM muestra la cuenta nueva o modificada en la tabla.

Configurar el modo de autenticación


Cuando instala la consola, usted especifica la cuenta administrativa y el tipo de autenticación que los
administradores utilizarán para acceder a la consola. Puede cambiar estas preferencias usando la consola
ESM de la siguiente forma:

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).

Si no puede acceder a la consola ESM, use el Herramienta de configuración de bases


de datos (DB) on page 338 para verificar y, opcionalmente, cambiar el modo de
autenticación (consulte Configurar el acceso administrativo a la consola ESM utilizando la
herramienta de configuración de bases de datos (DB) on page 339).

STEP 2 | Seleccione el Authentication Mode (Modo de autenticación):


• Machine (Máquina): autentica usuarios usando una cuenta local.
o
• Domain (Dominio): autentica usuarios usando Active Directory.

STEP 3 | Guarde sus cambios.

Cambiar la contraseña del modo ninja


Para ver y modificar ajustes avanzados en la consola ESM, debe ingresar la contraseña del modo ninja. Para
cambiar la contraseña, utilice la herramienta de configuración DB.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 99


© 2017 Palo Alto Networks, Inc.
STEP 1 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios), haga clic
con el botón secundario del ratón en Command prompt (Símbolo del sistema), y seleccione Run as
administrator (Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún
no pulse Enter (Intro). A continuación, para abrir el símbolo del sistema como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd C:\Program Files\Palo Alto Networks\Endpoint


Security Manager\Server

STEP 3 | (Opcional) Visualizar los ajustes existentes del servidor:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine
InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword =
Password2

STEP 4 | Especifique la nueva contraseña del modo ninja.

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server NinjaModePassword <password>

100 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


© 2017 Palo Alto Networks, Inc.
Exportar e importar archivos de políticas
Puede importar y exportar reglas de cada página de administración de reglas en la consola ESM. Esto le
permite:
• Hacer copias de seguridad de reglas definidas por el usuario antes de realizar una migración o
actualización a una nueva versión de la consola ESM.
• Hacer copias de seguridad de reglas definidas por el usuario antes de implementar una política a
múltiples consolas ESM independientes.
• Importar reglas definidas por el usuario de otra consola ESM que se ejecuta con la misma versión.
• Actualizar su política de seguridad por defecto con las recomendaciones más recientes y prácticas
recomendadas de Palo Alto Networks.
La consola ESM es capaz de importar reglas definidas por el usuario y reglas de seguridad predeterminadas.
Cuando importa un archivo de política que incluye múltiples tipos de reglas, la consola ESM
automáticamente determina el tipo de regla y distribuye las reglas a sus respectivas páginas de
administración de reglas. Cuando exporta una política o un conjunto de reglas, puede exportar solo las
definidas por el usuario del mismo tipo. Esto ocurre porque debe seleccionar las reglas de una única página
de administración de reglas cuando realiza la exportación. Cuando exporta reglas, la consola ESM las guarda
en un archivo XML en la ubicación que usted determine.
Cuando importa reglas definidas por el usuario, la consola ESM adjunta las reglas a la política existente y
asigna un identificar único para cada regla. Cuando instala una actualización de contenido para importar las
reglas de seguridad predeterminadas más recientes, la consola ESM sobrescribe las reglas existentes con
la política actualizada. Cuando está disponible, puede descargar la política de seguridad por defecto más
reciente de la sección de Dynamic Updates (Actualizaciones dinámicas) del Portal de asistencia técnica
• #unique_109
• Actualizaciones de contenido on page 101

Actualizaciones de contenido
Las actualizaciones de contenido le permiten actualizar fácilmente su política de seguridad por defecto y
ajustes. Las actualizaciones de contenido equipan a la consola ESM con las prácticas recomendadas más
actuales y la información sobre amenazas para una protección eficaz contra malware y exploits y pueden
incluir cambios y adiciones a:
• Reglas de compatibilidad para productos y plataformas de terceros
• Objetos de condiciones
• Procesos protegidos
• Ajustes de restricciones
• Firmante de confianza
• Lógica de análisis estático local
Estos archivos son empaquetados en un archivo ZIP y son alojados en el Portal de asistencia técnica
Para administrar las actualizaciones de contenido, use los siguientes flujos de trabajo:
• Instalación de actualizaciones de contenido on page 101
• Revertir a la actualización de contenido anterior on page 102

Instalación de actualizaciones de contenido


Las actualizaciones de contenido se categorizan en el Portal de asistencia técnica según la versión del ESM.
Para actualizar la política por defecto de la consola ESM, debe emplear una actualización de contenido

GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM 101


© 2017 Palo Alto Networks, Inc.
que corresponda con su versión del ESM. Tras instalar una actualización de contenido, el servidor ESM
distribuye con transparencia todos los cambios realizados en la política por defecto en sus endpoints. Esto
ocurre en la siguiente comunicación heartbeat que se establezca con el agente.

STEP 1 | Inicie sesión en la consola ESM y seleccione Settings (Ajustes) > ESMContent Updates
(Actualizaciones de contenido).

STEP 2 | Para abrir el Portal de asistencia técnica, siga uno de estos pasos:
• En la consola ESM, seleccione Support Site (Sitio web de asistencia).
• Abra una ventana nueva del navegador y vaya a la página DYNAMIC UPDATES (Actualizaciones
dinámicas) de Portal de asistencia técnica.

STEP 3 | Busque la actualización de contenido de su versión del ESM (por lo general, será la versión de
la actualización de contenido más reciente) y consulte las notas de la versión que se adjuntan.

STEP 4 | Descargue el paquete de actualización de contenido en una ubicación a la que la consola ESM
pueda acceder.

STEP 5 | En la consola ESM, seleccione Update Content (Actualización de contenido), pulse Browse
(Examinar) para ir al paquete y Apply (Aplicar) para aplicarlo.

Si la versión de la actualización de contenido es anterior a la actual, la consola ESM


mostrará un mensaje de advertencia.

Cuando la consola ESM instale la actualización de contenido, mostrará una serie de datos, como el
número de la versión, la fecha de publicación y la fecha en la que instaló el paquete. En la parte inferior
de todas las páginas de la consola ESM, también puede consultar la versión de la actualización de
contenido que hay instalada. Por ejemplo, si la consola ESM indica la versión v3.4.0.15481, 5-353,
la versión de la actualización de contenido será la 5-353.

Revertir a la actualización de contenido anterior


Para mayor comodidad,, la consola ESM mantiene hasta dos actualizaciones de contenido a la vez: la
actualización actual y la anterior. Desde la página Content Updates (Actualización de contenido), puede
ver la información acerca de las actualizaciones de contenido, volver a una versión anterior actualización
de contenido o instalará una nueva (o anterior) versión de la actualización de contenido. Para volver a una
versión anterior de actualización de contenido, debe descargar el paquete del Portal de asistencia técnica e
instalarlo como si se tratase de una nueva actualización.

STEP 1 | Inicie sesión en la consola ESM y seleccione Settings (Ajustes) > ESM > > Content Updates
(Actualizaciones de contenido).

STEP 2 | Consulte las notas de la versión de la versión de actualización de contenido anterior, si


procede, y a continuación vuelva a versión anterior.
La consola ESM restaura el conjunto anterior de reglas de política por defecto y las distribuye a los
endpoints en la siguiente comunicación heartbeat.

102 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM


Supervisión
La consola ESM proporciona información útil para monitorizar los servidores, endpoints y
política de seguridad de su organización. Puede monitorizar los logs y filtrar la información
para interpretar conductas inusuales en su red. Tras analizar un evento de seguridad, puede
crear una regla personalizada para el endpoint o proceso. Los temas siguientes describen cómo
visualizar y monitorizar informes sobre el estado de seguridad de los endpoints.

> Mantenimiento de los endpoints y Traps on page 105


> Uso del panel de Endpoint Security Manager on page 106
> Monitorización de eventos de seguridad on page 107
> Monitorización de endpoints on page 111
> Monitorizar los servidores ESM on page 116
> Ver el resumen de reglas on page 118
> Monitorizar recuperación de informes forenses on page 119

103
104 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión
© 2017 Palo Alto Networks, Inc.
Mantenimiento de los endpoints y Traps
De forma diaria o semanal, realice las siguientes acciones:
Examine el panel para verificar que el agente de Traps esté activo en todos los endpoints. Consulte Uso
del panel de Endpoint Security Manager.
Revise los Eventos de seguridad informados por Traps. Tras analizar un evento de seguridad, quizás
desee realizar cualquiera de las tareas siguientes:
• Investigue si los indicadores están relacionados con archivos ejecutables maliciosos y a continuación
use Consulta a agente para buscar artefactos en los endpoints.
• Deshabilite temporalmente reglas que interfieren en el trabajo diario. En casos en que un evento de
seguridad no indique un ataque y esté interfiriendo con el trabajo diario, puede deshabilitar una regla
de protección o restricción de exploits en un endpoint específico. Consulte Excluir un endpoint de
una regla de protección contra exploits.
• Aplicar un parche, actualizar o corregir un error del software que indique una conducta errónea o una
vulnerabilidad de seguridad. La aplicación de parches o la actualización de aplicaciones de terceros o
la corrección de errores en las aplicaciones que se desarrollan internamente puede reducir el número
de eventos de seguridad de los que se informa a la consola ESM.
• Activar la protección para una aplicación desprotegida. Consulte Ver, modificar o borrar un proceso.
• Revise los eventos posteriores a la detección y tome acciones adicionales para solucionar el endpoint.
Examine las páginas de Supervisión e investigue informes de bloqueos y eventos de seguridad.
Si configuró la consola ESM para Recopilar información de nuevos procesos, revise los procesos no
protegidos y decida si debe habilitar la protección en cada uno de ellos. Consulte Ver, modificar o borrar
un proceso.
Tras un cambio en la organización o en las versiones disponibles del software Traps, puede:
Añadir una aplicación de reciente instalación en la lista de procesos protegidos. Consulte Añadir un
nuevo proceso protegido.
Instalar Traps en un nuevo endpoint. Consulte Instalar Traps en endpoints de Windows e Instalar Traps
en endpoints de Mac.
Actualizar la versión del agente de Traps en los endpoints. Consulte Desinstalar o actualizar Traps en el
endpoint.
Adjudique licencias adicionales para agentes de Traps. Consulte Inclusión de una licencia de Traps
usando la consola ESM.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 105


© 2017 Palo Alto Networks, Inc.
Uso del panel de Endpoint Security Manager
El panel es la primera página que ve cuando accede a la consola ESM. El panel proporciona un conjunto
de gráficos que muestran información sobre el estado de los agentes de Traps que son gestionados por el
Endpoint Security Manager. De forma predeterminada, la consola ESM muestra la información recopilada en
los últimos 30 días. Para cambiar el periodo de visualización, consulte Gestionar ajustes de la consola ESM
on page 85.

La siguiente tabla describe cada cuadro:

Cuadro del panel DESCRIPTION

ESTADO DE SERVICIO Muestra el estado de las instancias de agentes de Traps instalados en los
endpoints por número y porcentaje. Los posibles estados son:
• Running (En ejecución): el agente se está ejecutando.
• Stopped (Detenido): se ha detenido el servicio del agente.
• Disconnected (Desconectado): el servidor no ha recibido un mensaje
heartbeat del agente durante un tiempo preconfigurado.
• Shutdown (Cierre): se ha cerrado el endpoint.

VERSIÓN Y Muestra la versión de las instancias de agentes de Traps instalados en los


DISTRIBUCIÓN EN endpoints por número y porcentaje.
ORDENADORES

CAPACIDAD DE Muestra la utilización de las licencias de Traps para el servidor y el cliente


LICENCIAS por número de licencias utilizadas y disponibles.

APLICACIONES MÁS Muestra las aplicaciones que tienen la cantidad más alta de prevenciones.
ATACADAS

ORDENADORES MÁS Muestra los endpoints que tienen la distribución más alta de
ATACADOS prevenciones.

USUARIOS MÁS Muestra las prevenciones que tienen la distribución más alta por usuario
ATACADOS final.

106 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
Monitorización de eventos de seguridad
Utilice la página Eventos de seguridad y sus pestañas para administras alertas y detectar nuevas amenazas.
• Uso del panel de eventos de seguridad on page 107
• Ver el historial de eventos de seguridad en un endpoint on page 110
• Excluir un endpoint de una regla de protección contra exploits on page 202

Uso del panel de eventos de seguridad

Utilice el panel Security Events [Eventos de seguridad] (Security Events [Eventos de seguridad] > Summary
[Resumen]) para monitorizar la información de alto nivel acerca de eventos de seguridad que ocurren en los
endpoints de su organización. Desde aquí puede ver el número de eventos que han ocurrido en el último
día, semana o mes. El panel de eventos de seguridad muestra los eventos en los que se han bloqueados
intentos de exploits y eventos que han activado solo notificaciones.
La siguiente tabla describe en detalle las diferentes áreas del panel.

Componente del panel DESCRIPTION

AMENAZAS Muestra todas las amenazas en relación con procesos protegidos y archivos
ejecutables que se han producido en su red. Para mayor comodidad, puede
hacer clic en cualquier tipo de regla a fin de visualizar datos adicionales
sobre los eventos de ese tipo. También puede hacer clic en la cantidad de
eventos que se produjeron para visualizar solo esos eventos. Para obtener
más información, consulte Administración de eventos de seguridad.

LOG DE ERRORES DE Muestra todos los errores y problemas recientes que notifica Traps sobre
SEGURIDAD los endpoints de su organización. Haga clic en cualquier tipo de error o en la
cantidad de errores de seguridad para visualizar una lista filtrada de errores
en la página Monitor (Supervisar) > Security Errors Log (Log de errores de
seguridad). Para obtener más información, consulte Ver detalles de log de
errores de seguridad.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 107


© 2017 Palo Alto Networks, Inc.
Administración de eventos de seguridad
Seleccione Security Events (Eventos de seguridad) > Threats (Amenazas) para visualizar una lista de
las amenazas que han ocurrido en su red. La vista por defecto de la página de amenazas incluye todos
los eventos de prevención y notificación. El menú del lado de la página Threats (Amenazas) también
proporciona enlaces a listas filtradas de amenazas por evento (Preventions (Prevenciones) y Notifications
(Notificaciones)) y también por tipo de regla.

La vista de detalles estándar de la página Threats (Amenazas) presenta una tabla de eventos de seguridad
con campos que se muestran a lo largo de la parte superior. Al seleccionar un evento en la tabla Amenazas
se expande la hilera para mostrar detalles adicionales en relación con el evento de seguridad. Además de ver
detalles relacionados con eventos de amenazas, puede crear y ver notas acerca del evento, recuperar datos
de logs acerca del evento del endpoint o crear una regla de exclusión para permitir la ejecución del proceso
en un endpoint particular.

• Filtrar por eventos concretos


Busque usuarios o endpoints con el campo de búsqueda o utilice los filtros de la parte superior de cada
columna para acotar los resultados.

• Ver información adicional del evento


Seleccione la fila del evento. La fila se expande y muestra más información del evento de seguridad.

Para ampliar la información sobre los campos de la tabla de los eventos de seguridad,
consulte la ayuda en línea.

• Exportar eventos a un archivo con valores separados por comas (CSV)


1. Seleccione las casillas de los eventos que desee exportar.
2. Haga clic en el menú de acción y seleccione Export Selected (Exportar seleccionados). La
consola ESM generará el archivo CSV con los registros que haya seleccionado.

• Eliminar eventos
1. Seleccione las casillas de los eventos que desee exportar.
2. Haga clic en el menú de acción y seleccione Delete Selected (Eliminar seleccionados). La consola
ESM elimina los registros de todas las páginas de eventos de seguridad.

108 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
• (Eventos de WildFire únicamente) Ver el informe de análisis de WildFire de un archivo ejecutable
En la vista ampliada de un evento de seguridad, haga clic en WildFire Report (Informe de WildFire).

• (Eventos de WildFire únicamente) Ir a la entrada de control de hashes del archivo ejecutable.


En la vista ampliada de un evento de seguridad, haga clic en Hash Control (Control de hashes).

• Obtener los datos de protección del endpoint.


En la vista ampliada de un evento de seguridad, haga clic en Retrieve Data (Obtener datos). La consola
ESM utiliza la clave de prevención y activa información para solicitar datos acerca del evento de
prevención del agente. Cuando la información se haya enviado a la carpeta forense, podrá consultar
información de la descarga en la página Monitor (Supervisar) > Data Retrieval (Recuperación de datos).

• Ver notas administrativas del evento


En la vista ampliada de un evento de seguridad, haga clic en View Notes (Ver notas) para ver las notas
que tanto usted como otros administradores han dejado sobre el evento de seguridad. Si no hay notas,
está opción queda oscurecida.

• Crear una nota administrativa acerca del evento


En la vista ampliada de un evento de seguridad, haga clic en Create Note (Crear nota) para registrar
información sobre el evento de seguridad a fin de llevar un seguimiento.

• (Eventos de exploit únicamente) Crear una regla para excluir un endpoint de la protección frente
a exploits
En la vista ampliada de un evento de seguridad, haga clic en Create Rule (Crear regla) para crear una
regla de protección frente a exploits que excluya el endpoint de la regla que evita que el proceso se
ejecute. La regla emplea los datos de un evento de seguridad para propagar una regla con ajustes que
permiten que un proceso se ejecute en un endpoint concreto.

Ver detalles de log de errores de seguridad


Seleccione Monitor (Supervisar) > Security Error Log (Log de errores de seguridad) para mostrar los
eventos relacionados con el comportamiento del agente y la seguridad del endpoint. El evento incluye
cambios en el servicio, como el inicio o parada de un servicio. En raras ocasiones, el log de errores de
seguridad también puede mostrar problemas encontrados durante la protección de un proceso en el que
falla o se bloquea la inyección.

Para obtener detalles sobre los campos en la tabla de log de errores de seguridad, consulte la ayuda en línea.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 109


© 2017 Palo Alto Networks, Inc.
Ver el historial de eventos de seguridad en un endpoint
Cuando un usuario inicia un proceso en el endpoint, Traps inyecta código en el proceso y activa un módulo
de protección, conocido como Módulo de protección contra exploits (Exploit Protection Module, EPM),
en el proceso. Las reglas de las políticas de seguridad de endpoints determinan los EPM que se inyectan
en cada proceso. Durante la inyección, aparece el nombre del proceso en rojo en la consola. Cuando se
ha realizado la inyección con éxito, la consola elabora un log del evento de seguridad en la pestaña Events
(Eventos).
Cada uno de los eventos de la pestaña Events (Eventos) muestra la fecha y la hora del evento, el nombre
del proceso afectado y el EPM que se ha inyectado en el proceso. Normalmente, el modo indica si Traps ha
finalizado o no el proceso o si solo ha informado al usuario acerca del evento.

STEP 1 | Inicie la consola de Traps:


• En la bandeja de Windows, haga clic con el botón derecho en el icono de Traps y seleccione
Console (Consola), o haga doble clic en el icono.
• Ejecute CyveraConsole.exe desde la carpeta de instalación de Traps.
Se inicia la consola de Traps.

STEP 2 | Se muestran los eventos de seguridad:


1. Seleccione Advanced (Avanzado) > Events (Eventos) para visualizar los eventos de seguridad del
endpoint.
2. Utilice las flechas ascendentes y descendentes para desplazarse a través de la lista de eventos.

110 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
Monitorización de endpoints
• Ver detalles de estado de los endpoints on page 111
• Ver notificaciones acerca de cambios en el estado del agente on page 111
• Ver el estado del agente desde la consola Traps on page 112
• Ver el historial de reglas de un endpoint on page 113
• Ver cambios en la política de seguridad desde la consola Traps on page 113
• Ver el historial de estado de servicio de un endpoint on page 114
• Eliminación de un endpoint de la consola ESM on page 114

Ver detalles de estado de los endpoints


Desde la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado) para mostrar
una lista de los endpoints de la organización y el correspondiente estado de seguridad.

La vista de detalles estándar de la página de estado ofrece una tabla de endpoints con campos que se
muestran a lo largo de la parte superior. Al seleccionar un endpoint en la tabla Estado se expande la fila
para mostrar detalles adicionales acerca del endpoint y las acciones que se pueden realizar. También puede
exportar los logs a un archivo CSV haciendo clic en el icono del menú , y seleccionando Export Logs
(Exportar logs).
Para obtener detalles sobre los campos en la tabla Agent (Agente) > Health (Estado), consulte la ayuda en
línea.

Ver notificaciones acerca de cambios en el estado del agente


Utilice la página Monitor (Supervisar) > Agent (Agente) > Logs para visualizar notificaciones acerca de los
cambios en el estado de los agentes, incluido el inicio o la interrupción de los servicios, sistemas y procesos.

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Logs.

STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.

STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.

STEP 4 | (Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro
a la derecha de la
columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 111


© 2017 Palo Alto Networks, Inc.
STEP 5 | (Opcional) Para exportar los logs a un archivo CSV, haga clic en el icono de menú y, a
continuación, seleccione Export Logs (Exportar logs).

Ver el estado del agente desde la consola Traps


La consola muestra los servicios activos e inactivos mostrando un o a la izquierda del tipo de
servicio. Seleccione la pestaña Advanced (Avanzado) para mostrar pestañas adicionales a lo largo de la parte
superior de la consola. Las pestañas le permiten navegar a páginas que muestran detalles adicionales acerca
de eventos de seguridad, procesos protegidos y actualizaciones para la política de seguridad. Normalmente,
un usuario no necesita ejecutar la consola de Traps, pero la información puede ser de utilidad cuando se
investiga un evento relacionado con la seguridad. Se puede decidir ocultar el icono de la bandeja de la
consola que activa la consola, o evitar su activación. Para obtener más información, consulte Ocultar o
restringir el acceso a la consola de Traps.

Elemento del sistema DESCRIPTION

Protección contra la Indica si se activan o no las reglas de prevención de exploits en la política de


explotación seguridad de endpoints.

Protección contra el Indica si se activan o no los módulos de restricción y/o protección contra
malware malware en la política de seguridad de endpoints.

Recopilación de datos Indica si se ha habilitado o no la integración de WildFire.


forenses

Pestaña Status (Estado) Muestra el estado de Conexión y el nivel de protección del endpoint. La
consola Traps abre la pestaña Status (Estado) por defecto.

Pestaña Events Muestra eventos de seguridad que se han producido en el endpoint.


(Eventos)

Pestaña Protection Muestra los procesos que protege el agente de Traps que están en ejecución
(Protección) en el endpoint.

Pestaña Policy (Política) Muestra cambios en la política de seguridad de endpoints incluidas la fecha y
hora de la actualización.

Pestaña Verdict Updates Muestra los cambios en el veredicto para ejecutables que se han abierto en
(Actualizaciones de el endpoint.
veredictos)

112 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
Elemento del sistema DESCRIPTION

Configuración Muestra las opciones de idioma que se pueden usar para cambiar el idioma
de la consola de Traps.

Enlace Check In Now Inicia una actualización inmediata de la política de seguridad.


(Registrar ahora)

Conexión Muestra el estado de la conexión entre Traps y el servidor ESM.

Último registro Muestra la fecha y la hora a las que Traps ha recibido por última vez un
mensaje heartbeat.

Abrir archivo de Abre el archivos de seguimiento más reciente del endpoint.


registro...

Enviar archivo de Crea un archivo comprimido de rastros y lo envía a la carpeta forense.


asistencia

Ver el historial de reglas de un endpoint


La vista de detalles estándar de la página Health (Estado) ofrece una tabla de endpoints con campos que se
muestran a lo largo de la parte superior. La selección de un endpoint de la tabla Health (Estado) expande la
fila para mostrar detalles adicionales acerca del endpoint y le permite ver el historial de reglas de objetos
de su organización. Cada regla de la política de agentes muestra la fecha y hora de aplicación de la regla
por parte de Traps, la fuente de la regla de política (local o remota), el nombre y descripción de la regla, y el
estado actual de esa regla.

STEP 1 | Abra el Endpoint Security Manager y seleccione Monitor (Supervisar) > Agent (Agente) >
Health (Estado).

STEP 2 | Seleccione la fila del endpoint para el que desea visualizar el historial de reglas. La fila se
expande para mostrar detalles y acciones adicionales que se pueden realizar.

STEP 3 | Seleccione Agent Policy (Política de agentes) en la lista desplegable de la derecha. Aparece la
información de estado actual en el sección Política de agentes y logs de la página.

STEP 4 | Haga clic en Details (Detalles) para ver el registro del historial de reglas. El estado indica uno de
los siguientes:
• Active (Activa): la regla está activa en la política de seguridad del endpoint.
• Historic (Histórica): la regla es un versión anterior de una regla que está activa en la política de
seguridad del endpoint.
• Disabled (Deshabilitada): la regla estaba desactivada en la política de seguridad.

Ver cambios en la política de seguridad desde la consola Traps


La pestaña Política de la consola de Traps muestra cambios en la política de seguridad del endpoint. Cada
norma muestra el número de ID único, el nombre de la regla, la fecha y hora en que Traps ha recibido la
política de seguridad actualizada que contiene la regla, y la descripción.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 113


© 2017 Palo Alto Networks, Inc.
Cada tipo de regla tiene una página de administración dedicada que puede usar para ver
y administrar las reglas para la organización. Para crear un archivo de texto que contenga
la política de seguridad activa en un endpoint, ejecute lo siguiente desde una línea de
comando: cyveraconsole.exe export(641980)
CyveraConsole.exe crea un archivo XML en \programdata\cyvera
\logs\ que contiene la política activa. El nombre de archivo usa el formato
ClientPolicy_<date>_<time>.xml para indicar la fecha en la que la política estaba
activa, por ejemplo: CyveraPolicy_20160831_113415.xml

STEP 1 | Haga uno de los siguientes para activar la consola de Traps en el endpoint:
• En la bandeja de Windows, haga clic con el botón derecho en el icono de Traps y seleccione
Console (Consola), o haga doble clic en el icono.
• Ejecute CyveraConsole.exe desde la carpeta de instalación de la consola de Traps.

STEP 2 | Ver los eventos de seguridad:


1. Si es necesario, haga clic en Advanced (Avanzado) para mostrar pestañas adicionales. A continuación,
haga clic en la pestaña Política para mostrar las reglas de protección que se están ejecutando en el
endpoint.
2. Utilice las flechas ascendentes y descendentes para desplazarse a través de la lista de reglas de
protección.

Ver el historial de estado de servicio de un endpoint


Por defecto, la vista de detalles estándar de la página Monitor (Supervisar) > Agent (Agente) > Health
(Estado) ofrece una tabla de endpoints con campos que se muestran a lo largo de la parte superior. La
selección de un endpoint de la tabla Estado expande la fila para mostrar detalles adicionales acerca del
endpoint y le permite ver el historial del estado del agente de Traps en el endpoint. Una lista desplegable
de la sección Política de agentes y estado de servicio le permite visualizar una lista parcial de eventos del
Service Status (Estado de servicio). En esta sección también puede ver el log del historial completo del
estado de servicio. Cada evento del log muestra la fecha y la hora del cambio de servicio, la versión de
Traps que se está ejecutando en el endpoint y la cambio de estado, desconectado, en ejecución, cerrado o
detenido.

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).

STEP 2 | Seleccione la fila del endpoint para el que desea visualizar el historial de reglas. La fila se
expande para mostrar detalles y acciones adicionales que se pueden realizar.

STEP 3 | Seleccione Estado de servicio (Estado de servicio) en la lista desplegable de la derecha.


Aparece la información de estado actual en el sección Política de agentes y logs de la página.

STEP 4 | Haga clic en Details (Detalles) para ver el log del historial completo del estado de servicio.

Eliminación de un endpoint de la consola ESM


En situaciones en las que debe eliminar uno o varios endpoints del Endpoint Security Manager, use la
opción Delete Selected (Eliminar seleccionados) del menú de acción de la parte superior de la página
Health (Estado).

114 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
Puede eliminar un endpoint para:
• Borrar entradas duplicadas.
• Eliminar endpoints que ya no se utilizan.
• Dejar libre una licencia de un agente de Traps inactivo antes de que venza el periodo de revocación
automática.
• Dejar libre la licencia de una sesión VDI que no se cerró correctamente.
Al eliminar un endpoint, el ESM inmediatamente deja libre la licencia y la devuelve a grupo de licencias
disponibles para que la use otro agente de Traps. Tras eliminar el endpoint, el agente de Traps sigue
aplicando la última política conocida y sigue usando la licencia original. Sin embargo, cuando vencen los
periodos de la licencia y de gracia (dos días), Traps deshabilita la protección.
Si en algún momento el agente de Traps envía una comunicación heartbeat y se conecta correctamente
al servidor ESM, este trata al agente como nuevo y le emite una licencia nueva del grupo de licencias
disponibles.
Para eliminar un endpoint de la consola ESM:

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).

STEP 2 | En la tabla de estado del agente, seleccione la casilla de verificación de uno o varios endpoints
que desee eliminar.

Para encontrar rápidamente un endpoint, utilice los controles de filtro de la parte superior
de las columnas.

STEP 3 | Seleccione Delete Selected (Eliminar seleccionados) en el menú de acción de la parte


superior de la tabla Health (Estado). Haga clic en OK (Aceptar) para confirmar que desea
borrar.
La consola ESM cambia el estado del endpoint a Historic (Histórico) y lo oculta en la pantalla
predeterminada de endpoints de la página Health (Estado) (para ver los endpoints eliminados, filtre la
columna Estado por Historic).

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 115


© 2017 Palo Alto Networks, Inc.
Monitorizar los servidores ESM
En la consola ESM, puede monitorizar el estado de los servidores ESM de la organización y visualizar sus
cambios de estado.
• Visualizar el estado de los servidores ESM on page 116
• Ver notificaciones acerca del servidor ESM on page 116

Visualizar el estado de los servidores ESM


Utilice la página Monitor (Supervisar) > ESM > Health (Estado) para visualizar las notificaciones sobre
los cambios en el estado del servidor ESM, incluida la cantidad de agentes que están conectados o
desconectados del servidor.
Por defecto, la vista de detalles estándar de la página Health (Estado) ofrece una tabla de servidores con
campos que se muestran a lo largo de la parte superior. Al seleccionar un servidor en la tabla Health (Estado)
se expande la fila para mostrar detalles adicionales acerca del servidor y de las acciones que se pueden
realizar. También puede exportar los logs a un archivo CSV haciendo clic en el icono del menú ,y
seleccionando Export Logs (Exportar logs).

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > ESM > Health (Estado)

STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.

STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.

STEP 4 |
(Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de
la columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.

STEP 5 | (Opcional) Para exportar los logs a un archivo CSV, haga clic en el icono de menú y, a
continuación, seleccione Export Logs (Exportar logs).

STEP 6 | (Opcional) Para visualizar una lista de agentes que están conectados al servidor ESM, expanda
la fila del servidor y luego haga clic en Agent List (Lista de agentes) junto al campo conectado o
desconectado. Si no hay agentes, esta opción aparece atenuada.

Ver notificaciones acerca del servidor ESM


La página Monitor (Supervisar) > ESM > Logs muestra notificaciones sobre las acciones iniciadas desde
los servidores ESM, incluidos los cambios administrativos, los cambios de licencia, los cambios de
administración de servidor, los cambios de la administración de políticas y los cambios de WildFire. Para
obtener detalles sobre los campos en la tabla ESM > Logs, consulte la ayuda en línea.

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > ESM > Logs.

STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.

116 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.

STEP 4 |
(Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de
la columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.

STEP 5 | (Opcional) Para exportar los logs a un archivo CSV, haga clic en el icono de menú y, a
continuación, seleccione Export Logs (Exportar logs).

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 117


© 2017 Palo Alto Networks, Inc.
Ver el resumen de reglas
Cada resumen de reglas y página de administración muestra reglas activas e inactivas para su organización
y contiene herramientas que se pueden usar para la administración de las reglas. Para ver una página de
resumen de una regla o encontrar reglas específicas:

STEP 1 | En la consola ESM, seleccione la página de administración de reglas para ese tipo de regla, por
ejemplo, Policies (Políticas) > Exploit > Protection Modules (Módulos de protección).

STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.

STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.

STEP 4 | (Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de la
columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.

STEP 5 | (Opcional) Para expandir una entrada de regla, haga clic en la flecha de expansión del lado
derecho de la regla. En la vista expandida puede ver los detalles de las reglas adicionales o
realizar cualquier acción para administrar una regla. Consulte Guardar reglas on page 132.

118 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión


© 2017 Palo Alto Networks, Inc.
Monitorizar recuperación de informes forenses
La página Monitor (Supervisar) > Forensics Retrieval (Recuperación de informes forenses) muestra la
información sobre archivos de datos forense y le permite administrar los archivos de datos desde una
ubicación central. Ejemplos de archivos de datos que se pueden visualizar en la página Forensics Retrieval
(Recuperación de informes forenses) incluyen:
• Archivo de asistencia técnica del ESM
• Logs del agente
• Actualizaciones de WildFire
• Recopilación de volcado de memoria
Puede ordenar las entradas de la tabla en orden ascendente seleccionando el encabezado de la columna.
Seleccione el encabezado de nuevo para ordenar las entradas de la tabla en orden descendente. Para

limitar los resultados, haga clic en el icono de filtro a la derecha de la columna y especifique hasta dos
conjuntos de criterios. También puede exportar los logs a un archivo CSV haciendo clic en el icono del menú
, y seleccionando Export Logs (Exportar logs). Para ampliar la información sobre los campos de la página
Forensics Retrieval (Recuperación de informes forenses), consulte la ayuda en línea.

GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión 119


© 2017 Palo Alto Networks, Inc.
120 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión
Primeros pasos con las reglas
Los temas siguientes describen los componentes básicos y los procesos asociados con cada
regla:

> Conceptos de las reglas de políticas de endpoints


> Componentes y acciones comunes de las reglas
> Comodines y variables en reglas de políticas
> Administración de procesos

121
122 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Conceptos de las reglas de políticas de
endpoints
• Tipos de reglas de políticas
• Aplicación de las políticas
• Política de protección predeterminada

Tipos de reglas de políticas


Una política de seguridad de endpoint completa abarca políticas que apuntan a métodos de protección
específicos. Las reglas que conforman cada una de estas políticas le permiten aplicar la protección, gestionar
los ajustes de Traps y tomar medidas en los endpoints. Puede configurar reglas que apunten a objetos
específicos o que tengan efecto cuando coincidan con condiciones específicas y, en conjunto, estas reglas
ayudan a asegurar los endpoints en la organización.
La tabla siguiente describe los tipos de políticas que puede configurar en la consola ESM:

Política DESCRIPTION

Protección de Las reglas de protección de malware utilizan módulos de protección para


malware bloquear comportamiento común iniciado por archivos ejecutables maliciosos.
Cada regla de la política de prevención de malware especifica el tipo de módulo
de protección utilizado para bloquear las acciones sospechosas. La regla
también puede incluir una lista blanca que especifica las excepciones a la regla.
Para obtener más información, consulte Reglas de protección contra malware.

Protección contra Las reglas de prevención de exploits determinan el método de protección para
exploits los procesos que se ejecutan en los endpoints. Cada regla de la política de
prevención de exploits especifica el tipo de módulos de protección utilizados
para proteger los procesos. Para obtener más información, consulte Reglas de
protección contra exploits.

Restricciones Las reglas de restricción limitan el alcance de un ataque al especificar dónde


y de qué manera los archivos ejecutables que se inician en los endpoints de
Windows pueden ejecutarse. Para obtener más información, consulte Reglas
de restricción.

WildFire Las reglas de WildFire habilitan el análisis de prevención previo y posterior


de archivos ejecutables y macros mediante el envío de archivos desconocidos
a la nube pública o privada de WildFire. Si desea más información,
consulte Configuración de una regla de WildFire.

Datos forenses Las reglas forenses permiten definir preferencias acerca del volcado de
memoria y la recopilación de archivos forenses. Para obtener más información,
consulte Reglas forenses.

Ajustes de agentes Las reglas de ajustes de agentes le permiten cambiar los valores de los ajustes
de agentes de Traps relacionados con el logging, frecuencia de heartbeat y
accesibilidad a la consola. Para obtener más información, consulte Reglas de
ajustes de agentes de Traps.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 123
© 2017 Palo Alto Networks, Inc.
Política DESCRIPTION

Acción Las reglas de acción le permiten realizar actividades administrativas en los


endpoints. Las acciones de administración de una vez incluyen la desinstalación
y actualización de Traps, actualización de licencias, protección del software
Traps y borrado de archivos de datos. Para obtener más información, consulte
Reglas de acción de Traps.

Aplicación de las políticas


Al configurar reglas de políticas de seguridad, el mecanismo de reglas de Traps fusiona todas las reglas
configuradas en una política eficaz que cada endpoint evalúa. Para determinar qué reglas se aplican en cada
endpoint, el agente debe evaluar la política en función de estas consideraciones:
• Tipo de regla: Traps evalúa la protección frente a exploits y malware, y las reglas de restricción cuando
un proceso, archivo ejecutable o macro trata de ejecutarse. Cuando la política de seguridad contiene
varias reglas del mismo módulo y tipo de regla, Traps debe evaluarlas según la especificidad de la regla y
la fecha de modificación.
• Especificidad del proceso: mientras más específica sea una regla, más alta será la prioridad. Por
ejemplo, una regla configurada para un proceso específico tiene prioridad sobre una regla configurada
para todos los procesos, aunque la regla más genérica se haya creado más recientemente.

• Fecha de modificación: cuando las reglas presentan el mismo nivel de especificidad, en el que la
configuración principal es la misma en dos o varias reglas, Traps determina qué regla ha de tener
prioridad para evitar conflictos entre las reglas. Por ejemplo, piense en dos reglas de protección
contra exploits que emplean el mismo módulo para proteger el mismo proceso, pero presentan
configuraciones conflictivas: una regla habilita el módulo y la otra lo deshabilita. En ese caso, la regla
creada o editada más recientemente tiene prioridad sobre una regla más antigua. Una manera sencilla
de identificar cuál es la regla más reciente es fijarse en el número de ID que se asigna a cada regla. La
consola ESM asigna un ID a cada regla de forma secuencial cada vez que añade reglas a una política
de seguridad o las modifica, por lo que a mayor ID, más reciente será la creación de la regla.
• Objetos de destino: un objeto de destino puede ser cualquier usuario, grupo, unidad de una organización
y equipo que aparezca en Active Directory o cualquier endpoint en el que se haya instalado Traps. Para
que una regla se aplique, debe especificar el endpoint como objeto de destino o no especificar ningún
objeto de destino, lo que significa que la regla se aplica a todos los objetos. Además, la regla no debe
especificar el endpoint como objetivo de destino del que excluir la regla.
• Condiciones: una condición es una característica de identificación en el endpoint que puede usar para
aplicar o excluir una regla de un endpoint. Para que una regla se aplique, el endpoint debe cumplir todas
las condiciones especificadas en ella. Por ejemplo, las reglas con condiciones para endpoints de Windows
7 se aplicarán solo a dichos endpoints. De igual modo, la regla no debe especificar una condición que
coincida con el endpoint en una condición de exclusión.

124 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Política de protección predeterminada
El Endpoint Security Manager está preconfigurado con una política de seguridad que contiene un conjunto
organizado de Reglas de protección contra malware y Reglas de protección contra exploits. Esta política de
seguridad predeterminada automáticamente protege los endpoints contra las vulnerabilidades de software,
exploits y técnicas de malware más comunes sin necesidad de una configuración adicional.
La tabla siguiente describe los módulos de protección y la configuración predeterminada proporcionada
en la versión 13 de la actualización de contenido. Al configurar nuevas reglas, puede heredar el
comportamiento por defecto o puede anular los ajustes para satisfacer los requisitos de la política de
seguridad de su organización.

Módulo OS ¿Habilitado por Modo Alerta de


defecto? usuario

Módulos de protección contra malware

Protección de proceso hijo Windows PREVENCIÓN Activada

Mejora del Gatekeeper Mac PREVENCIÓN Activada

Módulos de protección contra exploits

Protección CPL Windows PREVENCIÓN Activada

DEP Windows PREVENCIÓN Activada

Seguridad de DLL Windows PREVENCIÓN Activada

Protección contra secuestro de Windows PREVENCIÓN Activada


DLL

Protección contra Dylib- Mac PREVENCIÓN Activada


Hijacking

Comprobación de excepción de Windows PREVENCIÓN Activada


Heap Spray

Protección para la identificación Windows PREVENCIÓN Activada


de Exploit kits

Protección de fuentes Windows PREVENCIÓN Activada

Protección de parches activos Windows PREVENCIÓN Activada

Mitigación de JIT Windows y PREVENCIÓN Activada


Mac

Protección contra escalado de Windows y PREVENCIÓN Activada


privilegios en el kernel Mac

Asignación previa de biblioteca Windows PREVENCIÓN Activada

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 125
© 2017 Palo Alto Networks, Inc.
Módulo OS ¿Habilitado por Modo Alerta de
defecto? usuario

Comprobación de Heap Spray Windows PREVENCIÓN Activada


de límite de memoria

Protección de desreferencia Windows PREVENCIÓN Activada


nula

Mitigación de ROP Windows y PREVENCIÓN Activada


Mac

Protección SEH Windows PREVENCIÓN Activada

Asignación previa de código Windows PREVENCIÓN Activada


shell

Protección de ShellLink Windows PREVENCIÓN Activada

SysExit Windows PREVENCIÓN Activada

UASLR Windows PREVENCIÓN Activada

126 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Componentes y acciones comunes de las reglas
Cada tipo de regla tiene un conjunto específico de campos obligatorios y opcionales que se pueden
personalizar para cumplir con las necesidades de la política de seguridad de la organización.
La tabla siguiente describe los pasos comunes para la creación de una regla de política de seguridad.

Administración de reglas Tema

Definir los ajustes o acciones específicos para el tipo de Para más detalles sobre los ajustes
regla. específicos necesarios para cada regla,
consulte:
• Gestionar reglas de protección contra
malware
• Creación de una regla de protección
contra exploits
• Integración WildFire
• Administrar restricciones en archivos
ejecutables
• Administrar reglas de acción de Traps
• Administrar las reglas de ajustes de
agentes
• Administrar reglas y ajustes forenses

Añadir condiciones de activación de la regla; es decir, Condiciones


condiciones que el endpoint debe cumplir para que se
aplique una regla.

Definir los objetos de destino (usuarios, equipos, Objetos de destino


unidades de la organización, grupos y endpoints).

Proporcionar un nombre descriptivo para la regla Nombrar o renombrar una regla

Guardar y opcionalmente activar la regla. • Guardar reglas


• Administración de reglas guardadas

Hacer copia de seguridad o restaurar las reglas. Exportar e importar archivos de políticas

Filtrar las reglas que se muestran en la página. Filtrar reglas

Ver las reglas de políticas por defecto. Mostrar u ocultar las reglas de políticas por
defecto

Deshabilitar o habilitar todas las reglas de protección. Deshabilitar o habilitar todas las reglas de
protección

Condiciones
Una condición es una característica de identificación en el endpoint que puede definir para aplicar o excluir
una regla de un endpoint.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 127
© 2017 Palo Alto Networks, Inc.
Para los endpoints de Windows, puede definir una condición para que coincida con un nombre y versión
de archivo o una ruta de registro. También se puede definir una condición para una versión específica de
un archivo ejecutable definido en la ruta del archivo. A continuación puede usar la condición para aplicar o
excluir una regla en un endpoint de Windows.
Para los endpoints de Mac, puede configurar una condición para que coincida con la ruta o ID del lote y, a
continuación, usar la condición para aplicar o excluir una regla en un endpoint de Mac.
• Definir condiciones de activación para una regla en endpoints de Windows
• Definir condiciones de activación para una regla en endpoints de Mac
• Incluir o excluir endpoints usando condiciones
• Borrar o modificar una condición de regla

Definir condiciones de activación para una regla en endpoints de Windows


Para cada condición, usted puede especificar una ruta de archivo ejecutable, una ruta de archivo ejecutable
y la versión del archivo, o una ruta de registro que debe existir en el endpoint.
Use el siguiente flujo de trabajo para crear una nueva condición de activación para una regla en los
endpoints de Windows.

STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones) > Windows. La página Conditions
muestra el número de ID único, el Name (Nombre), la Description (Descripción) y la Path
(Ruta) (si corresponde) para cada condición.

STEP 2 | Click the action menu and then Add (Haga clic en el menú de acción y en Añadir) una
nueva condición.

STEP 3 | Introduzca un Name (Nombre) y una Description (Descripción) para identificar la condición.

STEP 4 | Seleccione el tipo de condición, Path (Ruta) para que coincida con la ruta de un archivo
ejecutable específico, y, de manera opcional, para que coincida con una versión específica o
con una variedad de versiones para un archivo ejecutable específico, o Registry (Registro) para
que coincida con una clave de registro específica:
• Para encontrar un archivo ejecutable específico (o encontrar la versión específica de un archivo
ejecutable), especifique la Path (Ruta) completa de un archivo ejecutable que exista en el endpoint.
Opcionalmente, puede usar variables del sistema en la ruta. Por ejemplo, especifique %windir%
\system32\calc.exe para aplicar la regla si el archivo ejecutable de la calculadora se ejecuta
desde esta ubicación.
• Si usted especificó un archivo ejecutable en el campo Path (Ruta), también puede establecer
una condición de coincidencia para una Version (Versión) de archivo (como se muestra en las
propiedades del archivo) o rango de versiones de ese archivo ejecutable. Si usted especifica un valor
de Version (Versión), Traps solo aplicará la regla si el archivo ejecutable se ejecuta desde la ubicación
especificada en el campo Path (Ruta) y si también coincide con el valor Version (Versión). Por
defecto, la condición coincide con cualquier versión del archivo. Para reducir la cantidad de versiones,
seleccione una de las siguientes opciones de Version Comparison (Comparación de versiones) y
luego introduzca el número de Versión (Versión).

Cuando configura una condición para que coincida con una Version (Versión), Traps
evalúa el valor de la versión almacenado en las propiedades del archivo. Dado que
este número puede ser diferente al número de versión publicado, recomendamos que
compruebe el número de versión en las propiedades del archivo antes de crear su
condición.

128 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
La Version (Versión) debe seguir la convención de nomenclatura de versión
de Windows estándar y no debe tener más de cuatro segmentos (por ejemplo,
4.30.200.100). Para que las versiones de más de cuatro segmentos coincidan, use
Regex.

• Equal (Igual): coincidencia exacta con la versión.


• Greater (Superior a): coincidencia con cualquier versión que sea igual o posterior a la versión
especificada.
• Lesser (Inferior a): coincidencia con cualquier versión que sea igual o anterior a la versión
especificada.
• Between (Entre): coincidencia con cualquier versión que incluya los valores y esté entre dichos
valores. Por ejemplo, para establecer una condición que coincida con las versiones de Internet
Explorer entre e incluyendo versiones 8 y 9, introduzca C:\Program Files\Internet
Explorer\iexplore.exe en el campo Path (Ruta), seleccione Version Comparison
(Comparación de versiones): Between (Entre), e introduzca 8 y 9 en los campos de Version
(Versión).
• Regex: coincidencia con la versión utilizando expresiones periódicas .NET Framework 4.
(Consulte la Referencia rápida de Lenguaje de expresión regular de Microsoft en https://
msdn.microsoft.com/en-us/library/az24scfc(v=vs.100).aspx).
Por ejemplo, para buscar cualquier versión de 3.1.x incluyendo 3.1, utilice la siguiente expresión
regular: 3\.1(\.[0-9]+)?To match only versions 3.1.0-3.1.9 use:3\.1\.[0-9]To match only
version 3.2 and 3.4, use: 3\.[24]
• Especifique una ruta de registro completa para una entrada de registro, comenzando por una
de las siguientes opciones: LocalMachine, ClassesRoot, Users, PerformanceData,
CurrentConfig, o DynData.

No puede especificar rutas de registro CurrentUser debido a que Traps se ejecuta


en el sistema local.

Traps solo aplicará la regla si el endpoint contiene la ruta especificada en su registro. También puede
configurar un valor de registro específico Key (Clave) o Data (Datos) (String y DWord únicamente)
como condición de coincidencia.
Por ejemplo, para aplicar una regla en endpoints que tienen IPv6 habilitado, configure una condición
que coincida con los siguientes ajustes de registro.
• Registry Path (Ruta de registro): LocalMachine\SYSTEM\CurrentControlSet\services
\TCPIP6\Parameters\EnableICSIPv6
• Key (Clave): DisabledComponents
• Data (Datos): 0

STEP 5 | Save (Guardar) la condición.


Puede usar la condición como criterio de coincidencia para incluir o excluir endpoints para que reciban
una regla. Consulte Incluir o excluir endpoints usando condiciones.

Definición de las condiciones de activación para una regla en endpoints de


Mac
Para cada condición, puede especificar bien la ruta del directorio del lote o el ID del lote que debe existir en
el endpoint.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 129
© 2017 Palo Alto Networks, Inc.
Use el siguiente flujo de trabajo para crear una nueva condición de activación para una regla en los
endpoints de Mac.

STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones) > macOS. La página Conditions
muestra el número de ID único, el Name (Nombre), la Description (Descripción) y la Path
(Ruta) o Bundle ID (ID de lote), (si corresponde), para cada condición.

STEP 2 | Click the action menu and then Add (Haga clic en el menú de acción y en Añadir) una
nueva condición.

STEP 3 | Seleccione el tipo de condición de la lista desplegable, bien Path (Ruta) o Bundle ID (ID de
lote).

STEP 4 | Introduzca un Name (Nombre) y una Description (Descripción) para identificar la condición.

STEP 5 | Configure los ajustes para el tipo de condición.


• Path (Ruta): especifica la ruta del directorio el lote.

Las rutas de directorio de lote no admiten comodines.

• Bundle ID (ID de lote): especifica el ID numérico de lote. Para especificar el ID de lote como una
condición de inclusión o exclusión, introduzca el número de ID único. Opcionalmente puede
especificar las condiciones de coincidencia para la versión del lote.

STEP 6 | Save (Guardar) la condición.


Puede usar la condición como criterio de coincidencia para incluir o excluir endpoints para que reciban
una regla. Consulte Incluir o excluir endpoints usando condiciones.

Incluir o excluir endpoints usando condiciones


Al configurar condiciones, puede activar reglas solo para los endpoints que coinciden con la condición.
Por ejemplo, considere una condición que coincida con sistemas cliente de Windows XP. Cuando añada
esa condición a una lista de inclusión, la regla se aplicará únicamente si el sistema cliente está ejecutando
Windows XP. Asimismo, si añade esa misma condición a una lista de exclusión, la regla se aplicará a todos
los sistemas cliente, excepto a aquellos que estén ejecutando Windows XP. Una vez que añada una
condición a una lista (para incluir o excluir), no podrá usarla en la otra lista.
Utilice el siguiente flujo de trabajo para incluir o excluir un endpoint de una regla usando condiciones.

STEP 1 | En la página de configuración de regla, seleccione la pestaña Conditions (Condiciones).

STEP 2 | Seleccione una condición y seleccione Add (Añadir) para añadirla a la lista de inclusión o
exclusión. Para seleccionar varias condiciones, pulse y sostenga la tecla Ctrl mientras está
seleccionando.

STEP 3 | Configure los ajustes de regla y luego seleccione Save (Guardar) para guardar o Apply (Aplicar)
para aplicar la regla (consulte Guardar reglas on page 132).

130 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Borrar o modificar una condición de regla
Las condiciones de activación de reglas son condiciones que el endpoint debe cumplir para la aplicación de
una regla en ese endpoint. Tras crear una condición, puede borrarla o modificarla en la página Conditions
(Condiciones).

STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones). La página Condiciones muestra el
número de ID único, Name (Nombre), y Description (Descripción) para cada condición.

STEP 2 | Seleccione la condición que desea modificar o borrar.

STEP 3 | Proceda con una de las siguientes opciones:


• Haga clic en Delete (Borrar) para desechar la condición.
• Modifique los ajustes de la condición y dele a Save (Guardar) los cambios.

Objetos de destino
Los objetos de destino definen el alcance de una regla y los endpoints a los cuales se aplican una regla. Un
objeto puede ser una de las siguientes opciones:

Objeto de destino DESCRIPTION

Usuarios Un usuario definido en Active Directory.

Grupos Un grupo de usuarios definido en Active Directory

Ordenadores El nombre de un ordenador o un dispositivo móvil definido en Active


Directory.

Unidad organizativa Una subdivisión en Active Directory en la que se pueden colocar usuarios,
grupos, equipos y otras unidades de la organización.

Endpoints existentes Un ordenador o dispositivo móvil en el que se instala el agente de


Traps. El Endpoint Security Manager identifica los endpoints existentes
mediante los mensajes de comunicación que recibe de los agentes de
Traps.

Para los objetos definidos en Active Directory, la consola ESM proporciona la función autocompletar a
medida que introduce la información.

Los nombres de ordenadores pueden presentarse como opciones de autocompletar incluso


si actualmente no están ejecutando Traps.

Puede aplicar reglas a todos los objetos, a objetos seleccionados o a todos los objetos excepto aquellos de
la lista de excluidos.
Las reglas que usted define para usuarios y grupos se aplicarán a aquellos usuarios y grupos,
independientemente del endpoint en el que inicien sesión.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 131
© 2017 Palo Alto Networks, Inc.
Nombrar o renombrar una regla
La consola ESM genera automáticamente el nombre de la regla y la descripción de acuerdo con los detalles
de la regla y la hora de creación. Para cancelar el nombre generado automáticamente, seleccione la pestaña
Name (Nombre), borre la opción Activate automatic description (Activar descripción automática) y, a
continuación, introduzca su propio nombre de regla y descripción.

La regla que se modificó o editó más recientemente tiene prioridad sobre las reglas más
antiguas del mismo tipo. Como resultado, el cambio de nombre de una regla cambia la fecha
de modificación de la regla y puede hacer que la regla editada cancele las reglas anteriores.

La descripción de regla es un buen lugar para registrar los motivos comerciales para la
creación de una regla. Por ejemplo, puede incluir un número de identificación de incidente o
un enlace a un ticket del servicio de asistencia.

Guardar reglas
Para guardar una regla, debe rellenar todos los campos necesarios para ese tipo de regla. Las pestañas con
campos obligatorios se indican con un fondo de pestaña rojo.

Rellene los campos obligatorios antes de intentar guardar o modificar una regla.
Tras especificar los campos necesarios para una regla, puede seleccionar una de las acciones siguientes:

Acción DESCRIPTION

Guardar Seleccione Save (Guardar) para guardar la regla sin activarla. El estado de la
regla se muestra como Inactiva y puede activarse más adelante. Esta opción
está disponible únicamente para reglas por defecto inactivas, clonadas o
nuevas.

Aplicar Guarde la regla y actívela inmediatamente. El servidor ESM envía la regla


actualizada en la siguiente comunicación heartbeat con el agente de Traps. Sin
embargo, puede activar una actualización de política al hacer clic en Check-in
now (Registrar ahora) en la consola de Traps en un endpoint.

Administración de reglas guardadas


Tras guardar la regla, aparecen el nombre y la descripción en los logs del sistema y tablas correspondientes.
Seleccione la regla para ver los detalles y realizar cualquiera de las acciones siguientes:

Acción DESCRIPTION

Duplicar (Solo reglas de acción) Crea una nueva regla a partir de una regla existente.

Borrar Descarta la regla; la regla se elimina del sistema.

132 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Acción DESCRIPTION
Para borrar varias reglas al mismo tiempo, seleccione las reglas y luego
seleccione Delete Selected (non-Default) [Eliminar seleccionadas (no
predeterminadas)] en el menú de acción en la parte superior de la tabla.

Activar/Desactivar Si la regla se ha guardado previamente, pero no se ha aplicado, puede


Activate (Activar) la regla para añadirla a la política de seguridad actual. Si la
regla está activa, puede Deactivate (Desactivar) la regla para eliminarla de la
política de seguridad actual, pero sin borrarla del sistema.
Para activar o desactivar varias reglas al mismo tiempo, seleccione las reglas
y luego seleccione Activate Selected (Habilitar seleccionados) o Deactivate
Selected (Deshabilitar seleccionados)en el menú de acción en la parte
superior de la tabla. Para deshabilitar o habilitar todas las reglas de exploits,
malware o forenses, consulte Deshabilitar o habilitar todas las reglas de
protección.

Editar Edita la definición de la regla. La selección de esta opción abre el cuadro de


diálogo de configuración de reglas y le permite cambiar la definición de la
regla. Para más información, consulte Creación de una regla de protección
contra exploits.

Import Rules (Importar En el menú de acción de la parte superior de la tabla, puede importar
reglas)/Export reglas o exportar reglas seleccionadas. La exportación de reglas guarda las
Selected (Exportar reglas seleccionadas en un archivo XML. Para obtener más información,
seleccionadas) consulte Exportar e importar archivos de políticas.

Show Default Rules En el menú de acción de la parte superior de la tabla, puede expandir las
(Mostrar reglas por reglas por defecto u ocultar las reglas por defecto. Seleccione la regla para
defecto)/Hide Default ver la información adicional acerca de la regla. Para más información, consulte
Rules (Ocultar reglas Mostrar u ocultar las reglas de políticas por defecto.
por defecto)

Duplicar Cuando muestra reglas por defecto y a continuación selecciona una regla, la
consola ESM muestra detalles adicionales acerca de los ajustes de la regla y
una opción para Clone (Duplicar) la regla. La clonación le permite crear una
nueva regla que sobrescribe los ajustes de política por defecto. Para más
información, consulte Mostrar u ocultar las reglas de políticas por defecto.

Filtrar reglas
Cada resumen de regla y página de administración de la consola ESM muestra detalles acerca de las reglas
que definen la política de seguridad de su organización. Para reducir la cantidad de reglas que muestra la
consola ESM, puede filtrar las reglas usando el control de filtro en la parte superior de cada columna. Use
el control de filtro para definir uno o ambos valores para filtrar en el estado de la regla, nombre de la regla,
descripción de la regla o fecha de modificación.
Los operadores que están disponibles para cada columna dependen del tipo de columna. Por ejemplo, puede
filtrar las columnas que muestran texto usando cualquiera de los siguientes operadores para buscar un valor
de cadena: Is equal to (Es igual que), Is not equal to (No es igual que), Starts with (Empieza con), Contains
(Contiene), Does not contain (No contiene) o Ends with (Termina con). Para las columnas que muestran
una fecha, puede filtrar una fecha específica o un intervalo de fechas usando cualquiera de los siguientes
operadores: Is equal to (Es igual que), Is not equal to (No es igual que), Is after or equal to (Es posterior o
igual que), Is after (Es posterior a), Is before or equal to (Es anterior o igual que) o Is (Es)Before (Anterior a).

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 133
© 2017 Palo Alto Networks, Inc.
La consola ESM identifica las columnas que contienen filtros activos con un icono de filtro aplicado y un
fondo azul. Para quitar el filtro, haga clic en el icono y luego seleccione Clear (Borrar).
La siguiente tabla muestra las columnas, los operadores y los valores que puede usar para filtrar las reglas.

Columna Operadores Valor

Estado de la regla • Es igual que • Pending: no usada.


• No es igual que • Active: reglas aplicadas.
• Comienza con • Inactive: reglas desactivadas.
• Contiene • Historic: reglas eliminadas.
• No contiene • Migrated: no usada
• Termina con

Nombre • Es igual que <cadena>


• No es igual que
• Comienza con
• Contiene
• No contiene
• Termina con

DESCRIPTION • Es igual que <cadena>


• No es igual que
• Comienza con
• Contiene
• No contiene
• Termina con

Fecha modificada • Es igual que <dd/mm/aaaa>


• No es igual que
• Es posterior o igual
que
• Es posterior a
• Es anterior o igual
que
• Es anterior a

Deshabilitar o habilitar todas las reglas de protección


Si la política de seguridad de protección de endpoint está causando problemas para los endpoints de su
organización, puede deshabilitar rápidamente todas las reglas de políticas activas, incluidas las reglas de
políticas por defecto. El deshabilitar la protección de manera efectiva elimina todas las restricciones y
detiene las siguientes tareas:
• Infiltración de Traps en todos los procesos que se ejecuten en el futuro
• Validación contra WildFire
• Recopilación adicional de datos
Los cambios en las reglas de política de seguridad mientras toda la protección está deshabilitada no se
aplicarán hasta que se habilite nuevamente la protección.

134 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Tras deshabilitar la protección y resolver los problemas, puede volver a activar todas las reglas de políticas al
mismo tiempo habilitando toda la protección. (La habilitación de la protección no activa las reglas que se han
desactivado anteriormente).
En situaciones en las que se necesita deshabilitar solo una regla o un pequeño grupo de reglas, las puede
seleccionar individualmente y desactivarlas desde la página de administración de reglas específica para ese
tipo de regla.

STEP 1 | En la consola ESM, seleccione cualquier página de administración de reglas, por ejemplo
Policies (Políticas) > Malware > Restrictions (Restricciones).

STEP 2 | Seleccione el menú de acción .

STEP 3 | Proceda con una de las siguientes opciones:


• Para deshabilitar la protección, seleccione Disable All Protection (Deshabilitar toda la protección).
El ESM deshabilita todas las reglas y envía la política de seguridad actualizada a los endpoints en la
siguiente comunicación heartbeat con los agentes de Traps.
• Para habilitar la protección, seleccione Enable All Protection (Habilitar toda la protección). El
ESM vuelve a habilitar todas las reglas y envía la política de seguridad de protección de endpoint
actualizada a los endpoints en la siguiente comunicación heartbeat con los agentes de Traps.

Mostrar u ocultar las reglas de políticas por defecto


La política de seguridad de Endpoint Security Manager viene preconfigurada con reglas que protegen contra
ataques que aprovechan las vulnerabilidades comunes de software, exploits y vectores de ataque.
Al configurar nuevas reglas, puede heredar el comportamiento por defecto o puede anular los ajustes según
fuera necesario para personalizar la política de seguridad de su organización.
Para reducir la cantidad de reglas que ve en su política de seguridad, las reglas por defecto se contraen en
una única política por defecto.

• Mostrar las reglas predeterminadas


Para expandir y ver las reglas de políticas, seleccione Show Default Rules (Mostrar reglas por defecto)en
el menú de acción de la parte superior de la tabla.

• Ocultar las reglas predeterminadas


Para contraer las reglas de políticas, seleccione Hide Default Rules (Ocultar las reglas predeterminadas)
en el menú de acción en la parte superior de la página.

• Modificar una regla por defecto


Para anular una regla por defecto, puede clonar la regla y editar los ajustes. En el caso de reglas similares,
la regla más reciente tiene prioridad sobre la regla más antigua.
1. Seleccione Show Default Rules (Mostrar reglas por defecto) en el menú de acción de la parte
superior de la página.
2. Seleccione la regla deseada para ver detalles adicionales.
3. Clone (Duplicar) la regla y edite los ajustes según proceda.
4. Save (Guardar) o Apply (Aplicar) la regla una vez finalizada.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 135
© 2017 Palo Alto Networks, Inc.
Comodines y variables en reglas de políticas
Para facilitar la configuración, puede utilizar comodines o variables para representar el nombre completo o
parcial, ruta de la carpeta o nombre del proceso en las reglas de políticas.
Las reglas de políticas compatibles con comodines y variables son:
• Reglas de restricción de la ejecución
• Configuraciones de restricciones globales
• Reglas de procesos hijo
La consola ESM admite muchas reglas de políticas donde podría especificar el nombre de una ruta o proceso
de archivo o carpeta. Por ejemplo, cuando configura restricciones de carpetas locales o de red, puede añadir
uno o más archivos y carpetas usando comodines o variables de entorno a una lista blanca o lista negra.
• Comodines en reglas de políticas
• Variables de entorno en reglas de políticas
• Ejemplo: Uso de comodines y variables en reglas de políticas

Comodines en reglas de políticas


La siguiente tabla muestra los comodines que puede usar en reglas de políticas para que coincidan con
un nombre de archivo (independientemente de la ubicación), un archivo ubicado en una carpeta o ruta de
carpeta específica, o cualquier archivo en una carpeta o ruta de carpeta específica.

Valor Propósito

? Busca un carácter único. Por ejemplo, Wor?.exe coincide con Word.exe y


Worm.exe.

* Busca cualquier cadena de caracteres. Por ejemplo, Word*.exe coincide


con Word11.exe y Word2013.exe.

Variables de entorno en reglas de políticas


Además de los comodines, las reglas de políticas también admiten variables de entorno nativas, incluidas
las variables de usuario y de sistema. Las reglas de restricción también admiten el uso de múltiples variables
de entorno, siempre que la variable de entorno no se amplíe a otra variable de entorno. Usted puede
usar numerosas variables de entorno que son admitidas por el SO de Windows, pero algunas variables de
entorno, incluido este conjunto específico de variables, no son compatibles:
• %USERNAME% Variable de entorno
• Variables de entorno que son privadas.
• Variables de entorno recursivas que incluyen otras variables de entorno en la definición (por ejemplo,
%MySystemDrive% con una definición de %SystemDrive%%SystemDrive%).
Los siguientes temas describen las variables de entorno en Windows y ejemplos de los valores de destino.
• Compatibilidad de variable de entorno para Windows Vista y ediciones posteriores
• Compatibilidad de variable de entorno para Windows XP

136 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Compatibilidad de variable de entorno para Windows Vista y
ediciones posteriores
La siguiente tabla muestra variables de entorno y valores de destino admitidos en los endpoints que
ejecutan Windows Vista y ediciones posteriores.

Las variables de entorno %CommonProgramFiles(x86)% y %ProgramFiles% se


expanden al valor nativo del equipo. En los equipos de 64 bits, la variable de entorno se
expande al valor de 64 bits incluso cuando opera en lugar de un proceso de 32 bits. En los
equipos de 32 bits, las variables de entorno se expanden a la ruta de archivo proporcionada
por la aplicación.

Variable de entorno Ejemplo de valor

%ALLUSERSPROFILE% C:\ProgramData

%CommonProgramFiles% C:\Program Files\Common Files

%CommonProgramFiles(x86)%(64 bits únicamente) C:\Program Files (x86)\Common Files

%CommonProgramW6432% (64 bits únicamente) C:\Program Files\Common Files

%ProgramFiles% C:\Program Files

%ProgramFiles(x86)% (64 bits únicamente) C:\Program Files (x86)

%ProgramW6432% (64 bits únicamente) C:\Program Files (x86)

%ProgramData% C:\ProgramData

%SystemDrive% C:

%SystemRoot% C:\Windows

%TEMP% and %TMP% C:\Users\<username>\AppData\Local\Temp

%USERPROFILE% C:\Users\<username>

%windir% C:\Windows

%COMPUTERNAME% <computername>

%ComSpec% %SystemRoot%\system32\cmd.exe

%FP_NO_HOST_NAME% NO

%NUMBER_OF_PROCESSORS% 1

%OS% Windows_NT

%PATH% %SystemRoot%\system32;%SystemRoot%...

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 137
© 2017 Palo Alto Networks, Inc.
Variable de entorno Ejemplo de valor

%PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

%PROCESSSOR_ARCHITECTURE AMD64
%

%PROCESSOR_IDENTIFIER% Intel64 Family 6 Model 69 Stepping 1, GenuineIntel

%PROCESSOR_LEVEL% 6

%PROCESSOR_REVISION% 4501

Compatibilidad de variable de entorno para Windows XP


La siguiente tabla muestra ejemplos de variables de entorno y valores de destino admitidos en los endpoints
que ejecutan Windows XP.

Variable de entorno Ejemplo de valor

%ALLUSERSPROFILE% C:\Documents and Settings\All Users

%CommonProgramFiles% C:\Program Files\Common Files

%ProgramFiles% C:\Program Files

%SystemDrive% C:

%SystemRoot% C:\Windows

%TEMP% and %TMP% C:\Documents and Settings\<username>\Local Settings\Temp

%USERPROFILE% C:\Documents and Settings\<username>

%windir% C:\Windows

%COMPUTERNAME% <computername>

%ComSpec% %SystemRoot%\system32\cmd.exe

%FP_NO_HOST_NAME% NO

%NUMBER_OF_PROCESSORS% 1

%OS% Windows_NT

%PATH% %SystemRoot%\system32;%SystemRoot%

%PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

138 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Variable de entorno Ejemplo de valor

%PROCESSSOR_ARCHITECTURE x86
%

%PROCESSOR_IDENTIFIER% x86 Family 6 Model 58 Stepping 9, GenuineIntel

%PROCESSOR_LEVEL% 6

%PROCESSOR_REVISION% 3a09

Ejemplo: Uso de comodines y variables en reglas de políticas


La siguiente tabla muestra ejemplos del uso de comodines y variables para especificar un nombre de archivo
(independientemente de la ubicación), un archivo ubicado en una carpeta o ruta de carpeta específica, o
cualquier archivo en una carpeta o ruta de carpeta específica.

Ejemplo Resultado

C:\temp\a.exe Solo encuentra el archivo a.exe y solo si se abre en la carpeta C:\temp.

%TEMP%\a.exe Solo encuentra el archivo a.exe y solo si se abre en la carpeta C:\Users


\<username>\AppData\Local\Temp en Windows Vista o versiones
posteriores, o C:\Documents and Settings\<username>\Local
Settings\Temp en Windows XP.

C:\temp* Encuentra todos los archivos que se han abierto en la carpeta C:\temp, o
en cualquier carpeta o subcarpeta de rutas de archivos que empiecen por
C:\temp (por ejemplo, C:\temp\folder\a.exe, C:\temp1\a.scr y
C:\temporary\folder\b.exe).

C:\temp\* Encuentra todos los archivos que se han abierto en la carpeta o subcarpeta
C:\temp\ (por ejemplo: C:\temp\a.scr and C:\temp\temp2\b.exe)

C:\temp\a?.exe Encuentra todos los archivos que empiecen por "a" y un segundo carácter
que se han abierto en la carpeta C:\temp\ (por ejemplo: C:\temp
\a1.exe and C:\temp\az.exe)

C:\temp*.exe Encuentra todos los archivos ejecutables con una extensión de archivo .exe,
un nombre de archivo que comience por temp y que se abren en la unidad
C:\ (por ejemplo, C:\temp1.exe y C:\temporary.exe); y los archivos
ejecutables con una extensión de archivo .exe que se abren en cualquier
carpeta o subcarpeta de rutas de archivo que comiencen por C:\temp (por
ejemplo, C:\temp\folder\a.exe, C:\temp1\b.exe y C:\temporary
\folder\c.exe)

C:\temp\*.exe Encuentra todos los archivos ejecutables con una extensión de archivo .exe
que se abren en C:\temp\ (o una carpeta equivalente a %SystemDrive
%SystemDrive%\temp
%\temp\), o en cualquier carpeta o subcarpeta de rutas de archivo que
\*.exe
comiencen por C:\temp\

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 139
© 2017 Palo Alto Networks, Inc.
Ejemplo Resultado

*\a.exe Encuentra solo los archivos a.exe, independientemente de la ubicación en


la que se abran.

%SystemDrive%\ Cuando %MyVar% equivale a un nombre de archivo (por ejemplo,


%MyVar% myfile.exe), encuentra ese nombre de archivo cuando se abre en la
carpeta %SystemDrive% (C:\, por lo general).

a.exe (Java restriction rules only) encuentra solo el archivo a.exe


independientemente de la ubicación en la que se abra.

Las reglas de restricción de Java exigen que usted incluya


el .exe al final del nombre de archivo.

C:\temp No encuentra ningún archivo ejecutable ya que la ruta no está completa (las
rutas parciales deben contener al menos un comodín para que sean útiles).
C:\temp\

140 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Administración de procesos
• Tipos de protección de procesos
• Procesos protegidos por la política por defecto
• Añadir un nuevo proceso protegido
• Importación o exportación de un proceso
• Ver, modificar o borrar un proceso
• Ver procesos actualmente protegidos por Traps

Tipos de protección de procesos


La consola ESM categoriza cada proceso por tu Tipo de protección:
• Protected (Protegido): indica que el proceso está activamente protegido por reglas de protección contra
exploits que se aplican a todos los procesos. También puede configurar reglas específicas de proceso que
solo se aplican para seleccionar procesos.
• Provisional (Provisional): indica que el proceso está sometido a una ejecución de prueba como proceso
protegido, generalmente en un número reducido de endpoints y con un pequeño número de reglas. Una
vez finalizada la ejecución y tras realizar los ajustes necesarios a las reglas asociadas, puede cambiar el
tipo de protección del proceso a Protected (Protegido).
• Unprotected (No protegido): un proceso se clasifica como Unprotected (No protegido) cuando
Traps inicialmente descubre un nuevo proceso en un endpoint en su organización. A pesar de que su
protección contra malware y las políticas de WildFire automáticamente protegen estos procesos, debe
categorizar nuevos procesos como proceso Protected (protegido) o Provisional (Provisional)para aplicar
la política de protección contra exploits.

Procesos protegidos por la política por defecto


El Endpoint Security Manager y Traps vienen preconfigurados para proteger las aplicaciones y los procesos
más comunes en los endpoints de Windows y Mac. Estos procesos varían según la versión de actualización
del contenido asociado. Para determinar que procesos admite una versión determinada, busque la versión
de actualización de contenido asociada a la versión (consulte las Versiones de software asociado) y, a
continuación, repase las notas de la versión para la actualización de contenido en el Portal de asistencia
técnica.

El tipo de proceso, como se muestra en la página Process Management (Administración


de procesos), no indica si un proceso se usa en la política de seguridad por defecto.
Al contrario, el tipo de proceso solo indica si el proceso se puede utilizar en una regla
de protección frente a exploits. Para más información, consulte Tipos de protección de
procesos.

Añadir un nuevo proceso protegido


Un proceso es una instancia activa de un programa ejecutado por el sistema operativo. Desde el
Administrador de tareas de Windows en endpoints Windows o desde el Monitor de Actividad de Mac
en endpoints Mac, puede ver todos los procesos activos que están actualmente corriendo incluyendo los
nombres de los procesos de sistema. Muchos procesos del sistema básico están protegidos por el sistema
operativo y los nombres no pueden cambiarse. Cambiar el nombre de estos procesos del sistema (por
ejemplo, cambiar el nombre del proceso calc.exe o calc1.exe) puede hacer que el proceso deje de funcionar.
Debido a que Traps identifica los procesos por el nombre, cambiar el nombre de un proceso también puede
impedir que Traps aplique reglas de protección al nuevo nombre del proceso.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 141
© 2017 Palo Alto Networks, Inc.
La consola ESM está preconfigurada con una Política de protección predeterminada que protege los
procesos más vulnerables y los más utilizados en los endpoints de Windows y Mac. Puede proteger otros
procesos de propiedad exclusiva y de terceros poco frecuentes al añadir sus nombres a la lista de procesos
protegidos. Cada regla de la política de protección contra exploits protege uno o más procesos de un tipo
específico de exploit o vulnerabilidad usando módulos de protección contra exploits (exploit protection
modules, EPM). Según la configuración, Traps puede activar los EPM en todos los procesos o en nombres
de proceso específicos. El añadir un nuevo proceso a la lista de procesos protegidos le permite proteger
automáticamente el proceso, sin ninguna configuración adicional, usando reglas de protección contra exploit
que se aplican a todos los procesos.

Para garantizar que la protección de procesos continúe, recomendamos que no cambie los
nombres de los procesos utilizados con frecuencia en el sistema. Si se necesita cambiar
el nombre de un proceso, asegúrese de añadir el proceso con nombre modificado como
proceso protegido y reproducir las reglas de protección del nombre de proceso anterior. Si
fuera necesario, también puede configurar reglas de protección contra exploits adicionales
para proteger el proceso.

Ampliando la protección a las aplicaciones que son importantes para su organización, puede facilitar la
máxima protección con la mínima alteración de las actividades diarias. Añada procesos como protegidos,
provisionales o desprotegidos y configúrelos utilizando la página Process Management (Administración de
procesos).

Solo se pueden configurar reglas de protección contra exploits en procesos Protected


(Protegidos) o Provisional (Provisionales).

No puede cambiar los procesos Protected (Protegidos) por defecto incluidos en la


configuración inicial. Consulte sus dudas al equipo de soporte de Palo Alto Networks.

STEP 1 | Vaya a la página de Process Management.


En la consola ESM, seleccione Policies (Políticas) > Exploit > Process Management (Administración de
procesos).

STEP 2 | Seleccione el sistema operativo, Windows o macOS.

STEP 3 | Añada un nuevo proceso.


1. En el menú de acción , seleccione Add (Añadir).
2. Introduzca el Process name (Nombre del proceso).
3. Para proteger el proceso de forma activa con reglas predeterminadas y definidas por el usuario,
establezca el Protection type (Tipo de protección) en Protected (Protegido). Para opciones
adicionales, consulte Tipos de protección de procesos.

142 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
STEP 4 | Guarde los cambios en el proceso.
Haga clic en Create (Crear).

STEP 5 | Para cada nuevo proceso protegido, configure una regla de protección contra exploits
para activar el EPM de mitigación de ROP en el proceso y otra regla de protección
contra exploits para activar el EPM de mitigación de JIT en el proceso. Estas reglas de
protección contra exploits proporcionan la mejor protección con la tasa más baja de
falsos positivos.

1. Para cada EPM, debe Crear una regla de protección contra exploits con la siguiente configuración:
EPM:
• Activation (Activación): activado
• Action (Acción): notificación
• User Alert (Alerta de usuario): desactivado
Procesos:
Seleccione el nuevo proceso protegido.
Objetos:
Para identificar cualquier consecuencia no intencionada que resulta del nuevo proceso de protección,
seleccione un pequeño número de endpoints. Si tiene diferentes entornos dentro de la misma
organización (por ejemplo, sistemas operativos diferentes), recomendamos que seleccione unos
cuantos endpoints de cada entorno.
2. Apply (Aplicar) la regla y a continuación repita el proceso para el segundo EPM.
3. Después de un periodo en el que las nuevas reglas no generan problemas, actualice y aplique los
ajustes de reglas.
EPM:
• Action (Acción): prevención
• User Alert (Alertas de usuario): activado
Objetos:
Expanda la implementación de la regla. Añada objetos adicionales o elimine todos los objetos En el
caso del último, si no se especifican objetos, la regla se aplica a todos los endpoints.

Importación o exportación de un proceso


Utilice las funciones de exportación e importación de la consola ESM para crear una copia de seguridad de
una o más definiciones de proceso utilizadas en su política de seguridad. Las funciones de importación y
exportación le permiten crear copias de seguridad de los procesos antes de la migración o actualización a un
nuevo servidor, o antes de implementar un proceso administrado en múltiples servidores independientes.
Puede exportar procesos de forma global o individual y guardarlos en un archivo XML. La función de
importación agrega los procesos importados a la lista existente de procesos por defecto y añadidos, y
también muestra sus tipos de protección.

STEP 1 | Vaya a la página de Process Management.


En la consola ESM, seleccione Policies (Políticas) > Exploit > Process Management (Administración de
procesos).

STEP 2 | Seleccione el tipo de sistema operativo para el que desea gestionar procesos, ya sea Windows
o macOS.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 143
© 2017 Palo Alto Networks, Inc.
STEP 3 | Importe o exporte uno o más procesos.
• Para importar procesos, haga clic en el menú de acción y, a continuación, seleccione Import
Processes (Importar procesos). Seleccione Browse (Examinar) y luego Upload (Cargar) para cargar el
archivo que contiene los detalles sobre los procesos que desea importar. Los procesos aparecen en la
tabla tras finalizar la carga.
• Para exportar procesos, seleccione uno o más procesos que desee exportar. En el menú de acción
, seleccione Export Selected (Exportar seleccionados). La consola ESM guarda los procesos en un
archivo XML.

Ver, modificar o borrar un proceso


La página de Administración de procesos de la consola ESM muestra todos los procesos que protege la
política de seguridad de su organización. Para cambiar o borrar un proceso, en primer lugar deberá eliminar
el proceso y cualquier regla asociada.

STEP 1 | Vaya a la página de Process Management.


En la consola ESM, seleccione Policies (Políticas) > Exploit > Process Management (Administración de
procesos).

STEP 2 | Seleccione el tipo de sistema operativo para el que desea gestionar procesos, ya sea Windows
o macOS.

STEP 3 | Visualice los procesos en la tabla de Administración de procesos.


Use los controles de la parte superior de la tabla para ver sus diferentes partes.
Se muestran los campos siguientes:
• Process (Proceso): nombre del archivo ejecutable del proceso.
• Protection Type (Tipo de protección): protegido, desprotegido o provisional.
• Computers (Equipos): número de endpoints en los que se ejecuta el proceso.
• Linked Rules (Reglas enlazadas): número de reglas configuradas para el proceso.
• Discovered On (Descubierto en): nombre del endpoint en el que se detectó el proceso por primera
vez.
• First Seen (Visto por primera vez): fecha y hora en que se detectó el proceso por primera vez en el
endpoint (tras recibir una regla para informar nuevos procesos).

STEP 4 | Elimine o cambie el proceso.


Si el proceso se utiliza en cualquier regla, primero debe desvincular (eliminar) el proceso de la regla.

No puede desvincular procesos de reglas predeterminadas y, en consecuencia, no puede


eliminar procesos especificados en reglas predeterminadas.

Una vez que el proceso está desvinculado, puede seleccionar el nombre del proceso y optar por una de
las siguientes opciones:
• Delete (Eliminar) el proceso.
• Cambie el Process Name (Nombre de proceso) y, a continuación seleccione Save (Guardar) los
cambios.
• Cambie el Protection Type (Tipo de protección) y, a continuación seleccione Save (Guardar) los
cambios. Para más información, consulte Tipos de protección de procesos.

144 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Ver procesos actualmente protegidos por Traps
La pestaña Protection (Protección) de la consola de Traps muestra los procesos ejecutados por el usuario
actual que actualmente están protegidos por Traps. La lista de procesos refleja los procesos que ejecutó el
actual usuario.
Para ver todos los procesos protegidos por Traps, incluidos aquellos ejecutados por otros usuarios o por
el sistema operativo, use la consola de Traps o una interfaz de línea de comandos (CLI) llamada Cytool
(consulte Ver procesos actualmente protegidos por Traps usando Cytool).

Figure 1: Ejecución de procesos detectados por Traps en los Endpoints de Windows

Figure 2: Ejecución de procesos detectados por Traps en los Endpoints de Mac

En los endpoints de Windows, Traps muestra el nombre, la descripción, el número de ID único del proceso,
la hora a la que se inició el proceso y el registro de asignación de memoria.
En los endpoints de Mac, Traps muestra el nombre y el número de ID único del proceso.

STEP 1 | Inicie la consola de Traps:


• En la bandeja de Windows, haga doble clic en el icono de Traps o haga clic con el botón derecho
en el icono y seleccione Console (Consola).
• Ejecute CyveraConsole.exe desde la carpeta de instalación de Traps.
Se inicia la consola de Traps.

STEP 2 | Seleccione la pestaña Advanced (Avanzado) > Protection (Protección) para ver los procesos
protegidos.

GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 145
© 2017 Palo Alto Networks, Inc.
146 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
Protección de malware
> Prácticas recomendadas de la política de protección de malware
> Flujo de protección contra malware
> Gestionar reglas de protección contra malware
> Administrar restricciones en archivos ejecutables
> Integración WildFire
> Administrar hashes para archivos ejecutables

147
148 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware
© 2017 Palo Alto Networks, Inc.
Prácticas recomendadas de la política de
protección de malware
La clave a la hora de definir una política de prevención de malware es minimizar la probabilidad de infección
del malware conocido y desconocido. Para lograrlo, la práctica recomendada para la política de prevención
de malware consiste en recurrir a las reglas de WildFire que permiten a Traps identificar y bloquear todas
las amenazas conocidas y enviar los archivos desconocidos a WildFire para que los analice y los identifique.
Además, esta práctica recomendada permite a Traps aprovechar los mecanismos integrados para analizar
los archivos ejecutables desconocidos y determinar la probabilidad de que contengan malware. Tenga en
cuenta las siguientes recomendaciones para crear una política de prevención de malware:
Habilite la integración con WildFire para permitir que Traps evalúe los archivos ejecutables basándose
en los veredictos de WildFire. La integración con WildFire se habilita automáticamente en la política por
defecto. Por tanto, si necesita crear nuevas reglas de WildFire, asegúrese de que WildFire Activation
(Activación de WildFire) está en On (Activado). Consulte Configuración de una regla de WildFire.
Bloquee la ejecución de malware. La forma más sencilla de evitar que el malware cause daño en los
endpoints es impedir que se ejecute. Para hacer esto, la Action (Acción) en la política de WildFire para
archivos ejecutables y de Microsoft Office (que contienen macros) debe establecerse como Prevention
(Prevención). Dado que es la política por defecto la que configura este ajuste, le recomendamos que
deje la opción por defecto o bien, si tiene que crear reglas nuevas, que herede la acción de esta política
predeterminada. Consulte Configuración de una regla de WildFire.
Permita que Traps envíe archivos ejecutables desconocidos al servidor ESM y que este envíe muestras
a WildFire para que las analice. Gracias al envío de muestras, puede aprovechar la avanzada información
de amenazas de WildFire, que permite analizar e identificar malware de día cero. Además, WildFire pone
la información acerca de los archivos ejecutables recién descubiertos a disposición de otros ESM (previa
consulta) y de los cortafuegos de Palo Alto Networks —en cuestión de minutos— de forma global. De
esta forma, tanto usted como otros clientes de Palo Alto Networks pueden convertir en conocidas las
muestras desconocidas y ahorrar tiempo a la hora de determinar la naturaleza de los archivos ejecutables
desconocidos. Dado que es la política por defecto la que configura este ajuste, no hace falta hacer nada
para activar esta funcionalidad. Sin embrago, si necesita crear nuevas reglas, asegúrese de configurar
la Unknown Verdict Configuration (Configuración de veredicto no conocido) para bloquear archivos
ejecutables no conocidos y habilitar a los agentes de Traps para Upload Files for WildFire Analysis
(Cargar archivos para que WildFire los analice). Consulte Configurar el ESM para comunicarse con
WildFire.
Permita que Traps realice análisis locales de archivos ejecutables desconocidos para determinar
la posibilidad de que contengan malware. Los análisis locales siguen un modelo estadístico que se
desarrolló mediante aprendizaje automático con la información de amenazas de WildFire. Cuando está
habilitado, los análisis locales siguen dicho modelo para emitir un veredicto local del archivo en cuestión.
Al mismo tiempo, Traps pide un veredicto al servidor ESM del archivo ejecutable desconocido, pero
puede servirse del veredicto del análisis local hasta que el servidor ESM responda bien con un veredicto
de WildFire oficial o bien con una política administrativa de control de hash. Dado que es la política
por defecto la que configura este ajuste, no hace falta hacer nada para activar esta funcionalidad. No
obstante, si tiene que crear reglas nuevas, asegúrese de habilitar la opción Local Analysis (Análisis local).
Consulte Análisis estático local.
Instale la última actualización de contenido. Cada actualización de contenido incluye la información
de amenazas de Palo Alto Networks más reciente en un archivo de política de seguridad por defecto.
La actualización de contenido puede incluir cambios de la lista de firmantes de confianza, el modelo
de análisis locales, las reglas de compatibilidad y la configuración de la regla por defecto. Al instalar la
actualización de contenido más reciente, se asegura de que los endpoints utilizan esta información de
amenazas. Consulte Actualizaciones de contenido.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 149


© 2017 Palo Alto Networks, Inc.
Flujo de protección contra malware
Para proteger el endpoint de archivos ejecutables maliciosos y desconocidos, el motor de prevención de
malware emplea tres métodos de protección:
• Análisis de WildFire de archivos ejecutables conocidos y desconocidos.
• Reglas de política de restricción que examinen el origen del archivo.
• Módulos de protección contra malware que apunten a comportamientos iniciados comúnmente por
procesos maliciosos.

• Fase 1: Evaluación de la política de prevención de malware


• Fase 2: Evaluación de la política de restricción
• Fase 3: Evaluación de veredictos de hashes

Fase 1: Evaluación de la política de prevención de malware


Cuando un usuario intenta abrir un archivo ejecutable por primera vez, Traps evalúa la política de
protección contra malware y observa el comportamiento del archivo. Si el archivo exhibe una conducta
malintencionada según lo determina la política de protección de malware, Traps detiene la ejecución del
archivo e impide que el comportamiento malicioso continúe. Por ejemplo, considere una situación en la que
tiene una regla de protección de procesos hijo que evita que los procesos creen procesos hijo (de destino)
específicos. Si el archivo se inicia y a continuación intenta crear procesos hijo definidos en la política de
protección contra malware, Traps bloquea e impide que el archivo se abra, e informa acerca del evento de
seguridad al Endpoint Security Manager.
Si no se detecta un comportamiento malicioso, Traps pasa a la Fase 2: Evaluación de la política de
restricción.

Fase 2: Evaluación de la política de restricción


Cuando un usuario o equipo intenta abrir un archivo ejecutable, Traps primero evalúa la política de
protección contra malware según se describe en Fase 1: Evaluación de la política de prevención de
malware. Si el archivo ejecutable no muestra un comportamiento definido como malicioso, Traps verifica, a
continuación, que el archivo ejecutable no incumpla ninguna regla de restricción. Por ejemplo, puede haber
una regla de restricción que bloquea archivos ejecutables abiertos desde ubicaciones de red. Si una regla de
restricción se aplica a un archivo ejecutable, Traps bloquea la ejecución del archivo e informa el evento de
seguridad a Endpoint Security Manager y, según la configuración de cada regla de restricción, Traps también
puede notificar al usuario sobre el evento de prevención.
Si no se aplican reglas de restricción a un archivo ejecutable, Traps procede a evaluar el veredicto para el
archivo (consulte Fase 3: Evaluación de veredictos de hashes).

150 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Fase 3: Evaluación de veredictos de hashes
Cuando WildFire está activado consulte Configurar el ESM para comunicarse con WildFire), Traps crea un
hash único usando el algoritmo SHA-256 para cada archivo ejecutable y macro que intenta abrirse en el
endpoint. Dependiendo de la características de WildFire que habilite, el módulo de WildFire de Traps realiza
análisis adicionales para determinar si un archivo ejecutable en benigno o malicioso. Traps también puede
enviar archivos ejecutables desconocidos al servidor ESM para un análisis profundo con WildFire
Las etapas de evaluación se describen de forma más detallada en las secciones siguientes:
• Política administrativa de control de hash
• Firmantes de confianza
• Veredictos WildFire
• Análisis estático local

Política administrativa de control de hash


La política administrativa de control de hashes (también conocida como anulación de veredicto o
simplemente política de control de hashes), le permite cambiar el veredicto de un archivo ejecutable o
macro específico sin por ello afectar los ajustes de integración de WildFire. La política de control de hashes
se evalúa primero y tiene prioridad sobre todos los otros métodos para determinar el veredicto de hash.
Desde la consola ESM es posible configurar una anulación de veredicto en cualquiera de las siguientes
situaciones:
• Desea bloquear un archivo que tiene un veredicto de benigno.
• Desea permitir acceso a un archivo que tiene un veredicto de malware. En general, recomendamos
que solo se anulen los veredictos para malware después de utilizar los recursos de información de
amenazas disponibles, tales como WildFire y AutoFocus, para determinar que un archivo ejecutable no
es malicioso.
• Desea especificar un veredicto para un archivo ejecutable que todavía no ha recibido un veredicto oficial
de WildFire
Después de configurar una política de control de hashes, el servidor ESM la distribuye en la próxima
comunicación heartbeat con cualquiera de los endpoint que haya abierto el archivo con anterioridad.
Cuando un archivo ejecutable o macro se inicia en el endpoint, Traps primero comprueba si existe una
política de control de hashes configurada para el archivo. La política de control de hashes especifica si Traps
debería tratar el archivo como malware o no. Si el archivo recibe un veredicto de benigno, Traps le permite
abrirse.
No existe una política de control de hashes configurada para el archivo, a continuación Traps utiliza el
módulo de WildFire para determinar el veredicto. El módulo de WildFire utiliza un proceso de evaluación
de tres pasos en el siguiente orden, para determinar un veredicto: Firmantes de confianza, Veredicto de
WildFire, y a continuación Análisis estático local.

Firmantes de confianza
El software legal incluye con frecuencia una firma de confianza que indica que el producto no está
manipulado ni se ha falsificado. Palo Alto Networks revisa periódicamente la lista de firmantes de confianza,
realiza en ella los cambios pertinentes y la pone a su disposición junto con la política de seguridad por
defecto. Puede conseguir todas las actualizaciones de la lista de firmantes de confianza junto con las
actualizaciones de contenido en el Portal de asistencia técnica (para obtener más información, consulte
Actualizaciones de contenido on page 101).
Cuando un usuario trata de abrir un archivo ejecutable desconocido para el que no existe ninguna
política de control de hashes, el módulo WildFire comienza el proceso de determinación de veredictos
comprobando la firma de confianza de un archivo ejecutable.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 151


© 2017 Palo Alto Networks, Inc.
Si el archivo ejecutable incluye una firma de confianza, se considerará benigno y no hará falta que WildFire
lo siga verificando ni lo someta a más análisis locales en el sistema de archivos local. Mientras no se apliquen
restricciones de ejecución ni reglas de prevención de malware al archivo ejecutable, Traps permitirá que se
abra. Si Traps bloquea un archivo con una firma de confianza (por ejemplo, uno con firma de confianza que
infringe una regla de restricción), la consola ESM mostrará la información del firmante en el nuevo campo
Source Signers (Firmantes de origen) en la información detallada de los eventos de seguridad.
Si el archivo ejecutable no incluye ninguna firma de confianza, el siguiente paso de Traps será evaluar el
Veredictos WildFire on page 152 oficial.

En muy pocas ocasiones, puede que WildFire emita un veredicto de archivo malicioso de
un archivo ejecutable con una firma de confianza. Si se diese el caso, la consola ESM
informará de un evento posterior al proceso de detecciones. Puede consultar estos eventos
en la sección Post Detections (Posteriores a las detecciones) de la página Security Events
(Eventos de seguridad). Para anular el comportamiento por defecto que permite abrir el
archivo ejecutable, configure una política administrativa de control de hash para bloquear el
archivo.

Veredictos WildFire
Si un archivo ejecutable no está firmado por un Firmante de confianza, el agente de Traps realiza una
búsqueda de veredictos de hash para determinar si ya existe un veredicto en su caché local.
Si el archivo ejecutable tiene un veredicto de malware, Traps informa del evento de seguridad al Endpoint
Security Manager y, según el comportamiento configurado para archivos maliciosos, Traps realiza una de las
siguientes acciones:
• Bloquea el archivo ejecutable malicioso.
• Informa al usuario acerca del archivo, pero sigue permitiendo la ejecución del archivo
• Realiza un log del problema sin notificarlo al usuario y permite la ejecución del archivo.
Si el veredicto de un hash indica que el archivo asociado es benigno, Traps pasa a la siguiente etapa de
evaluación (consulte Fase 2: Evaluación de la política de restricción).
Si el hash no existe en la caché local o no hay un veredicto conocido, Traps realiza un Análisis estático local.

Análisis estático local


El análisis local permite a Traps examinar cientos de características de un archivo ejecutable desconocido
para determinar si es posible que se trate de malware. El módulo de análisis local usa un modelo estadístico
que se desarrolló mediante aprendizaje automático con la información de amenazas de WildFire.
Traps realiza análisis locales solo de archivos ejecutables no conocidos en los endpoints de Windows y
permite que Traps emita un veredicto local (benigno o malicioso) cuando el endpoint está fuera de servicio o
no es posible acceder al servidor ESM. Traps puede basarse en el veredicto de análisis local hasta que recibe
un veredicto oficial de WildFire o una política de control de hashes actualizada.
El análisis local se habilita de forma predeterminada en la política de WildFire. Puesto que el análisis local
siempre ofrece un veredicto para un archivo ejecutable desconocido, habilitar la opción Configuración
de veredicto no conocido para Block unknown files (Bloquear archivos desconocidos) solo se aplica a
agentes para los cuales análisis local no está habilitado o para agentes bajo versiones anteriores a Traps 3.4.
Para cambiar los ajustes predeterminados, clone la regla predeterminada de WildFire y deshabilite Local
Analysis [Análisis local] (no recomendado). Si desea más información, consulte Configuración de una regla
de WildFire.

152 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Gestionar reglas de protección contra malware
Las reglas de prevención de malware le permiten restringir el comportamiento relacionado con el malware.
Cuando se habilitan, estos módulos utilizan un modelo de listas de permitidos que posibilita la inyección
de procesos solo a los procesos especificados en la política. Las políticas de protección contra malware
por defecto que vienen preconfiguradas con el software ESM conceden excepciones a procesos legítimos
comunes que deben inyectarse en otros procesos o módulos.
Cuando se añaden nuevas reglas de prevención de malware a la política de seguridad, el mecanismo de
reglas de Traps aúna todas las reglas configuradas en una política efectiva que se evalúa para cada endpoint.
En el caso de un potencial conflicto entre dos o más reglas, existe un conjunto de consideraciones, como
la fecha de modificación, que determina cuál de las reglas se hace efectiva (para obtener más información,
consulte Cumplimiento de políticas). Para retener las listas de permitidos en todas las reglas de prevención
de malware, puede optar por fusionar las listas de permitidos.

Si tiene preguntas adicionales acerca de la configuración de reglas de prevención de


malware, póngase en contacto con el equipo de soporte o su ingeniero de ventas.

• Reglas de protección contra malware


• Configuración de Protección de procesos hijo
• Configuración de mejoras del MPM del Gatekeeper

Reglas de protección contra malware


Una regla de prevención de malware evita la ejecución de malware, con frecuencia disimulado o incrustado
en archivos no maliciosos, utilizando módulos de malware dirigidos a conductas de procesos comúnmente
activadas por el malware.
Puede activar los módulos de prevención de malware en todos los procesos o habilitar la protección en uno
o más procesos protegidos en su organización.
La siguiente tabla describe los módulos de prevención de malware:

Reglas de protección DESCRIPTION


contra malware

Protección de proceso (Solo Windows) El MPM de protección de proceso hijo impide los ataques
hijo basados en secuencias de comandos usadas para entregar malware tales como
ransomware mediante el bloqueo de procesos de destino conocidos al impedir
que inicien procesos hijo comúnmente usados para .eludir las medidas de
seguridad tradicionales. Para obtener más información, consulte Configuración
de Protección de procesos hijo.

Mejora del (Solo Mac) La mejora del MPM del Gatekeeper es una mejora de la
Gatekeeper funcionalidad del gatekeeper de macOS que permite que las aplicaciones se
ejecuten según su firma digital. El MPM proporciona una capa adicional de
protección al extender la funcionalidad del gatekeeper a procesos hijo para
establecer el nivel de firma de su elección. Para obtener más información,
consulte Configuración de mejoras del MPM del Gatekeeper.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 153


© 2017 Palo Alto Networks, Inc.
Configuración de Protección de procesos hijo
El MPM de protección de proceso hijo sustituye la regla de restricción de procesos hijo y
lista blanca disponibles en Traps 3.4 y versiones anteriores. Para que usted pueda gestionar
reglas de procesos hijo y listas blancas en los endpoints bajo versiones anteriores de
Traps, la funcionalidad del proceso hijo existente se conserva en la consola ESM. Para
configurar restricciones de procesos hijo o listas blancas de endpoints bajo Traps 3.4 o
versiones anteriores, consulte Definir restricciones de procesos hijo y Administrar listas
blancas globales.

El MPM de protección de proceso hijo para endpoints de Windows evita ataques basados en secuencias de
comandos (scripts) que se utilizan para enviar malware tales como ramsomware. Para evitar estos ataques,
el MPM se habilita por defecto y bloquea procesos de destino conocidos para evitar que inicien procesos
hijo generalmente usados para eludir las medidas de seguridad tradicionales.
Para mayor flexibilidad, puede configurar el módulo para que funcione de una de las dos siguientes maneras:
• Use una lista blanca para bloquear todos los procesos hijo iniciados por un proceso excepto aquellos
indicados en la lista blanca.
• Utilice una lista negra para permitir que un proceso ejecute todos los procesos hijo excepto aquellos
incluidos en la lista negra.
Para controlar la forma en que las nuevas reglas interoperan con reglas existentes, también puede elegir
fusionar o anular los ajustes en reglas que relacionadas con el mismo proceso padre.
Use el siguiente flujo de trabajo para configurar la protección mejorada de procesos hijo:

STEP 1 | Configure una nueva regla de protección contra malware.


Seleccione Policies (Políticas) > Malware > Protection Modules (Módulos de protección).

STEP 2 | Seleccione Windows como el sistema operativo (la protección de proceso hijo no es
compatible con los endpoints de Mac).

STEP 3 | En el menú de acción , seleccione Add (Añadir).

STEP 4 | Seleccione Child Process Protection (Protección de procesos hijo) y configure los ajustes de la
regla:
• Activation (Activación): seleccione On (Activado) para habilitar la protección de procesos hijo o Off
(Desactivado) para deshabilitar la protección de procesos hijo.
• Action (Acción): seleccione la acción que se ha de tomar cuando un cuando un proceso intenta llamar
a un proceso hijo: Impida que el proceso hijo se ejecute (Prevention [Prevención]), o permita que
el proceso hijo se ejecute y registre el problema (Notification (Notificación)). Si selecciona Inherit
(Heredar) el comportamiento, Traps defiere a la política por defecto para la acción.

Para ver detalles adicionales acerca de la política por defecto, seleccione Policies
(Políticas)> Malware > Protection Modules (Módulos de protección) y a continuación
seleccione Show Default Rules (Mostrar reglas por defecto) del menú de acción.
• User Alert (Alerta de usuario): seleccione el comportamiento de notificación cuando un proceso
intenta llamar a un proceso hijo, bien On (Activada) para notificar al usuario, o Off (Desactivada) para
omitir las notificaciones. Si selecciona Inherit (Heredar) el comportamiento, Traps defiere a la política
por defecto para el comportamiento de notificación.

STEP 5 | Configuración de una lista blanca o una lista negra para un proceso hijo:

154 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
1. Seleccione la List Behavior (Conducta de lista): Use Allowed Processes (Procesos permitidos) para
configurar una lista blanca o Restricted Processes (Procesos restringidos) para configurar una lista
negra.
2. Para permitir o impedir que los procesos padre ejecuten procesos hijo, deje la Child Process List
(Lista de procesos hijo) en blanco. De lo contrario, añada uno o más procesos a la Child Process List
(Lista de procesos hijo) (uno por línea). Traps coloca estos procesos en la lista blanca o lista negra de
acuerdo con la List Behavior (Conducta de lista) que ha seleccionado en el paso anterior.
Por ejemplo, para bloquear cscript.exe y wscript.exe cuando se ejecutan desde winword.exe,
configure una lista de Procesos restringidos para winword.exe y añada la secuencia de comandos a la
Child Process List (Lista de procesos hijo).
La Lista de procesos hijo también admite las mismas variables de entorno y comodines que puede
usar en reglas de restricción. Por ejemplo, para configurar una regla para iexplorer.exe que impide que
el proceso inicie archivos SCR de la carpeta temp, puede utilizar variables de entorno y comodines
para especificar %temp%\*.scr. Para obtener más información acerca del uso de variables de
entorno y comodines, consulte Comodines y variables en reglas de políticas.
3. Seleccione List Action (Acción de lista) para Merge (Fusionar) o Override (Anular) la lista de procesos
hijo con listas definidas en otras reglas de políticas por defecto o definidas por el usuario para el
proceso padre.

Si existen varias reglas para el mismo proceso padre que especifica List Action
(Acción de lista): Merge (Fusionar), Traps combina la Child Process List (Lista de
procesos hijo) (ya sea la lista blanca o la lista negra). Si existen varias reglas para el
mismo proceso padre que especifica List Action (Acción de lista): Override (Anular),
solo la regla más reciente (con el número de ID más alto) prevalece.

Si existen varias reglas para el mismo proceso padre pero este usa diferentes conductas de lista (por
ejemplo, una como una lista blanca y otra como una lista negra), solo la regla más reciente (con el
número de ID más alto) prevalece.

STEP 6 | Seleccione la pestaña Processes (Procesos) y luego Add (Añadir) uno o más procesos de origen
(principal) a los cuales Traps aplicará la protección de procesos hijo. Conforme escriba, la
consola ESM le proporcionará finalización automática basada en la lista de procesos definidos
en la consola ESM.

STEP 7 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 8 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational Unit
(unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include o Exclude. El
Endpoint Security Manager consulta a Active Directory para verificar los usuarios, ordenadores, grupos
o unidades de la organización, o identifica los endpoints existentes de los mensajes de comunicación
anteriores.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 155


© 2017 Palo Alto Networks, Inc.
STEP 9 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera
automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 10 | Guarde la regla de prevención de exploits.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Policies (Políticas) > Exploit > Protection Modules (Módulos de protección) y haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Protection Modules (Módulos de
protección) en cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Configuración de mejoras del MPM del Gatekeeper


La mejora del MPM del Gatekeeper es una mejora de la funcionalidad del gatekeeper de macOS que
permite que las aplicaciones se ejecuten según su firma digital. El MPM proporciona una capa adicional de
protección al extender la funcionalidad del gatekeeper a procesos hijo para establecer el nivel de firma de su
elección (por ejemplo por Apple System (Sistema Apple), Mac App Store, o Developers (Desarrolladores)).
Al aplicar el nivel de firma, puede impedir que los atacantes aprovechen una vulnerabilidad lógica en un
proceso existente para evitar la verificación del SO del nivel de firma. También puede elegir permitir la
ejecución de procesos hijo si estos coinciden (o superan) el nivel de firma del proceso padre, o puede
bloquear todos los procesos hijo independientemente de la firma digital.
Este módulo está habilitado por defecto para aplicaciones macOS específicas y admitidas en los endpoints
de Mac.
Para configurar la mejora del EPM de Gatekeeper, use el siguiente flujo de trabajo:

STEP 1 | Configure una nueva regla de protección contra malware.


Seleccione Policies (Políticas) > Malware > Protection Modules (Módulos de protección).

STEP 2 | Seleccione macOS como el sistema operativo (la mejora del MPM del Gatekeeper no es
compatible con los endpoints de Windows).

STEP 3 | En el menú de acción , seleccione Add (Añadir).

STEP 4 | Seleccione Gatekeeper Enhancement (Mejora de Gatekeeper) y configure los ajustes de la


regla:
• Activation (Activación): seleccione On (Activada)para habilitar la mejora MPM del gatekeeper o Off
(Desactivada) para deshabilitarla.
• Action (Acción): seleccione qué acción se debe tomar cuando Traps detecta un proceso hijo que
no coincide o supera el nivel de firma configurado. Bloquear el comportamiento (Prevention
(Prevención)), o permitir el comportamiento y registrar el problema (Notification (Notificación)). Si
selecciona Inherit (Heredar) el comportamiento, Traps defiere a la política por defecto para la acción.

156 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Para ver detalles adicionales acerca de la política por defecto, seleccione Policies
(Políticas)> Malware > Protection Modules (Módulos de protección) y a continuación
seleccione Show Default Rules (Mostrar reglas por defecto) del menú de acción.
• User Alert (Alerta de usuario): seleccione el comportamiento de notificación cuando Traps detecta
un proceso hijo que no coincide o supera el nivel de firma configurado, On (Activada) para notificar
al usuario, o Off (Desactivada) para omitir las notificaciones. Si selecciona Inherit (Heredar) el
comportamiento, Traps defiere a la política por defecto para el comportamiento de notificación.

STEP 5 | Seleccione una firma Verification Level (Nivel de verificación):


• By Parent (Por padre): (por defecto) El proceso hijo debe coincidir con el nivel de firma del proceso
padre.
• Block All (Bloquear todos): bloquea todos los procesos hijo independientemente del nivel de firma.
• Apple System (Sistema Apple): el proceso hijo debe estar firmado por Apple.
• Mac App Store: el proceso hijo debe estar firmado por el App Store.
• Developers (Desarrolladores): el proceso hijo debe estar firmado por un desarrollador registrado.

STEP 6 | (Opcional) Coloque en la lista blanca los procesos hijo ejecutados desde ubicaciones específicas:
1. Seleccione el icono añadir carpeta .
2. Introduzca la ruta completa del proceso hijo, por ejemplo:

/Applications/myapp1.app/Contents
3. Repita el proceso para añadir procesos hijo adicionales, si así lo desea.
4. Seleccione Whitelist Action (Acción de lista blanca) para Merge (Fusionar) o Override (Anular) la lista
de procesos hijo con listas definidas en otras reglas de políticas por defecto o definidas por el usuario
para el proceso padre.

Si existen varias reglas para el mismo proceso padre que especifica Whitelist Action:
(Acción de lista blanca:) Merge (Fusionar), Traps combina la Whitelist (Lista blanca).
Si existen varias reglas para el mismo proceso padre que especifica Whitelist Action:
(Acción de lista blanca:) Override (Anular), solo la regla más reciente (con el número
de ID más alto) prevalece.

Si existen varias reglas para el mismo proceso padre pero este usa diferentes conductas de lista (por
ejemplo, una como una lista blanca y otra como una lista negra), solo la regla más reciente (con el
número de ID más alto) prevalece.

STEP 7 | Seleccione la pestaña Processes (Procesos) y luego Add (Añadir) uno o más procesos de origen
(padre) a los cuales Traps aplicará la mejora MPM del Gatekeeper. Conforme escriba, la consola
ESM le proporcionará finalización automática basada en la lista de procesos definidos en la
consola ESM.

STEP 8 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 9 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 157


© 2017 Palo Alto Networks, Inc.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 10 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 11 | Guarde la regla de prevención de exploits.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Policies (Políticas) > Exploit > Protection Modules (Módulos de protección) y haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Protection Modules (Módulos de
protección) en cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

158 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Administrar restricciones en archivos
ejecutables
• Reglas de restricción
• Añadir una nueva regla de restricción
• Administrar listas blancas globales
• Bloquear la ejecución desde carpetas locales y de red
• Colocar carpeta de red en una lista blanca
• Definir restricciones de medios externos
• Definir restricciones de procesos hijo
• Definir restricciones y excepciones de Java

Reglas de restricción
Una regla de restricción limita la superficie de un ataque en un endpoint de Windows al definir dónde y
cómo sus usuarios pueden ejecutar archivos ejecutables. La siguiente tabla muestra los diferentes tipos de
restricciones que usted puede configurar.

Reglas de restricción DESCRIPTION

Ejecución de Muchos escenarios de ataques se basan en la escritura de archivos


archivos ejecutables ejecutables maliciosos en ciertas carpetas y su posterior ejecución. Por
provenientes de ejemplo, las carpetas locales temporales (temp) y de descarga se usan
carpetas concretas normalmente para almacenar y luego ejecutar archivos ejecutables maliciosos.
Para hacer una excepción en esta restricción general, puede añadir carpetas
específicas a una lista blanca. Para obtener más información, consulte
Administrar listas blancas globales, Bloquear la ejecución desde carpetas
locales y de red y Colocar carpeta de red en una lista blanca.

Ejecución de El código malicioso puede acceder a endpoints a través de medios externos,


archivos ejecutables como unidades de disco extraíbles y discos ópticos. Para protegerse ante esta
provenientes de amenaza, puede definir restricciones que controlen los archivos ejecutables,
medios externos si hubiera, que los usuarios pueden iniciar desde unidades de disco externas
conectadas a los endpoints de su red. Para obtener más información, consulte
Definir restricciones de medios externos.

Procesos que (Traps 3.4 y versiones anteriores) Un código malicioso se puede activar al
diseminan procesos hacer que un proceso legítimo disemine procesos hijo maliciosos. Puede
hijo bloquear el código malicioso definiendo una regla de restricción apropiada.
Para obtener más información, consulte Definir restricciones de procesos hijo.

Procesos de Java que (Traps 3.4 y versiones anteriores) Un punto de entrada común para códigos
se ejecutan desde los maliciosos son los procesos de Java importados desde un host remoto e
navegadores iniciados a través de navegadores de Internet. Como protección contra estos
exploits, debe evitar que un applet de Java que no sea de confianza ejecute
objetos usando los navegadores, al tiempo que puede añadir a la lista blanca
los procesos de confianza, a fin de poder ejecutarlos en los endpoints según
fuera necesario. Puede elegir de forma selectiva las acciones permitidas
(lectura, escritura o ejecución) en función de los tipos de archivos de proceso,

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 159


© 2017 Palo Alto Networks, Inc.
Reglas de restricción DESCRIPTION
localizaciones y rutas de registro. Para obtener más información, consulte
Definir restricciones y excepciones de Java.

Añadir una nueva regla de restricción


Cree una nueva regla de restricción para definir limitaciones sobre la ubicación y el modo en que los
archivos ejecutables se ejecutan en los endpoints.

STEP 1 | Configure una nueva regla de restricción.


Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones) y Add (Añadir) para añadir una
nueva regla.

STEP 2 | En el menú de acción , seleccione Add (Añadir).

STEP 3 | Seleccione el tipo de regla de restricción que está añadiendo.


Seleccione una de las siguientes opciones y luego configure los ajustes de acuerdo con el tipo de
restricción que está añadiendo a su política de seguridad.
• Execution Path Restriction (Restricción de ruta de ejecución): restringe el acceso a archivos locales
o remotos y carpetas. Para obtener más información, consulte Bloquear la ejecución desde carpetas
locales y de red.
• Network Folder Behavior (Conducta de carpetas de red): restringe el acceso a todas las carpetas de
red excepto a aquellas incluidos en la lista blanca. Para obtener más información, consulte Colocar
carpeta de red en lista blanca.
• External Media (Medios externos): para obtener más información, consulte Definir restricciones y
excepciones de medios externos.
• Child Processes (Pre-4.0 Agents) [Procesos hijo (agentes anteriores a 4.0)]: bloquean los procesos
hijo maliciosos generados desde procesos legítimos. Para obtener más información, consulte Definir
restricciones de procesos hijo.
• Java (Pre-4.0 Agents) [Java (agentes anteriores a 4.0)]: impide que los applets de Java que no son de
confianza ejecuten objetos usando navegadores y añade procesos de confianza específicos a listas
de permitidos, para que puedan ejecutarse en los endpoints según fuera necesario. Para obtener más
información, consulte Definir restricciones y excepciones de Java.

STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

160 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 6 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera
automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 7 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Administrar listas blancas globales


Para permitir la ejecución de archivos ejecutables desde carpetas locales y medios externos, y permitir
el inicio de procesos hijo a partir de procesos padre en una carpeta específica, puede configurar una lista
blanca global. De forma similar a la funcionalidad de listas de permitidos existente para procesos de Java,
archivos ejecutables sin firma e inyección de subprocesos, puede especificar rutas completas y variables de
rutas, y también puede usar comodines para coincidencias de patrones (% para la coincidencia de términos
similares y * para la coincidencia de cualquier carácter).
Los elementos de la sección de la lista blanca tienen prioridad sobre cualquier elemento no permitido y se
evalúan en primer lugar en la política de seguridad.

STEP 1 | Seleccione Policies (Políticas) > Malware > Restriction Settings (Ajustes de restricciones).

STEP 2 | Para especificar si Traps debe bloquear un archivo ejecutable que se abrió desde una ubicación
no incluida en la lista blanca o que es posterior al periodo de boqueo, configure la Acción en
una de las siguientes opciones:

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 161


© 2017 Palo Alto Networks, Inc.
• Notification (Notificación): no bloquea el acceso a archivos ejecutables y procesos, sino que crea un
log cuando se abren los archivos desde ubicaciones que no están en la lista blanca e informa de los
eventos al ESM.
o
• Prevention (Prevención): bloquea los archivos y procesos ejecutables.

STEP 3 | Para especificar si Traps debe o no informar al usuario cuando un archivo ejecutable se abre
desde una ubicación no incluida en la lista blanca, configure la alerta de usuario en una de las
siguientes opciones:
• On (Activar): se notifica al usuario.
o
• Off (Desactivar): no se notifica al usuario.

STEP 4 | Haga clic en el icono de añadir carpeta situado junto a las áreas de listas de permitidos
de Local Folder, Child Process o Media Control e introduzca la ruta completa o parcial de la
carpeta. Por ejemplo, C:\Windows\filename.exe.

Las listas de permitidos también admiten comodines y variables ambientales, tales como
%windir% (para obtener más información, consulte Comodines y variables en reglas de
políticas).

STEP 5 | Haga clic en Commit (Compilar) para guardar los cambios.

Bloquear la ejecución desde carpetas locales y de red


Muchos escenarios de ataques se basan en la escritura de archivos ejecutables maliciosos en carpetas
remotas y locales comunes, como por ejemplo archivos “temp” y “descargas”, y posteriormente en
la ejecución de dichos archivos ejecutables. De forma predeterminada, Traps permite a los archivos
ejecutables benignos ejecutarse desde cualquier carpeta local. La configuración de una regla de Execution
Path Restriction (Restricción de ruta de ejecución) le permite restringir las ubicaciones desde donde se
pueden ejecutar estos archivos ejecutables. Para una mayor flexibilidad, puede configurar la Execution
Path Restriction (Restricción de ruta de ejecución) para restringir carpetas locales y remotas, y archivos
ejecutables. Las aplicaciones normales para esta regla incluyen la habilidad para restringir:
• Archivos ejecutables específicos se ejecutan localmente, por ejemplo:

%MySystemDrive%\myfolder\temp\malware.exe

• Cualquier archivo ejecutable ejecutado desde una carpeta o subcarpeta local específica, por ejemplo:

C:\temp\*

• Archivos ejecutables específicos ejecutados desde una ubicación remota, por ejemplo:

\\remoteserver\folder\malware.exe

• Ubicaciones remotas específicas, por ejemplo:

\\remoteserver\*

162 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Cuando habilita esta regla de restricción, todos los archivos ejecutables se pueden ejecutar a no ser que
coincidan con las carpetas o archivos especificados en la regla. Si un usuario intenta abrir un archivo
ejecutable desde una ubicación bloqueada, Traps bloquea el intento e informa del evento de seguridad al
servidor ESM.
Si desea una política de seguridad más estricta, sugerimos configurar una regla de conducta de carpeta
de red que bloquea todos los ejecutables ejecutados desde carpetas de red remotas excepto aquellos
expresamente indicados en la lista blanca (consulte Colocar carpeta de red en una lista blanca).
También puede configurar una excepción para una carpeta local añadiendo la carpeta a la lista blanca
(consulte Administrar listas blancas globales). Las listas blancas tiene prioridad sobre la lista de no
permitidos (lista negra) y permite que archivos ejecutables en ubicaciones específicas se ejecuten siempre.

STEP 1 | Iniciar una nueva regla de restricción:


1. Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones).
2. Desde el menú de acción , seleccione Add (Añadir) una nueva regla de restricción.
3. Seleccione Execution Path Restriction (Restricción de ruta de ejecución).

STEP 2 | Evitar que un archivo o varios archivos ejecutables se ejecuten desde una carpeta local.
1. Seleccione Local Folder Behavior (Conducta de carpeta local).
2. Seleccione la opción para Restrict file execution from the locations (Restringir la ejecución de
archivos desde las ubicaciones).
3. Haga clic en el icono para añadir carpeta y en Add (Añadir) para añadir la ruta del archivo ejecutable
o carpeta a la sección de lista negra.

Para colocar una carpeta en la lista negra, debe terminar la ruta con un comodín. (Por
ejemplo, C:\temp\* encuentra cualquier archivo que se ha iniciado desde la carpeta
o subcarpeta C:\temp\).

Para ejemplos de sintaxis adicionales, consulte Comodines y variables en reglas de políticas.


4. Repita el paso anterior para añadir varias rutas según fuera necesario.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 163


© 2017 Palo Alto Networks, Inc.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Colocar carpeta de red en una lista blanca


Para evitar escenarios de ataque basados en la escritura de archivos ejecutables maliciosos en carpetas
remotas, puede crear una regla de restricción para bloquear todos los archivos ejecutables que se ejecutan
en carpetas específicas. Para habilitar archivos ejecutables para que se ejecuten desde ubicaciones de redes
de confianza, puede crear una regla de restricción Network Folder Behavior (Conducta de carpetas de red)
para colocar el archivo o la ruta remota de la carpeta en la lista blanca.
Cuando habilita esta regla, Traps bloquea todos los archivos ejecutables que se ejecutan desde ubicaciones
de red excepto aquellos que se han colocado en la lista blanca de la regla. Cuando un usuario intenta abrir
un archivo ejecutable desde una carpeta que no se ha especificado en la lista blanca, Traps bloquea el
intento e informa del evento de seguridad al servidor ESM.

STEP 1 | Iniciar una nueva regla de restricción:


1. Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones).
2. Desde el menú de acción , seleccione Add (Añadir) una nueva regla de restricción.
3. Seleccione Network Folder Behavior (Conducta de carpetas de red).

STEP 2 | Seleccione la opción para Restrict file execution from all network folders except the locations
listed below (Restringir la ejecución de archivos desde todas las carpetas de red a excepción
de las ubicaciones indicadas a continuación).

STEP 3 | Haga clic en el icono de adición a continuación , para Add (Añadir) el archivo o la ruta de la
carpeta siguiendo el formato de convención universal de nombres (UNC).

Para colocar una carpeta en la lista blanca, debe terminar la ruta con un comodín. (Por
ejemplo, \\networkpath\temp\* encuentra cualquier archivo que se ha iniciado
desde la carpeta o subcarpeta \\networkpath\temp\).

Para ejemplos de syntax adicionales, consulte Comodines y variables en reglas de políticas.

STEP 4 | Repita el paso anterior para añadir varias rutas según fuera necesario.

STEP 5 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones

164 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 6 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 7 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 8 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definir restricciones de medios externos


El código malicioso puede obtener acceso a endpoints a través de medios externos, como unidades de
disco extraíbles y discos ópticos. Para protegerse contra este tipo de ataque, se pueden definir reglas de
restricción que eviten la ejecución de archivos ejecutables en unidades de disco externas conectadas a los
endpoints. La definición de una restricción en medios externos protege contra cualquier intento de iniciar
un archivo ejecutable desde una unidad de disco externa.

STEP 1 | Iniciar una nueva regla de restricción:


1. Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones).
2. Desde el menú de acción , seleccione Add (Añadir) una nueva regla de restricción.
3. Seleccione External Media (Medios externos).

STEP 2 | Seleccione el tipo de soporte externo del cual desea restringir la ejecución de archivos
ejecutables, ya sea Removable Drives (Unidades extraíbles) o Optical Drives (Unidades
ópticas). Por defecto, se permite la ejecución de aplicaciones no malintencionadas y
desconocidas de discos extraíbles y ópticos.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 165


© 2017 Palo Alto Networks, Inc.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

STEP 7 | (Opcional) Para colocar ubicaciones de soportes externos específicas de su regla de restricción
de soportes externos en la lista blanca. Para obtener más información, consulte Administrar
listas blancas globales.

Definir restricciones de procesos hijo


Traps 3.4 y versiones anteriores admiten la regla de restricción de procesos hijo. Para
restringir procesos hijo en endpoints que se ejecutan en Traps 4.0, consulte Configuración
de Protección de procesos hijo.

En un intento de controlar un endpoint, un atacante puede hacer que un proceso legítimo genere un
proceso hijo malicioso. Defina una regla de restricción para evitar que procesos hijo sean activados desde
uno o más procesos.

STEP 1 | Iniciar una nueva regla de restricción:


1. Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones).
2. Desde el menú de acción , seleccione Add (Añadir) una nueva regla de restricción.
3. Seleccione Child Processes (Pre-4.0 Agents) [Procesos hijo (agentes anteriores a 4.0)].

166 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 2 | Defina el comportamiento para los procesos hijo. Por defecto, se permiten los procesos hijo
generados desde un proceso.
1. En el campo de búsqueda Select Processes (Seleccionar procesos), introduzca y a continuación
seleccione el nombre de un proceso. A medida que introduce los datos, la consola ESM ofrece la
opción de finalización automática de los procesos que coinciden con su término de búsqueda.

Para modificar la lista de procesos, consulte Ver, modificar o borrar un proceso.

2. Repita los pasos a para añadir nombres de proceso adicionales, según proceda.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definir restricciones de Java


Traps 3.4 y versiones anteriores admiten la regla de restricción de Java. Para impedir que
los procesos de Java ejecuten procesos hijo específicos en endpoints funcionando con
Traps 4.0, Configuración de Protección de procesos hijo.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 167


© 2017 Palo Alto Networks, Inc.
Un punto de entrada común para códigos maliciosos es a través de los procesos de Java importados desde
un host remoto y ejecutados en navegadores de Internet. Como protección contra estos exploits, puede
configurar Traps para evitar que un applet de Java ejecute objetos desde los navegadores web y añadir a la
lista blanca únicamente los procesos de confianza, a fin de poder ejecutarlos según fuera necesario. Utilice
la opción de lista blanca para seleccionar de forma selectiva en qué procesos se puede ejecutar Java.

STEP 1 | Iniciar una nueva regla de restricción:


1. Seleccione Policies (Políticas) > Malware > Restrictions (Restricciones).
2. Desde el menú de acción , seleccione Add (Añadir) una nueva regla de restricción.
3. Seleccione Java (Pre-4.0 Agents) [Procesos Java (agentes anteriores a 4.0)].

STEP 2 | Configure la regla de restricción de Java para colocar en la lista blanca un proceso ejecutado
por Java en un navegador específico en agentes de Traps que se ejecutan en la versión 3.4 o
anteriores.
1. En la lista desplegable Java Activation (Activación Java), seleccione On (Activar) para habilitar la regla
u Off (Desactivar) para deshabilitar la regla.

Los ajustes adicionales aparecen en gris si Java está deshabilitado.

2. Configure la Action (Acción) que se aplicará cuando un proceso de Java intente ejecutarse y el
proceso no está en la lista blanca:
• Inherit (Heredar): hereda el comportamiento de la política por defecto.
• Prevention (Prevención): finaliza todos los procesos de Java excepto aquellos indicados de forma
específica en la lista blanca.
• Notification Notificación): crea un log del problema y permite que el proceso de Java continúe.
3. Configure el comportamiento de User Alert (Alerta de usuario) cuando un proceso Java intenta
ejecutarse desde un navegador web.
• Inherit (Heredar): hereda el comportamiento de la política por defecto.
• On (Activar): se notifica al usuario.
• Off (Desactivar): no se notifica al usuario.
4. En la sección Java Whitelisted Processes (Procesos de Java incluidos en la lista blanca), haga clic
en el botón de añadir proceso para especificar los procesos de Java cuya ejecución se permitirá
desde los navegadores web (por ejemplo, AcroRd32.exe). Repita este paso para añadir procesos
adicionales.
5. En la lista Browsers (Navegadores), seleccione los navegadores web en los cuales se debe
implementar la protección de Java.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 4 | (Opcional) Defina los a los objetos de destino que se aplica la regla de restricción. Por defecto,
una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o

168 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de restricción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, seleccione la regla
en la página Policies (Políticas) > Malware > Restrictions (Restricciones) y haga clic en Activate
(Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Restrictions (Restricciones) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 169


© 2017 Palo Alto Networks, Inc.
Integración WildFire
WildFire es la solución de espacio aislado de Palo Alto Networks para analizar archivos desconocidos,
incluidos los archivos ejecutables. WildFire emite veredictos para todos los archivos examinados: benigno
en el caso de un archivo seguro o malicioso en el caso de malware. La integración de WildFire con Traps es
un servicio opcional que integra el análisis WildFire en la solución de endpoints de Traps.
Cuando un usuario o un equipo intenta abrir un archivo ejecutable o macro en el endpoint, Traps crea un
identificador único (conocido como hash) con el algoritmo SHA-256. A continuación, el servidor ESM lo
contrasta con la base de datos de WildFire. Si WildFire confirma que un archivo es malware conocido, Traps
lo bloquea e informa a ESM (para más información, consulte Administrar hashes para archivos ejecutables).
• Conceptos de integración de WildFire
• Configuración de ESM para comunicarse con WildFire
• Configuración de una nube privada de WildFire
• Configuración de una regla de WildFire

Conceptos de integración de WildFire


• Envío de ESM
• Veredictos
• Caché de veredicto
• Análisis de tipo de archivo

Envío de ESM
El Endpoint Security Manager (ESM) envía muestras desconocidas para un análisis más profundo a WildFire.
Puede integrar su entorno ESM con la nube pública de WildFire o con un dispositivo WF-500 local que
actúa como un espacio aislado local. El tipo de muestras que ESM envía y la frecuencia con la que se
comunica con WildFire se determinan en la configuración de WildFire y las reglas que se configuren
(consulte Configuración de ESM para comunicarse con WildFire y Configuración de una regla de WildFire).
Para las muestras que Traps notifica, el agente primero comprueba so caché local de hashes para determinar
si ya tiene un veredicto para la muestra. Si Traps no tiene un veredicto local, esta envía una consulta al
servidor ESM para determinar si WildFire ha analizado previamente la muestra. Si la muestra es identificada
como malware, se bloquea. Si la muestra continúa siendo desconocida después de compararla con las firmas
existentes de WildFire, el ESM envía la muestra a WildFire para su análisis Para obtener más información,
consulte Flujo de protección contra malware.

Veredictos
WildFire entrega veredictos para identificar las muestras que analiza como seguras, malintencionadas o no
deseadas (grayware se considera agresivo pero no malicioso).
• Benign (Benigno): la muestra es seguro y no da signos de comportamiento malicioso.
• Malware: la muestra es malware y supone una amenaza de seguridad. El malware puede incluir virus,
gusanos, troyanos, herramientas de acceso remoto (RAT), rootkits, botnets y macros maliciosos. Para
los archivos identificados como malware, WildFire genera y distribuye una firma para evitar futuras
exposiciones a la amenaza.
• Grayware: La muestra clasificada como grayware no supone una amenaza de seguridad directa, pero
puede mostrar un comportamiento agresivo de algún tipo. Grayware normalmente incluye adware,
spyware y objetos de ayuda del explorador (BHO).
Cuando WildFire no está disponible o la integración está deshabilitada, Traps también puede asignar un
veredicto local para la muestra usando métodos adicionales de evaluación: Cuando Traps realiza un Análisis

170 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
estático local de un archivo, utiliza aprendizaje automático para emitir un veredicto. Traps también puede
comparar al firmante de un archivo con una lista local de Firmantes de confianza para determinar si un
archivo es malicioso:
• Veredictos de análisis locales:
• Benign (Benigno): el análisis local determinó que la muestra es seguro y no da signos de
comportamiento malicioso.
• Malware: la muestra es malware y supone una amenaza de seguridad. El malware puede incluir virus,
gusanos, troyanos, herramientas de acceso remoto (RAT), rootkits, botnets y macros maliciosos.
• Veredictos de firmante fiable:
• Trusted (De confianza): la muestra está firmada por un firmante de confianza.
• Not Trusted (No es de confianza): la muestra no está firmada por un firmante de confianza.

Caché de veredicto
Traps almacena hashes y los correspondientes Veredictos para todos los archivos ejecutables que abre
en el endpoint en su caché local. El caché local se almacena en la carpeta C:\ProgramData\Cyvera
\LocalSystem en el endpoint y varía en tamaño para albergar el número de archivos ejecutables únicos
que se abren en el endpoint. Cuando se habilita la protección del servicio (consulte Gestionar protección de
servicios), el caché local es accesible a través del agente de Traps y no se puede cambiar.
Cada vez que un archivo ejecutable se intenta ejecutar, el agente de Traps realiza una búsqueda en su caché
local para determinar si ya existe un veredicto. Si es así, el veredicto es un veredicto oficial de WildFire o
uno establecido manualmente como una política administrativa de control de hash. Los veredictos con una
política administrativa de control de hash tienen prioridad sobre cualquier análisis de veredicto adicional.
Si el caché local no identifica al archivo ejecutable, el agente de Traps solicita al servidor ESM que imita
un veredicto. El Endpoint Security Manager almacena veredictos para todos los archivos ejecutables que
ha abierto en los endpoints en todo la organización en su caché de servidor, que está almacenado en la
base de datos ESM. Cuando el servidor ESM recibe una solicitud de veredicto, realiza una búsqueda en la
caché de su servidor para determinar el veredicto. El servidor ESM responde con el veredicto en la siguiente
comunicación heartbeat con el agente de Traps que solicitó el veredicto.
Si el archivo ejecutable no está identificado en la caché del servidor, el servidor ESM envía una solicitud a
WildFire y de forma opcional, envía el archivo para su análisis.

Análisis de tipo de archivo


Traps analiza los archivos según el tipo de archivo, independientemente de la extensión del archivo. Para
una supervisión y análisis a fondo, también puede configurar ESM para que envíe muestras a Wildfire. Una
muestra puede ser:
• Cualquier archivo ejecutable portátil (PE), incluidos (pero no limitados a):
• Archivos ejecutables
• Código objeto
• FON (Fuentes)
• Archivos de salvapantallas (.scr) de Microsoft Windows
• Archivos de Microsoft Office que contengan macros abiertas en Microsoft Word (winword.exe) y
Microsoft Excel (excel.exe):
• Microsoft Office 2003 a Office 2007: .doc y .xls
• Microsoft Office 2010 y versiones posteriores: .docm, .docx, .xlsm y .xlsx
Para obtener detalles sobre cómo habilitar el ESM para enviar muestras a WildFire, consulte Configurar el
ESM para comunicarse con WildFire.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 171


© 2017 Palo Alto Networks, Inc.
Configuración de ESM para comunicarse con WildFire
WildFire integration (Integración de WildFire) está habilitada de forma predeterminada; sin embargo, debe
configurar el ESM para comunicarse con WildFire

STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > WildFire.

STEP 2 | Habilite los ajustes de comunicación de WildFire:


• Seleccione Allow External Communication with WildFire (Permitir comunicación externa con
WildFire) para habilitar el ESM para que compruebe hashes con WildFire.
• Seleccione Allow Upload Executable Files to WildFire (Permitir cargar archivos ejecutables a
WildFire) para habilitar el ESM para que envíe archivos a WildFire para su análisis. Borrar esta opción
de carga habilita al servidor ESM para comprobar veredictos con WildFire, pero no envía archivos
para su análisis.
• Para Utilizar una nube privada (requiere un dispositivo WF-500), consulte Configuración de una
nube privada de WildFire.

STEP 3 | En el campo Unknown Verdicts Recheck Interval (minutos) [Intervalo de comprobación


de veredictos desconocidos (minutos)], introduzca la frecuencia (en minutos) con la cual el
servidor ESM vuelve a enviar hashes a WildFire para los archivos desconocidos. Un archivo
puede tener un veredicto desconocido si es la primera vez que un endpoint envía el hash al
servidor o si WildFire no ha analizado todavía el archivo o no ha terminado de analizarlo (el
intervalo es 1 a 20.160; el valor por defecto es 30).

STEP 4 | En el campo Known Verdicts Recheck Interval (Intervalo de comprobación de veredictos


conocidos), introduzca la frecuencia (en minutos) con la que el servidor ESM vuelve a consultar
a WildFire por el valor de hashes conocidos benignos o maliciosos (el intervalo es 1 a 20.160; el
valor por defecto es 1440).

172 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 5 | En el campo Upload Retry Interval (Minutes) [Intervalo de intento de carga (minutos)],
introduzca la frecuencia (en minutos) con la cual el servidor ESM intenta volver a cargar los
archivos que no se cargaron correctamente en WildFire (el intervalo es 1 a 20.160; el valor por
defecto es 1440).

STEP 6 | Introduzca la dirección web de WildFire (por ejemplo, https://wildfire.paloaltonetworks.com)


que ESM utilizará para comprobar los hashes y enviar muestras. Para enviar muestras a un
dispositivo local WF-500, consulte Configuración de una nube privada de WildFire.

La WildFire API Key (Clave API de WildFire) será necesaria solo una nube privada de
WildFire.

STEP 7 | Por defecto, el servidor ESM envía archivos de hasta 100 MB a WildFire para su análisis. Para
cambiar el Maximal File Size (MB) [Tamaño máximo de archivo (MB)], introduzca un valor
entre 1 y 100 MB. Los archivos que exceden el tamaño máximo no se envían a WildFire ni
automáticamente ni manualmente.

STEP 8 | Guarde sus cambios.

Configuración de una nube privada de WildFire


En implementaciones en las que se aplican normativas legales y de privacidad que restringen la
transferencia de archivos fuera de su red, puede configurar su ESM para que se integre con una nube de
WildFire privada. Para configurar la nube privada, debe instalar un dispositivo WF-500 en sus instalaciones.
Este dispositivo admite hasta 40 000 agentes de Traps.

Cuando un archivo desconocido trata de ejecutarse en sus endpoints, el WF-500 consulta a la nube pública
de WildFire para recibir el veredicto y analiza el archivo ejecutable en el espacio aislado privado local.
De forma predeterminada, el WF-500 no envía el malware que descubre fuera de su red. Sin embargo,
puede configurarlo para que lo reenvíe automáticamente a la nube pública de WildFire con el fin de generar
y distribuir firmas a todos los cortafuegos de Palo Alto Networks con licencias de Threat Prevention y
WildFire. De lo contrario, el WF-500 solo reenvía a la nube pública de WildFire el informe de malware (no la
muestra en sí misma).
Para permitir que el servidor ESM verifique y confíe en la identidad del WF-500, ha de solicitar el certificado
de CA raíz WF-500, que deberá importar en cada servidor ESM, al equipo de asistencia técnica.
Para integrar una aplicación WF-500 en su implementación de ESM, siga estos pasos:

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 173


© 2017 Palo Alto Networks, Inc.
STEP 1 | Importe el certificado de CA raíz WF-500 (Palo Alto Networks Root CA 1) en el almacén
de certificados de entidades de certificación raíz de confianza (Trusted Root Certification
Authorities) de cada servidor ESM.
1. Póngase en contacto con el equipo de asistencia técnica para obtener el certificado de CA raíz
WF-500 y guárdelo en una ubicación a la que pueda acceder desde el servidor ESM.
2. En el servidor ESM, abra Microsoft Management Console (MMC.exe).
3. Seleccione File (Archivo) > Add/Remove Snap-In (Añadir/eliminar complemento) > Certificates
(Certificados) y añada el complemento de certificados en la cuenta del equipo.
4. Seleccione Local Computer (Equipo local) > Finish (Finalizar) y haga clic en OK (Aceptar).
5. Expanda la carpeta Certificates (Local Computer) [Certificados (Equipo local)].
6. Haga clic con el botón secundario en Trusted Root Certification Authorities (Entidades de
certificación raíz de confianza) y seleccione All Tasks (Todas las tareas) > Import (Importar) > Next
(Siguiente).
7. Busque el certificado que guardó en el paso anterior y haga clic en Next (Siguiente). El asistente de
importación de certificados muestra información detallada del certificado de CA raíz de confianza.
8. Haga clic en Finalizar.

STEP 2 | Configure WildFire Integration en la consola ESM.

1. Consiga su clave de API para el dispositivo WF-500 y cópiela en la memoria.


2. En la consola ESM, seleccione Settings (Ajustes) > ESM > WildFire.
3. Seleccione Use Private Cloud (Requires a WF-500 appliance) [Usar nube privada (requiere un
dispositivo WF-500)].
4. Introduzca la WildFire Address (Dirección de WildFire) del WF-500:
• Hostname (Nombre de host): si el WF-500 tiene un nombre de host establecido, introdúzcalo
en la WildFire Address (Dirección de WildFire) (por ejemplo: https://HostName/). Debe
asegurarse de que haya un registro DNS que asigne el nombre de host a la dirección IP del
WF-500.
• Hostname and domain (Nombre de host y dominio): si el WF-500 tiene un nombre de host y un
dominio establecidos, use el FQDN en la WildFire Address (Dirección de WildFire) (por ejemplo:
https://HostName.DomainName/). Debe asegurarse de que haya un registro DNS que asigne
el FQDN a la dirección IP del WF-500.
• No hostname or domain (Sin nombre de host ni dominio): si el WF-500 no tiene un par de nombre
de dominio y de host, use la dirección IP del WF-500 como WildFire Address (Dirección de
WildFire) (por ejemplo: https://172.10.10.10/).
5. Pegue la WildFire API Key (Clave API de WildFire) de la memoria.
6. Pulse Save (Guardar) para guardar la configuración de WildFire.

174 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 3 | Para verificar la conectividad entre el servidor ESM y el dispositivo WF-500 local, vuelva a
comprobar un veredicto de hash con WildFire.
1. Seleccione Policies (Políticas) > Hash Control (Control de hashes).
2. Seleccione un registro en la tabla de control de hashes.
3. Seleccione Recheck Verdict (Volver a comprobar veredicto). Si la conexión es correcta, el WF-500
devuelve un veredicto. De lo contrario, el veredicto será No Connection (Sin conexión).

Configuración de una regla de WildFire


Las reglas de WildFire determinan el modo en que Traps detecta el malware y reacciona a él en sus
endpoints. Puede crear o editar reglas de WildFire en la página de administración de reglas de WildFire
(Policies [Políticas] > Malware > WildFire). Al configurar una regla de WildFire, puede habilitar cualquiera
de estas funcionalidades de Traps:
• Enviar al usuario notificaciones relativas al malware en el endpoint
• Efectuar con el malware la acción deseada (bloquearlo, permitirlo previa notificación o permitirlo y
registrar el evento en segundo plano)
• Aplicar al grayware la misma medida que al malware
• Enviar archivos desconocidos ejecutables y archivos que contienen macros [al servidor ESM] para que
WildFire los analice
• Realizar un análisis local para obtener el veredicto de un archivo
• Ponga en cuarentena los archivos identificados localmente en el endpoint.
• Bloquear los archivos desconocidos cuando no disponga del veredicto de WildFire
• Bloquear los archivos desconocidos cuando no se pueda acceder al servidor ESM
Por defecto, las reglas de WildFire se aplican a todos los usuarios. Si lo necesita, puede personalizar distintas
configuraciones de WildFire para usuarios concretos o grupos de usuarios diferentes creando una regla de
WildFire para uno de ellos.

STEP 1 | Verifique que los componentes del ESM se han configurado correctamente para comunicarse
con WildFire.
Consulte Configurar el ESM para comunicarse con WildFire.

STEP 2 | Configure una nueva regla de WildFire.


1. Seleccione Policies (Políticas) > Malware > WildFire.
2. En el menú de acción , seleccione Add (Añadir).
3. Elija el tipo de archivo al que desea analizar con WildFire, Executable Files (archivos ejecutables) o
Office Files (Archivos de Office).

STEP 3 | Para activar el módulo de WildFire para permitir que Traps pueda calcular y comprobar
los veredictos de hash y compararlos con su caché local de hashes, establezca Activation
(Activación) en On (Activado).

STEP 4 | Configure en Action (Acción) el comportamiento que Traps debe adoptar al detectar malware.
• Seleccione Inherit (Heredar) para usar el comportamiento que establece la política por defecto
(Prevention).
• Seleccione Prevention (Prevención) para bloquear el archivo ejecutable.
• Seleccione Notification (Notificación) para permitir que el usuario abra el archivo, cree un log del
problema e informe al usuario del archivo malicioso.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 175


© 2017 Palo Alto Networks, Inc.
• Seleccione Learning (Aprendizaje) para permitir que el usuario abra un archivo malicioso y el sistema
cree un log del problema en segundo plano sin informar al usuario.

STEP 5 | Indique si Traps debe avisar al usuario de los archivos maliciosos.


En la lista desplegable User Alert (Alertas de usuario), seleccione On (Activado) para notificar al usuario
u Off (Desactivado) para registrar el evento en segundo plano.

STEP 6 | (ESM 4.0.1 y posterior) Para eximir un archivo de la supervisión de WildFire, añada el archivo a la
lista blanca.
La colocación de archivos en la lista blanca o lista de permitidos puede ser útil si el valor de hash
asociado cambia pero el nombre de archivo se mantiene igual. Por ejemplo, veamos una aplicación como
GoToMeeting, que crea un archivo ejecutable nuevo con el mismo nombre de archivo y un valor de
hash único cada vez que inicia la aplicación. En este caso, para eximir GoToMeeting de la supervisión de
WildFire, debe añadir a la lista blanca la ruta completa para GoToMeeting.exe.

Si no espera que el valor de hash asociado a un archivo cambie y desea colocar


el archivo en la lista blanca, recomendamos que configure una anulación del hash
administrativa para el veredicto.

1. haga clic en el icono encima de la lista blanca.


2. Seleccione Add (Añadir) la ruta completa del archivo. Traps ignorará los ejecutables o macros que se
ejecuten desde los archivos especificados en estas rutas.

La lista blanca también admite las mismas variables de entorno y comodines que
puede usar en reglas de restricción. Por ejemplo, para permitir que un archivo en
la ruta C:\temp\myfilename.exe se ejecute, añada la ruta a la lista blanca.
O para permitir que myfilename.exe se ejecute, independientemente de dónde
está almacenado myfilename.exe, puede utilizar comodines para definir la ruta
completa como *\myfilename.exe.
3. Repita este proceso para especificar archivos adicionales.
4. Seleccione la opción Whitelist Action (acción de lista blanca) para Merge (Fusionar) o Override
(Anular) la lista blanca con listas definidas en otras reglas de políticas por defecto o definidas por el
usuario.
• Cuando son varias reglas, especifique List Action: (Acción de lista:) Merge (Fusionar), Traps
combina la Whitelist (Lista blanca).
• Cuando son varias reglas, especifique List Action: (Acción de lista:) Override (Anular), solo la regla
más reciente (con el número de ID más alto) prevalece.

STEP 7 | Configure el comportamiento de la integración de WildFire para el tipo de archivo:

Le recomendamos habilitar todas las funcionalidades de WildFire para sacar el máximo


provecho a la integración de WildFire.

Archivos ejecutables:
• Upload Files for WildFire Analysis (Cargar archivos para que WildFire los analice): establezca este
valor como On (Activado) para permitir que Traps envíe archivos ejecutables desconocidos al ESM,
que a su vez envía los archivos a WildFire para su correspondiente análisis.
• Apply Malware Verdict on Grayware (Aplicar veredictos de malware a grayware): establezca esta
opción en On (Activada) para considerar todo el grayware como malware. De lo contrario, si esta
opción está Off (Desactivada), el sistema considerará que el grayware es benigno y no lo bloqueará.

176 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
• Enable Local Analysis on Unknown Files (Habilitar análisis local de archivos desconocidos): establezca
esta opción en On (Activada) para permitir que Traps utilice aprendizaje automático integrado para
determinar las posibilidades de que un archivo ejecutable sea malware y emita un veredicto local
para el archivo. Cuando esta opción está Off (Desactivada) y está configurada para bloquear archivos
desconocidos, los usuarios no podrán abrir los archivos ejecutables desconocidos. Por tanto, el
archivo desconocido permanece bloqueada hasta que Traps recibe un veredicto oficial de WildFire.
• Quarantine Prevented Files(Colocar archivos en cuarentena preventiva): establezca esta opción
en On (Activada) para permitir que Traps ponga en cuarentena archivos de malware ubicados en el
endpoint. Un archivo se considera malware si una de las fuentes a continuación emitió un veredicto
de malware para el archivo: WildFire, la anulación de una política administrativa o un análisis local.
Establezca esta opción en Off (Desactivada) para permitir que el malware permanezca en el endpoint,
en su ubicación original. La función de cuarentena no está disponible para el malware identificado en
unidades de red.
• WildFire Verdict is Unavailable (Veredicto de WildFire no disponible): establezca esta opción en
Block Unknowns (Bloquear desconocidos) o Allow Unknowns (Permitir desconocidos) cuando las
caché local y del servidor no reconocen el archivo.

Traps permite abrir por defecto este tipo de archivos; no obstante, si se ha habilitado
el análisis local, Traps siempre emitirá un veredicto de cualquier archivo ejecutable
desconocido. Por lo tanto, cuando se habilitan, estas opciones solo se aplican a los
agentes para los que no se ha habilitado el análisis local o que utilizan Traps 3.3.
• ESM Unreachable (ESM inaccesible): establezca esta opción en Block Unknowns (Bloquear
desconocidos) o Allow Unknowns (Permitir desconocidos) cuando Traps no puede acceder al
servidor ESM para consultar un veredicto o enviar el archivo para su análisis.
Archivos de Office:
• Upload Files with Macros for WildFire Analysis (Cargar archivos con macros para que WildFire los
analice): establezca esta opción en On (Activada) para permitir que el servidor ESM envíe archivos
que ha recibido de los agentes de Traps y que contienen macros desconocidas a WildFire para su
análisis.

STEP 8 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 9 | (Opcional) Indique en Objetos de destino los objetos de destino a los que se debe aplicar la regla
de WildFire. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 10 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 177


© 2017 Palo Alto Networks, Inc.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 11 | Guarde la regla de WildFire.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, selecciónela en la
página Policies (Políticas) > Malware > WildFire y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Tras guardar o aplicar una regla, puede regresar a la página WildFire en cualquier momento y elegir
Delete (Eliminar) o Deactivate (Desactivar) para eliminar o desactivar la regla respectivamente.

178 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Gestión de hashes para archivos
• Visualizar y buscar hashes on page 179
• #unique_209
• Ver un informe de WildFire on page 185
• Cancelación de un veredicto de WildFire on page 186
• Revisar una decisión de WildFire on page 187
• Informe de veredicto incorrecto on page 188
• Cargar un archivo en WildFire para su análisis on page 188
• Gestionar configuración de cuarentena on page 189
• Restauración de un archivo en cuarentena on page 189

Visualizar y buscar hashes


La página Hash Control (Control de hashes) muestra una tabla de todos los hashes y sus veredictos
para archivos ejecutables y archivos que contienen macros informados por los agentes de Traps de su
organización.

• Filtrar registros de Hash Control on page 179


• Condiciones de búsqueda del hash de archivo on page 181

Filtrar registros de Hash Control


Para ayudarle a responder rápido ante la actividad de malware, puede filtrar fácilmente los resultados de la
página Hash Control con una o varias condiciones de búsqueda.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).

STEP 2 | Filtre los resultados que se muestran en la página Hash Control de una de estas maneras:
Importar y ejecutar una consulta de búsqueda previamente guardada
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione Import Search (Importar búsqueda).
3. Haga clic en Browse (Examinar), navegue a un archivo XML que contenga una consulta de búsqueda
previamente guardada y haga clic en Upload (Cargar) para cargarlo. La página Hash Control (Control
de hashes) aplica automáticamente la consulta de búsqueda importada.
Usar una consulta de búsqueda predefinida
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione una de las siguientes consultas de búsqueda predefinidas:

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 179


© 2017 Palo Alto Networks, Inc.
• Malware descubierto el último día
• Malware descubierto la última semana
• Restore candidates (Restaurar candidatos): muestra los archivos que se encuentran en cuarentena
y que se pueden restaurar.
• Last 1000 manual overrides (Últimas 1000 cancelaciones manuales): muestra los archivos con una
política administrativa de control de hashes para cancelar el veredicto oficial de WildFire.
• Last 1000 unknown files (Últimos 1000 archivos desconocidos): muestra los archivos que no se
han enviado a WildFire para que los analice o cuyo veredicto oficial de WildFire es "desconocido".
• Last 1000 upload errors (Últimos 1000 errores de carga): muestra todos los archivos que han
presentado errores en el envío a WildFire.
La página Hash Control (Control de hashes) muestra hasta 1000 registros que coinciden con sus
condiciones de búsqueda predefinidas.
Realizar una consulta de búsqueda compleja

1. Indique si desea aplicar Any (Cualquiera) de las condiciones que especifique (parecida a una
operación de OR) o All (Todas) ellas (parecida a una operación AND).
2. Para borrar todas las condiciones de búsqueda anteriores, haga clic en . O bien, para borrar solo un
término de búsqueda, haga clic en junto a la condición que desee eliminar.
3. Seleccione una condición de búsqueda, un operador y un valor. Si desea conocer de qué opciones
dispone, consulte Condiciones de búsqueda de archivos hash.
4. Para añadir más condiciones de búsqueda, haga clic en junto a la condición. La página Hash
Control (Control de hashes) añadirá una condición de búsqueda adicional para que la configure.
5. Cuando acabe de añadir condiciones, haga clic en Search (Buscar). La página Hash Control (Control
de hashes) muestra hasta 1000 registros que coinciden con sus condiciones de búsqueda.

STEP 3 | (Opcional) Para ejecutar su consulta de búsqueda en otro momento, expórtela a un archivo.
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione Export Search (Exportar búsqueda). La consola ESM guarda los parámetros de su
búsqueda en un archivo XML.

180 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Condiciones de búsqueda del hash de archivo
Los campos de búsqueda de la parte superior de la página Hash Control (Control de hashes) le permitirán
filtrar con una o varias condiciones de búsqueda. En consultas de búsqueda con varias condiciones, puede
buscar resultados que coincidan con All (Todas) o bien Any (Cualquiera) de las condiciones de búsqueda.
También puede elegir entre las consultas de búsqueda predefinidas para acceder rápidamente a los registros
que requieren acciones adicionales. Por ejemplo, puede usar las consultas predefinidas para consultar
el malware descubierto en las últimas 24 horas, o puede identificar el malware que se ha puesto en
cuarentena en el endpoint (candidatos de restauración). También puede importar una consulta de búsqueda
previamente guardada o exportarla para volver a usarla más adelante.
El motor de búsqueda de la consola ESM busca en la base de datos ESM registros que coincidan con las
condiciones de búsqueda y devuelve hasta 1000 resultados coincidentes. Las búsquedas que devuelven una
lista larga de resultados pueden tardar varios segundos en finalizar.
Esta tabla muestra las condiciones de búsqueda que puede emplear para filtrar registros de hash.

Table 3: Condiciones de búsqueda del hash de archivo

Condición Operadores DESCRIPTION

Endpoint • is (es) Nombre del endpoint, o lista de


• is in list (está en la lista) endpoints separados por saltos
• is not in list (no está en la de línea
lista)
• isn’t (no es)

Nombre de archivo • is (es) Nombre de acceso completo o


• is in list (está en la lista) parcial (archivos de Microsoft
• is not in list (no está en la Office que contengan macros,
lista) archivos ejecutables o archivos
• isn’t (no es) Mach-object [Mach-o]), o lista de
nombres de archivo separados
• contiene
por saltos de línea

File Size • greater than (mayor que) Tamaño de archivo en MB


• less than (menor que)

File Type • is (es) Uno de los tipos de archivo


• is in list (está en la lista) siguientes:
• PE: archivo ejecutable
portátil
• Mach-o: archivos Mach-
object para macOS
• Office File (Archivo Office):
archivos de Microsoft Office
que contienen macros

First Seen • after (después) Fecha y hora en las que el


• before (antes) archivo se mostró por primera
vez en Traps

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 181


© 2017 Palo Alto Networks, Inc.
Condición Operadores DESCRIPTION

Last Seen • after (después) Fecha y hora en las que el


• before (antes) archivo se mostró por última vez
en Traps

Módulo • is (es) Módulo que emitió el veredicto:


• is in list (está en la lista) WildFire, Hash Control o Local
• is not in list (no está en la Analysis
lista)
• isn’t (no es) Utilice el
operador "was/
wasn't" (fue/
no fue) para
identificar
cambios en
el origen de
un veredicto.
Por ejemplo,
establezca estas
condiciones
de búsqueda
para identificar
hashes cuyos
veredictos
los emitió
anteriormente
Local Analysis,
pero ahora
los ha emitido
WildFire:
(Module was
Local Analysis)
y (Module is
WildFire).

Número de endpoints • is (es) Cantidad de endpoints en los


• greater than (mayor que) que se mostró el archivo
• less than (menor que)

Estado de cuarentena • is (es) Estado del archivo en la


• isn’t (no es) cuarentena; uno de los
siguientes:
• Yes (Sí): Traps puso el
archivo en cuarentena
correctamente.
• No: Traps no pudo poner el
archivo en cuarentena.
• Pending Restore
(Restauración pendiente):
Traps está tratando de
restaurar un archivo de la
cuarentena.

182 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Condición Operadores DESCRIPTION
• Failed (Fallo): Traps no pudo
restaurar un archivo de la
cuarentena.
• Restore succeeded
(Restauración correcta):
Traps restauró correctamente
un archivo de la cuarentena.
• Quarantine record deleted
(Registro de cuarentena
eliminado): se ha eliminado
el registro de la cuarentena.
Puede suceder cuando Traps
recibe una regla de acción
para que purgue los datos
de prevención, o cuando
se alcanza la capacidad
de almacenamiento de la
carpeta y por ello Traps purga
automáticamente los archivos
antiguos.

SHA256 • is (es) Valor de hash completo o


• is in list (está en la lista) parcial, o lista de valores de hash
• is not in list (no está en la separados por saltos de línea
lista)
• isn’t (no es)
• contiene

Upload Status • is (es) Estado de la carga a WildFire;


• isn’t (no es) uno de los siguientes:
• No information supplied
(No se ha proporcionado
información): no se requiere
cargar el archivo porque
WildFire ya lo ha analizado.
• Upload in progress (Carga en
curso): se ha iniciado la carga
del archivo.
• Upload succeeded (Carga
completada correctamente):
el servidor ESM ha recibido el
archivo del endpoint.
• Upload failed (Error al
cargar): Traps no ha podido
cargar el archivo al servidor
ESM.
• Upload limit exceeded
(Límite de carga superado):
no se ha cargado el archivo
porque superaba el máximo
de carga permitido (100 MB

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 183


© 2017 Palo Alto Networks, Inc.
Condición Operadores DESCRIPTION
de forma predeterminada,
o según lo que indique la
configuración de WildFire).

Verdict • is (es) Veredicto independiente del


• isn’t (no es) origen (WildFire, Local Analysis o
• was (fue) Hash Control): Benign (Benigno),
• wasn’t (no fue) Malware, Grayware, Unknown
(Desconocido) o No Connection
(Sin conexión). Utilice los
operadores "was/wasn’t" para
buscar veredictos anteriores
(todos aquellos que figuren en el
historial).

Veredictos WildFire • is (es) Veredicto oficial de WildFire:


• isn’t (no es) Benign (Benigno), Malware,
Grayware, Unknown
(Desconocido) o No Connection
(Sin conexión).

Puede emplear
esta condición
de búsqueda
para localizar
hashes con
veredictos
distintos del
de WildFire.
Por ejemplo,
establezca estas
condiciones
de búsqueda
para identificar
archivos
bloqueados por
una cancelación
administrativa
(Hash Control),
pero que
WildFire
considera
benignos:
(WildFire Verdict
is Benign [El
veredicto de
WildFire es
benigno]) y
(Verdict is
Malware [El
veredicto es
malware]).

184 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
Ver un informe de WildFire
Para facilitar las decisiones de control de hash, puede visualizar una copia del informe de WildFire para cada
archivo ejecutable que WildFire analiza. El servidor ESM almacena el informe y lo pone a disposición en la
página Hash Control (Control de hashes) de la consola ESM. Cada informe contiene información de archivo,
un resumen de conducta acerca del archivo ejecutable y detalles sobre la red y la actividad del host.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes)

STEP 2 | Busque y seleccione el hash para el que le gustaría ver el informe.

STEP 3 | Haga clic en Informe de WildFire. La consola ESM muestra el informe de caché.

STEP 4 | Revise el informe y tome medidas adicionales, según fuera necesario:


• Cancelación de un veredicto de WildFire
• Revisar una decisión de WildFire
• Informe de veredicto incorrecto

Ver el historial de un veredicto


El historial de cambios de un veredicto le ayuda a identificar el proceso de cambios que se han producido en
un veredicto y el origen (módulo) de todos los veredictos aplicados. En la página Hash Control (Control de
hashes) puede ver el historial de cambios de un veredicto asociado a cada registro de hash de archivo.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 185


© 2017 Palo Alto Networks, Inc.
El ESM comenzará a registrar el historial de cambios de veredictos en cuanto actualice el Endpoint Security
Manager 4.0 (la consola ESM no identifica cambios de veredictos de forma retroactiva, como ocurría en
versiones anteriores).
Para que la consola ESM registre un cambio de veredicto, Traps debe haberlo aplicado a uno o varios
agentes. Los veredictos de WildFire y Hash Control se muestran en la lista según el orden en que se aplican,
y los de Local Analysis se incluyen al final.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).

STEP 2 | Seleccione el registro de un hash. Si lo necesita, filtre los registros de Hash Control para acotar
los registros que se muestran en la consola ESM.

STEP 3 | En la sección Previously Reported Verdicts (Veredictos notificados previamente), puede


consultar hasta cinco de los veredictos más recientes que se aplicaron en un agente.

STEP 4 | Para consultar información detallada de los endpoints que han abierto el archivo asociado con
el hash, seleccione Agent List (Lista de agentes).

Cancelación de un veredicto de WildFire


Puede cancelar localmente un veredicto de WildFire para permitir o bloquear un archivo sin que afecte el
veredicto en WildFire. Esto puede ser de utilidad cuando se necesita crear una excepción para un archivo
específico en situaciones o endpoints específicos sin alterar la política de seguridad global. Tras cancelar el
veredicto, la consola ESM muestra cualquier cambio en el veredicto de WildFire en la página Hash Control
(Control de hashes). La cancelación permanece activa hasta su eliminación, momento en el que vuelve al
último veredicto conocido por el servidor.
Por ejemplo, considere un caso en el que WildFire devuelve un veredicto sobre un hash específico e indica
que el archivo es desconocido. Si su política de seguridad está configurada para bloquear todos los archivos
desconocidos y usted cree que el archivo es benigno, puede cancelar la política para permitir la ejecución de
un archivo específico sin alterar la política global. Más tarde, si WildFire devuelve un nuevo veredicto que
indica que el archivo ha sido analizado y se ha determinado que es malicioso, verá el cambio de veredicto
en la página Hash Control (Control de hashes). En ese caso, puede eliminar la cancelación y permitir que la
política de seguridad bloquee el archivo malicioso.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).

186 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 2 | Para visualizar el veredicto de WildFire para un hash específico, proceda con una de las
opciones siguientes:
• Utilice la búsqueda de la parte superior de la página para buscar un valor de hash o nombre de
proceso.
• Utilice los controles de paginado de la parte superior derecha de cada página para ver diferentes
partes de la tabla.

STEP 3 | Para visualizar los endpoints en los cuales un usuario ha intentado abrir el archivo ejecutable,
seleccione Agent List (Lista de agentes) (disponible únicamente cuando hay cinco instancias o
más de un hash de proceso).

STEP 4 | Revise el informe de WildFire del archivo ejecutable para validar su decisión de cancelar el
veredicto. Consulte Visualizar informes de WildFire.

STEP 5 | Seleccione un registro de hash y a continuación haga clic en Treat as Benign (Tratar como
benigno) para permitir que el archivo ejecutable se ejecute o haga clic en Treat as Malware
(Tratar como malware) para bloquear la ejecución del archivo. Esta cancelación no afecta el
veredicto oficial de WildFire, pero sí cambia el veredicto en la política de seguridad local para
su organización. Si sospecha que un veredicto de WildFire es incorrecto, considere informar el
problema a Palo Alto Networks. Consulte Informe de veredicto incorrecto.

STEP 6 | Revise periódicamente todos los errores de coincidencia entre el veredicto oficial de WildFire y
su acción de política local.

STEP 7 | Cuando la anulación ya no sea necesaria, elimínela. En el menú de acción , seleccione Revert
to WildFire Verdict (Revertir a veredicto de WildFire). La consola ESM revierte el veredicto al
último estado conocido por el servidor ESM.

Revisar una decisión de WildFire


Si sospecha que WildFire ha cambiado el veredicto de un archivo, puede forzar al servidor ESM para que
consulte en WildFire el veredicto actualizado. Si la respuesta de WildFire indica un cambio en el veredicto,
el servidor ESM actualiza el veredicto en su caché de servidor local. A continuación, en la siguiente
comunicación heartbeat con agentes de Traps, el servidor ESM comunica el veredicto a cualquier endpoint
en el que un usuario ha intentado abrir el archivo ejecutable.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).

STEP 2 | Para visualizar el veredicto de WildFire para un hash específico, proceda con una de las
opciones siguientes:
• Utilice la búsqueda de la parte superior de la página para buscar un valor de hash o nombre de
proceso.
• Utilice los controles de paginado de la parte superior derecha de cada página para ver diferentes
partes de la tabla.

STEP 3 | Seleccione el registro de hash para visualizar detalles adicionales sobre el hash de proceso y
luego haga clic en Recheck (Volver a comprobar). Para volver a comprobar varios registros
al mismo tiempo, seleccione la casilla de verificación para cada registro de hash y luego
seleccione Recheck with WildFire (Volver a comprobar con WildFire) en el menú de acción
. Estas acciones inician una consulta inmediata a WildFire.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 187


© 2017 Palo Alto Networks, Inc.
Informe de veredicto incorrecto
Cuando desee que WildFire vuelva a analizar un archivo y cambie su veredicto oficial, puede usar la función
Report Incorrect Verdict (Informar veredicto incorrecto) en la página Policies (Políticas) > Malware > Hash
Control (Controles de hashes) de la consola ESM. Esta acción marca una muestra para su posterior análisis
por parte de Palo Alto Networks.
Al informar un veredicto de archivo incorrecto, puede proporcionar su dirección de correo electrónico
e información adicional sobre por qué considera que el veredicto es incorrecto. Si elige proporcionar su
dirección de correo electrónico, recibirá una notificación por correo electrónico con los resultados del
análisis. Si WildFire cancela el veredicto, la consola ESM muestra el veredicto actualizado en la página Hash
Control (Control de hashes).

STEP 1 | Ubique el veredicto e infórmelo a WildFire.


1. En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de hashes).
2. En el campo de búsqueda, introduzca el valor de hash completo o parcial, o el nombre del proceso y
luego haga clic en el icono de búsqueda para filtrar la lista de hashes.
3. Seleccione la fila para ampliar los detalles del hash y luego haga clic en Report as Incorrect (Informar
como incorrecto).

STEP 2 | Complete el informe con detalles que indiquen por qué el veredicto es incorrecto.
1. Revise la información de la muestra y verifique el veredicto que está informando.
2. (Opcional) Introduzca una dirección de correo electrónico para recibir una notificación de correo
electrónico después de que Palo Alto Networks complete el análisis adicional.
3. (Opcional pero recomendado) Introduzca los detalles que puedan ayudarnos a comprender mejor por
qué no está de acuerdo con el veredicto.
4. Haga clic en Submit (Enviar).

Cargar un archivo en WildFire para su análisis


Antes de la integración de la solución de Traps normalmente WildFire solo analizaba un archivo ejecutable si
se enviaba o se cargaba desde el cortafuegos, o si se enviaba usando el portal de WildFire. Esto significaba
que algunos archivos ejecutables, aunque fueran frecuentes, podían no ser analizados porque no era común
enviarlos utilizando métodos tradicionales. Para reducir el número de archivos ejecutables desconocidos
para el servidor ESM y WildFire, usted puede enviar de forma manual o automática los archivos ejecutables
desconocidos a WildFire para su análisis inmediato. Para enviar archivos desconocidos directamente a
WildFire, consulte Configurar el ESM para comunicarse con WildFire.
Si se deshabilita la opción de envío automático de archivos desconocidos, puede cargar manualmente un
archivo, caso por caso. Cuando un usuario abre un archivo ejecutable desconocido, Traps carga el archivo
en la carpeta forense (siempre y cuando el archivo no supere el tamaño máximo configurado en el Paso 8
Configurar el ESM para comunicarse con WildFire ). A continuación, cuando se inicia una carga manual del
archivo, el servidor ESM envía el archivo desde la carpeta forense a WildFire.
Cuando WildFire completa su análisis y devuelve el veredicto y el informe, el servidor ESM envía el
veredicto cambiado a todos los agentes de Traps e implementa la política.
Según crece el número de agentes que habilitan el envío automático de archivos desconocidos o que se
envían manualmente, se espera que el número total de archivos desconocidos se reduzca significativamente
para todos los usuarios.

STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes)

188 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 2 | Para visualizar el veredicto de WildFire para un hash específico, proceda con una de las
opciones siguientes:
• Utilice la búsqueda de la parte superior de la página para buscar un valor de hash o nombre de
proceso.
• Utilice los controles de paginado de la parte superior derecha de cada página para ver diferentes
partes de la tabla.
• Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de la columna para
especificar hasta dos conjuntos de criterios para la filtración de los resultados. Por ejemplo, filtre la
columna Veredict (Veredicto) para archivos desconocidos.

STEP 3 | Seleccione la fila para ver detalles adicionales acerca del hash del proceso y seleccione Cargar
para cargar el archivo en WildFire.

Gestionar configuración de cuarentena


Para evitar que el malware dañe datos o sistemas, puede habilitar Traps para que ponga archivos en
cuarentena.
Antes de que Traps empiece a poner archivos en cuarentena:
Habilite Traps para que ponga archivos en cuarentena según una regla de WildFire. Consulte
Configuración de una regla de WildFire. Cuando habilite a Traps para que coloque archivos en
cuarentena, Traps pondrá en cuarentena cualquier malware que identifique a nivel local en el endpoint.
Ajuste la cuota de almacenamiento para logs de eventos (consulte Definir las preferencias de logging
de eventos). Traps almacena los archivos en cuarentena en la misma ubicación que los logs. Cuando la
carpeta de almacenamiento alcanza la cuota máxima, Traps elimina los logs de eventos más antiguos para
liberar espacio para los logs nuevos.
Debido a que Traps solo puede poner en cuarentena archivos de malware locales y no está habilitado
para poner en cuarentena malware almacenado en carpetas de red, recomendamos que habilite el
logging de eventos de File Quarantine Failed (Error de archivo en cuarentena) (consulte Envío de logs
a una plataforma de logging externa y seleccione el evento de File Quarantine Failed (Error de archivo
en cuarentena) en la sección Ajustes - Agente). Este permite que pueda recibir alertas acerca de eventos
que requieren una resolución manual.

Restauración de un archivo en cuarentena


Cuando se inicia el malware en el endpoint de Windows y Traps está configurado para poner archivos en
cuarentena, este actúa de inmediato con el archivo ejecutable malicioso. Para determinar si un archivo
ejecutable es malicioso, Traps obtiene información de estas fuentes:
• Información de amenazas de WildFire
• Análisis locales
• Política administrativa de control de hash (una anulación de veredicto configurada en la caché del
servidor ESM)
Cuando una de estas fuentes detecta malware, Traps lo traslada de la carpeta local o del disco duro
extraíble a una carpeta de cuarentena local (%PROGRAMDATA%\Cyvera\Quarantine). Si están habilitadas
las alertas de usuario, Traps también le avisa de que se ha puesto un archivo en cuarentena.
Si basándose en la información de amenazas disponible —como la de WildFire o AutoFocus— considera
que el archivo que se ha puesto en cuarentena no es malware y es benigno, puede actualizar la política
de control de hashes y devolver el archivo ejecutable a su ubicación original (al endpoint o a una unidad
extraíble).

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 189


© 2017 Palo Alto Networks, Inc.
Cuando el mismo archivo de malware (mismo nombre de archivo y hash) se ejecuta desde
varias ubicaciones, la página Hash Control (Control de hashes)solo muestra información de
la última instancia. En consecuencia, si elige restaurar un archivo, solo podrá restaurar la
última instancia.

Cada vez que restaura un archivo ejecutable, la consola ESM envía una regla de acción de una sola vez al
agente para que restaure el archivo. También puede usar Cytool para ver y restaurar archivos que se han
puesto en cuarentena (consulte Restauración de un archivo en cuarentena con Cytool). Para ver los estados
de cuarentena y restauración, consulte los logs o configure el ESM para que los envíe a un servidor de logs
externo.

STEP 1 | Compruebe los archivos de la cuarentena.


Cada vez que Traps pone un archivo en cuarentena, la consola ESM registra un evento de cuarentena.
También actualiza el registro de control de hashes para que refleje el estado de la cuarentena y la
cantidad de endpoints en los que se ha puesto el archivo en cuarentena.
1. Inicie sesión en la consola de ESM y seleccione Policies (Políticas) > Malware > Hash Control
(Control de hashes).
2. En el menú de acción , seleccione Restore Candidates (Restaurar candidatos). La consola ESM
filtra los resultados para reflejar solo los archivos que se encuentran en cuarentena. También puede
filtrar la columna Quarantined (En cuarentena) por el valor Sí. (Para regresar a la vista de hashes sin
filtrar y actualizar los resultados, anule el filtro de la parte superior de la tabla o seleccione Hash
Control [Control de hashes] en el menú de navegación de la izquierda).
3. Para conocer más información del archivo ejecutable, seleccione la fila de un registro de hash. La fila
se ampliará y mostrará campos adicionales.
4. Para ver los endpoints en los que se ha puesto el archivo ejecutable en cuarentena, haga clic en
Agent List (Lista de agentes). La columna Quarantined Status (Estado de cuarentena) indica si la
puesta en cuarentena ha culminado con éxito en cada endpoint. Haga clic en la x para cerrar la lista
de agentes.

STEP 2 | Configure una política administrativa de control de hash para el archivo ejecutable. Cada vez
que un usuario trate de iniciar un archivo ejecutable, Traps determinará si es malware y si
debe ponerlo en cuarentena. Si decide restaurar un archivo ejecutable y no cambia la política
de control de hashes, la siguiente vez que un usuario trate de iniciar el archivo, Traps volverá
a bloquearlo y a ponerlo en cuarentena. Por tanto, para evitar que Traps siga bloqueando y
poniendo un determinado archivo en cuarentena, debe configurar una política administrativa
de control de hash para que trate al archivo como benigno con la opción Treat as Benign
(Tratar como benigno).
En la vista de información ampliada del registro de hash, seleccione Treat as Benign (Tratar como
benigno). También puede marcar la casilla de la fila o las filas correspondientes y seleccionar Treat as
Benign (Tratar como benigno) en el menú de acción . De esta forma, el veredicto de la caché del
servidor pasará de Malware a Benign (Benigno).

STEP 3 | Restaure un archivo de la cuarentena.


En la vista de información ampliada del registro de hash, haga clic en Restore (Restaurar) y confirme la
acción para restaurar el archivo en uno o varios endpoints. También puede marcar la casilla de la fila o las
filas correspondientes y seleccionar Restore (Restaurar) en el menú de acción . Cuando Traps reciba
la solicitud en su siguiente comunicación heartbeat con el servidor ESM, tratará de restaurar el archivo a
la ubicación original de cada endpoint.

El botón Restore (Restaurar) aparece deshabilitado (en color gris) si el archivo no se


encuentra en cuarentena.

190 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware


© 2017 Palo Alto Networks, Inc.
STEP 4 | (Opcional) Consulte en los logs los archivos restaurados en el agente.

También puede enviar los informes de estos eventos a un servidor de logs externo o a
una dirección de correo electrónico. Consulte Informes y logs.

Seleccione Monitor (Supervisar) > Agent (Agente) > Logs y filtre Report Type (Tipo de informe) por
cualquiera de estos eventos:
• File Restore Succeeded (Restauración de archivo correcta): Traps restauró correctamente un archivo
ejecutable a su ubicación original en un endpoint.
• File Restore Failed (Restauración de archivo fallida): Traps no pudo restaurar un archivo ejecutable a
su ubicación original en un endpoint.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware 191


© 2017 Palo Alto Networks, Inc.
192 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware
Protección contra exploits
> Reglas de protección de exploits
> Módulos de protección de exploits (EPM) de Windows
> Módulos de protección de exploits (EPM) de Mac
> Creación de una regla de protección contra exploits
> Excluir un endpoint de una regla de protección contra exploits

193
194 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits
© 2017 Palo Alto Networks, Inc.
Reglas de protección de exploits
Una regla de protección contra exploits utiliza módulos de protección contra exploits (EPM) para proteger
los procesos de su organización contra técnicas de exploit específicas. Un EPM es un módulo de código que
usted activa para uno o más procesos, a fin de evitar ataques en vulnerabilidades de programa relacionadas
con un daño de la memoria o fallos lógicos.
La política de seguridad predeterminada contiene un conjunto preconfigurado de reglas de protección
contra exploits que se activan para los procesos protegidos utilizados con frecuencia. Para proteger los
procesos y aplicaciones adicionales que son importantes para su organización, puede añadirlos a la lista de
procesos protegidos o provisionales, y luego configurar reglas de protección contra exploits adicionales. Por
ejemplo, para proteger dos procesos que su organización utilice (por ejemplo, ProcessA.exe y ProcessB.exe)
contra un tipo específico de ataque de daño de la memoria denominado return oriented programming
(ROP), puede añadir los procesos a la lista de procesos protegidos y luego crear una regla de protección
contra exploit que active el EPM de mitigación de ROP. Cuando un usuario abre un archivo o URL, el agente
de Traps inyecta el código en el proceso o procesos relacionados con la apertura del archivo y activa el
EPM. Si el archivo contiene código designado para las API de exploit utilizadas en cadenas ROP, Traps
bloquea el ataque de daño a la memoria. Cuando un evento de seguridad activa una prevención, el agente
de Traps también toma una instantánea de la memoria para la posterior investigación forense.
El agente de Traps recupera periódicamente la política de seguridad más reciente desde el servidor ESM. La
política de seguridad determina qué procesos protege Traps y el tipo de EPM que Traps activa para proteger
los procesos.
Encontrará un resumen de las reglas de prevención de exploits en la página Policies (Políticas) > Exploit >
Protection Modules (Módulos de protección). La selección de una regla en la página muestra información
adicional acerca de la regla y otras acciones que se pueden tomar con respecto a la regla (Delete [Eliminar],
Activate [Activar]/Deactivate [Desactivar] o Edit [Editar]).

Consulte al soporte de Palo Alto Networks antes de hacer ningún cambio en los EPM en las
reglas de políticas de seguridad.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits 195


© 2017 Palo Alto Networks, Inc.
Módulos de protección de exploits (EPM) de
Windows
Para impedir que los atacantes se aprovechen de las vulnerabilidades del software en los endpoints de
Windows, Traps emplea los siguientes módulos de protección de exploits (EPM):

Nombre Tipo DESCRIPTION

Protección CPL Protección Protege contra vulnerabilidades relacionadas con la rutina de


de aplicación visualización para imágenes de acceso directo del panel de control de
Windows, que se pueden usar como vector de infección de malware.

DEP Protección Prevención de ejecución de datos (DEP). Evita que las áreas de
de aplicación memoria que contienen datos se ejecuten como código ejecutable.

Seguridad de Protección Evita el acceso a metadatos de DLL cruciales de localizaciones de


DLL de aplicación códigos sin confianza.

Protección Protección Evita ataques de secuestro de DLL en los que el atacante intenta
contra de aplicación cargar DLL de localizaciones no seguras para obtener el control de un
secuestro de proceso.
DLL

Comprobación Protección Detecta instancias de heap sprays cuando ocurren bloqueos de


de excepción de de aplicación procesos sospechosos (indicios de intentos de exploits).
Heap Spray

Protección para Protección Protege contra la técnica de fingerprinting usada por kits de
la identificación de aplicación vulnerabilidades de navegadores para identificar información, como
de Exploit kits puede ser el SO o las aplicaciones que se ejecutan en el endpoint,
que los atacantes pueden usar para aprovechar un ataque o evadir las
capacidades de protección.

Protección de Protección Evita una manipulación inapropiada de fuentes, un objetivo común de


fuentes de aplicación los exploits.

Protección de Protección Evita el uso de funciones del sistema para evitar la DEP y la selección
parches activos de aplicación aleatoria del diseño del espacio de direcciones (Address Space Layout
Randomization, ASLR).

Mitigación de Protección Evita que un atacante omita las mitigaciones de memoria del sistema
JIT de aplicación operativo utilizando motores de compilación just-in-time (JIT). En el
modo ninja, también puede configurar enlaces avanzados y listas de
permitidos para este módulo.

Protección Protección Evita que un atacante use información privilegiada de otro proceso
contra escalado del kernel con mayores privilegios para ejecutar un proceso con permisos del
de privilegios en sistema.
el kernel

196 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits


© 2017 Palo Alto Networks, Inc.
Nombre Tipo DESCRIPTION

Asignación Protección Aplica la reubicación de módulos específicos que suelen utilizar los
previa de de aplicación intentos de exploit.
biblioteca

Comprobación Protección Detecta instancias de heap sprays utilizando el algoritmo exclusivo


de Heap Spray de aplicación de Palo Alto Networks, que se activa cuando se produce un
de límite de incremento repentino en el consumo de memoria (indicio de exploits
memoria en curso).

Protección de Protección Evita que el código malicioso mapee la dirección cero en el espacio
desreferencia de aplicación de memoria, haciendo que no se puedan atacar las vulnerabilidades
nula de desreferencia nula.

Mitigación de Protección Protege contra el uso de return oriented programming (ROP) al


ROP de aplicación proteger las API utilizadas en las cadenas ROP.

Protección SEH Protección Evita el secuestro del control de excepciones estructurado


de aplicación (Structured Exception Handler, SEH), una estructura de control
comúnmente atacada denominada Linked List, que contiene una
secuencia de registros de datos.

Asignación Protección Reserva y protege ciertas áreas de memoria de uso común para
previa de código de aplicación cargas útiles utilizando técnicas de heap spray.
shell

Protección de Protección Evita vulnerabilidades lógicas de shell-link.


ShellLink de aplicación

SysExit Protección Protege contra el uso de return oriented programming (ROP) al


de aplicación proteger las API utilizadas en las cadenas ROP.

UASLR Protección Mejora o implementa la ASLR (selección aleatoria de módulos) con


de aplicación mayor entropía, robustez y un estricto cumplimiento.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits 197


© 2017 Palo Alto Networks, Inc.
Módulos de protección de exploits (EPM) de
Mac
Para impedir que los atacantes se aprovechen de las vulnerabilidades del software en los endpoints de Mac,
Traps emplea los siguientes módulos de protección de exploits (EPM):

Nombre Tipo DESCRIPTION

Protección Protección Evita ataques de Dylib-Hijacking en los que el atacante intenta cargar
contra Dylib- de aplicación bibliotecas dinámicas desde ubicaciones no seguras para obtener el
Hijacking control de un proceso.

Mitigación de Protección Evita que un atacante omita las mitigaciones de memoria del sistema
JIT de aplicación operativo utilizando motores de compilación just-in-time (JIT). En el
modo ninja, también puede configurar enlaces avanzados y listas de
permitidos para este módulo.

Protección Protección Evita que un atacante use información privilegiada de otro proceso
contra escalado del kernel con mayores privilegios para ejecutar un proceso con permisos del
de privilegios en sistema.
el kernel

Mitigación de Protección Protege contra el uso de return oriented programming (ROP) al


ROP de aplicación proteger las API utilizadas en las cadenas ROP.

198 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits


© 2017 Palo Alto Networks, Inc.
Creación de una regla de protección contra
exploits
Una regla de protección contra exploits utiliza módulos de protección contra exploits (EPM) para proteger
los procesos de su organización contra técnicas de exploit específicas. Cada módulo evita intentos de
exploits en las vulnerabilidades de los programas basados en el daño de la memoria o fallos lógicos, y
protege contra un método de ataque específico, por ejemplo, secuestro de DLL o daños en la pila. Si un
proceso es vulnerable a un tipo específico de ataque, puede activar un EPM para protegerlo. Aunque
Traps protege procesos comunes de forma automática, puede personalizar su política de protección contra
exploits para cubrir las necesidades de su organización.
Para cada regla de protección contra exploit que añada, configure ajustes específicos del EPM y elija
el proceso o los procesos a los cuales se aplicarán la regla. Puede aplicar la regla a un único proceso, a
varios procesos o a todos los procesos. Ajustes adicionales normalmente incluyen la activación de EPM,
comportamiento de Traps y notificación de usuario.

Al igual que con otros tipos de reglas, usted puede reducir el alcance de una regla de protección contra
exploit al especificar Objetos de destino y Condiciones que deben satisfacerse para que se aplique la regla.
Un objeto de destino puede ser cualquier usuario, grupo, unidad de una organización o equipo que aparezca
en Active Directory o cualquier endpoint existente en el cual se ha instalado el agente de Traps. Una
condición puede hacer referencia a un archivo específico, la versión o intervalo de versiones del archivo, o
una ruta de registro que debe existir en el endpoint.

Los EMP adicionales y ajustes avanzados están ocultos y solo se puede acceder a ellos en el modo ninja .
Para configurar estos EPM y ajustes, deberá introducir una contraseña administrativa.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits 199


© 2017 Palo Alto Networks, Inc.
La configuración de reglas de prevención de exploits es una característica avanzada. Para
cambiar o anular una regla de prevención de exploits, consulte al equipo de soporte de Palo
Alto Networks.

STEP 1 | Configure una nueva regla de protección contra exploits.


Seleccione Policies (Políticas) > Exploit > Protection Modules (Módulos de protección).

STEP 2 | Seleccione el sistema operativo, Windows o macOS.

STEP 3 | Desde el menú acción , seleccione Add (Añadir) para añadir una nueva regla que se aplique
al sistema operativo que seleccionó anteriormente.

STEP 4 | Configure la inyección de EPM.


Por defecto, la inyección de EPM está habilitada. Para deshabilitar toda la protección contra exploits de
los procesos protegidos del sistema, seleccione la opción en la parte inferior de la lista de EPM Disable
All EPM Injection (Deshabilitar todas las inyecciones de EPM).

STEP 5 | Configure los ajustes para el módulo EPM.


1. Seleccione el EPM de la lista y configure sus ajustes en la sección Details. Los ajustes de cada tipo de
EPM son diferentes, pero pueden incluir preferencias sobre si terminar o no un proceso e informar a
un usuario acerca de un evento de seguridad.
2. Repita el proceso para añadir y configurar más EPM. Para obtener más información sobre los
diferentes tipos de EPM, consulte Reglas de protección contra exploits.

Al cambiar las definiciones de EPM cambia el orden en el que las reglas se evalúan y
esto puede afectar el nivel de protección (consulte Aplicación de las políticas). Para no
comprometer la seguridad de su organización, consulte al equipo de soporte de Palo
Alto Networks.

STEP 6 | Seleccione el proceso para el que desea aplicar la regla.


Antes de configurar una regla de prevención de exploits en un nuevo proceso, debe definir el proceso y
el tipo de protección en la página Policies (Políticas) > Exploit > Process Management (Administración
de procesos). Para añadir un nuevo proceso, consulte Añadir un nuevo proceso protegido. Para cambiar
el tipo de protección de un proceso, por ejemplo de Unkonwn (Desconocido) a Protected (Protegido),
consulte Ver, modificar o borrar un proceso.
1. Seleccione la pestaña Processes (Procesos).
2. Reduzca la lista de procesos seleccionando el tipo de proceso en el menú desplegable, Protected
(Protegido) o Provisional. Los procesos provisionales son aquellos que se están sometiendo a una
ejecución del informe y se monitorizan por separado de los procesos protegidos. Para una lista de
procesos protegidos por la política de seguridad por defecto, consulte las notas de la versión de
actualización del contenido asociado.
3. Seleccione uno o más procesos a los que se aplicará la regla y, a continuación, haga clic en Add
(Añadir). O, para aplicar la regla a todos los procesos protegidos o provisionales, seleccione, All
Processes (Todos los procesos) (Todos los procesos).

STEP 7 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir

200 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits


© 2017 Palo Alto Networks, Inc.
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 8 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 9 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 10 | Guarde la regla de prevención de exploits.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Policies (Políticas) > Exploit > Protection Modules (Módulos de protección) y haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Protection Modules (Módulos de
protección) en cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits 201


© 2017 Palo Alto Networks, Inc.
Excluir un endpoint de una regla de protección
contra exploits
Cuando un endpoint intenta iniciar una aplicación que incumple la política de prevención de exploits, el
agente de Traps detiene la ejecución del proceso e informa del proceso malicioso al Endpoint Security
Manager. La página Security Events (Eventos de seguridad) > Threats (Amenazas) proporciona información
detallada acerca de los procesos que activan eventos de seguridad y los Módulos de protección contra
exploits (EPM) que evitan los ataques.
Para permitir que el proceso se ejecute en un endpoint específico sin borrar o deshabilitar la regla de
políticas, cree una regla de exclusión según los detalles de los eventos de seguridad. La definición de una
regla de exclusión deshabilita el EPM que evitaba la ejecución del proceso en un endpoint específico.

Para evitar la exposición de forma innecesaria de su organización a los ataques, cree reglas
de exclusión solo cuando sea necesario.

También puede crear reglas de exclusión desde cero si añade Objects (Objetos) a la sección Excluir de la
regla (consulte Crear una regla de protección contra exploits).

STEP 1 | Inicie la página de Threats (Amenazas).


En la consola ESM, seleccione Security Events (Eventos de seguridad) > Threats (Amenazas).

STEP 2 | Seleccione el evento.


Seleccione el evento de seguridad para el que desea crear la regla de exclusión. El evento se expande
para mostrar detalles y acciones adicionales en relación con el evento de seguridad.

STEP 3 | Haga clic en Create rule (Crear regla) para poblar la regla con detalles relacionados con el
EPM y el endpoint específicos. Esta función solo está disponible para reglas de prevención de
exploits.
1. Revise los detalles en las pestañas Processes (Procesos), Conditions (Condiciones), Objects (Objetos)
y Name (Nombre).
2. De forma predeterminada la regla de exclusión solo se aplica al endpoint en el que tuvo lugar el
evento de seguridad. Si desea excluir múltiples objetos o endpoints de la regla, añádalos a la sección
Excluir en la pestaña Objects (Objetos).
3. Seleccione Apply (Aplicar) para aplicar la regla inmediatamente o Save (Guardar) para guardar la regla
y activarla más adelante.

STEP 4 | Verifique que la regla de exclusión permita la ejecución del proceso en el endpoint.
1. Abra la consola de Traps.
2. Seleccione Check-in now (Registrar ahora) para obtener la política de seguridad más reciente.
3. Seleccione Advanced (Avanzado) > Policy (Política) y verifique que aparece la regla.
4. Inicie la aplicación en el endpoint para verificar que el usuario pueda ejecutar el proceso
correctamente.

202 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits


Administración de endpoints
Los siguientes temas describen cómo gestionar los endpoints usando la consola ESM:

> Administrar reglas de acción de Traps


> Administrar las reglas de ajustes de agentes
> Eliminación de un endpoint de la consola ESM

203
204 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints
© 2017 Palo Alto Networks, Inc.
Administrar reglas de acción de Traps
Use reglas de acción para realizar acciones de una vez en el agente de Traps que se ejecuta en cada
endpoint.
• Reglas de acción de Traps
• Añadir una nueva regla de acción
• Gestionar datos recopilados por Traps
• Desinstalar o actualizar Traps en el endpoint

Reglas de acción de Traps


Las reglas de acción le permiten realizar acciones de una vez en el agente de Traps que se ejecuta en cada
endpoint. Para cada regla de acción, debe especificar los objetos de destino, las condiciones y una de las
siguientes acciones administrativas para aplicar en cada endpoint:

Reglas de acción DESCRIPTION

Gestionar archivos Cada endpoint almacena información de prevención y seguridad que incluye
de datos que crea el datos históricos, volcados de memoria y archivos en cuarentena. Utilizando
agente de Traps este tipo de acción, se pueden borrar u obtener archivos de datos que el
agente de Traps crea en el endpoint. Para obtener más información, consulte
Gestionar datos recopilados por Traps.

Desinstalar o actualizar Cree una regla de acción para desinstalar o actualizar Traps desde Endpoint
el software Traps Security Manager. Para actualizar el software Traps en un endpoint, cargue
el archivo ZIP de software en el servidor ESM y especifique la ruta cuando
configure la regla de acción. Para obtener más información, consulte
Desinstalar o actualizar Traps en el endpoint.

Traps no aplica reglas de acción hasta que el agente recibe la política de seguridad
actualizada, generalmente con la siguiente comunicación heartbeat con el servidor. Para
recuperar manualmente la política de seguridad más reciente del servidor ESM, seleccione
Check-in now (Registrar ahora) en la consola de Traps.

Puede crear o editar reglas de acción en el resumen Actions (Acciones) y la página de administración
[Settings (Ajustes) > Agent (Agente) > Actions (Acciones)]. La selección de una regla muestra información
adicional acerca de la regla y otras acciones que se pueden aplicar con la regla [Duplicate (Duplicar),
Delete (Eliminar) o Activate (Activar)/Deactivate (Desactivar)]. Para obtener más información, consulte
Administrar reglas de acción de Traps.

Añadir una nueva regla de acción


Para cada regla de acción, puede especificar los objetos de la organización, las condiciones y las acciones
para aplicar en cada endpoint. Las reglas de acción se aplican a los agentes de Traps en los endpoints que
ejecutan el sistema operativo que usted seleccione.

STEP 1 | Cree una nueva regla de acción.


Seleccione Settings (Ajustes) > Agent (Agente) > Actions (Acciones).

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 205


© 2017 Palo Alto Networks, Inc.
STEP 2 | Seleccione el tipo de sistema operativo (Windows o macOS) y a continuación seleccione Add
(Añadir) una nueva regla.

STEP 3 | Seleccione el tipo de tarea que desea realizar.


Seleccione uno de los siguientes tipos de reglas de acción y configure los ajustes según el tipo de acción:
• Agent Data (Datos de agentes): para obtener más información, consulte Gestionar datos recopilados
por Traps.
• Agent Installation (Instalación de agentes): para obtener más información, consulte Desinstalar o
actualizar Traps en el endpoint.

STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir una
condición a la lista de condiciones, consulte Definir condiciones de activación para una regla.

STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 6 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 7 | Guarde la regla de acción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en
la página Settings (Ajustes) > Agent (Agente) > Actions (Acciones) y a continuación haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Actions (Acciones) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Gestionar datos recopilados por Traps


Para administrar datos recopilados por Traps, puede configurar una regla de acción que se ejecute solo una
vez en el endpoint; después de que el agente de Traps realice la acción una vez, no repetirá la acción. Para
realizar la misma acción nuevamente, duplique la acción en la página Settings (Ajustes) > Agent (Agente) >
Actions (Acciones).

206 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
STEP 1 | Cree una nueva regla de acción.
Seleccione Settings (Ajustes) > Agent (Agente) > Actions (Acciones) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Configure las tareas que desea que se realicen en los datos de Traps almacenados en los
endpoints.
Seleccione Agent Data (Datos de agentes) y luego seleccione cualquiera de las siguientes opciones para
gestionar los datos del agente de Traps.
• Clear history (Borrar historial): cada endpoint guarda un historial de los eventos de prevención de
seguridad. Seleccione esta opción para borrar los archivos de datos históricos de la consola de Traps.
• Erase memory dumps (Eliminar volcados de memoria): los volcados de memoria son registros de los
contenidos de la memoria del sistema cuando se produce un evento de prevención. Seleccione esta
opción para borrar los registros de la memoria del sistema en los objetos de destino.
• Erase quarantined files (Eliminar archivos en cuarentena): cuando se produce un evento de seguridad
en un endpoint, Traps captura volcados de memoria y archivos recientes asociados con el evento y
los almacena (coloca en cuarentena) en la carpeta forense del endpoint. Seleccione esta opción para
borrar los archivos asociados con el evento de seguridad de los objetos de destino.
• Retrieve collected data from the agent (Recuperar datos recopilados de los agentes): Traps recopila
el historial de eventos de seguridad, volcados de memoria y otras informaciones asociadas con un
evento de seguridad. Seleccione esta opción para recopilar toda la información guardada de todos
los eventos ocurridos en el endpoint. Tras ejecutar esta regla, los agentes de Traps envían todos
los datos relacionados con el evento de prevención, incluido un volcado de memoria del proceso
protegido, a la carpeta forense designada.
• Retrieve collected logs from the agent (Recuperar logs recopilados de los agentes):Traps recopila logs
detallados de rastros de las aplicaciones y guarda información acerca de los procesos y aplicaciones
que se ejecutan en el endpoint. Utilice el archivo de logs para depurar un problema con una aplicación
o investigar un problema específico capturado en el log. La selección de esta opción crea una regla de
acción que recupera toda la información de rastros de aplicación para un endpoint. Tras ejecutarse
esta regla, el agente de Traps envía todos los logs a la carpeta forense.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir una
condición a la lista de condiciones, consulte Definir condiciones de activación para una regla.

STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 207


© 2017 Palo Alto Networks, Inc.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de acción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en
la página Settings (Ajustes) > Agent (Agente) > Actions (Acciones) y a continuación haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Actions (Acciones) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

STEP 7 | Siguientes pasos...


• View the status of the rule (Ver el estado de la regla): después de crear la regla de acción, puede
ver su estado desde la página Actions (Acciones). El estado muestra el número de agentes que
completaron de forma correcta la acción y el número de agentes que no consiguieron completar la
acción.
• Duplicate the rule (Duplicar la regla): desde la página Actions (Acciones), seleccione la regla y haga
clic en Duplicate (Duplicar). La consola ESM usa los ajustes de la regla seleccionada para rellenar una
nueva regla. Ahora puede cambiar el ámbito de la regla aplicándola a diferentes objetos de destino
o dejarla tal cual para ejecutarla de nuevo con los mismos ajustes; A continuación, seleccione Save
(Guardar) o Apply (Aplicar) la regla tal y como se describe en la regla anterior.
• Retrieve data(Recuperar datos): si creó una regla de acción para recuperar datos del endpoint,
seleccione Monitor (Supervisar) > Data Retrieval (Recuperación de datos) para ver el Upload State
(Estado de carga) de todas las cargas de datos. Después de que el agente de Traps termina de cargar
los datos, esta página muestra el evento junto con un enlace que le permite Download (Descargar)
los datos.

Desinstalar o actualizar Traps en el endpoint


Cree una nueva regla de acciones de agente para desinstalar Traps de objetos de destino o actualizar Traps
usando el software accesible desde la consola ESM.

STEP 1 | Cree una nueva regla de acción.


Seleccione Settings (Ajustes) > Agent (Agente) > Actions (Acciones) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Defina las tareas que desea que se realicen en el agente de Traps en los endpoints.
1. Seleccione Agent Installation (Instalación de agentes) y luego seleccione Uninstall (Desinstalar)
para desinstalar el software de Traps o Upgrade from path (Actualizar desde ruta) para buscar y
seleccionar el archivo de instalación que debe usarse para actualizar el software de Traps.
2. Introduzca la Uninstall Password (Contraseña de desinstalación).

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir

208 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de acción.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en
la página Settings (Ajustes) > Agent (Agente) > Actions (Acciones) y a continuación haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Actions (Acciones) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 209


© 2017 Palo Alto Networks, Inc.
Administrar las reglas de ajustes de agentes
Cree reglas de ajustes de agente a partir de una ubicación central para cambiar las preferencias
relacionadas con Traps.
• Reglas de ajustes de agentes de Traps on page 210
• Añadir una nueva regla de ajustes de agentes on page 211
• Definir las preferencias de logging de eventos on page 213
• Ocultar o restringir el acceso a la consola de Traps on page 214
• Definir ajustes de comunicación entre el endpoint y el servidor ESM on page 215
• Recopilar información de nuevos procesos on page 218
• Gestión de protección contra la manipulación de agentes on page 220
• Cambiar la contraseña de desinstalación on page 221
• Crear un mensaje de alerta de usuario personalizado on page 222

Reglas de ajustes de agentes de Traps


Las reglas de ajustes de agentes le permiten cambiar las preferencias relacionadas con Traps desde una
localización central. En la página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) puede crear reglas
para administrar los siguientes ajustes de Traps:

Ajustes de agentes DESCRIPTION

Logging de eventos) Configure una un tamaño de cuota para los logs del endpoint Para obtener
más información, consulte Definir las preferencias de logging de eventos.

Ajustes de Heartbeat Determine la frecuencia con la que el agente de Traps envía un mensaje
heartbeat al servidor ESM. La frecuencia óptima se determina según el
número de endpoints de la organización y la carga típica de red. Para obtener
más información, consulte Definir ajustes de heartbeat entre el agente y el
servidor ESM.

Configuración de Configure la cantidad de tiempo, conocido como valor del tiempo de


comunicación espera, después del cual Traps deja de iniciar intentos por reconectarse
con el servidor ESM cuando el servidor se vuelve inaccesible. Configure el
periodo de gracia para especificar cuándo Traps debe intentar restablecer
la comunicación. Para obtener más información, consulte Definir ajustes de
comunicación entre el agente y el servidor ESM.

Administración de Configure los agentes Traps para recopilar nuevos procesos de los endpoints.
procesos Cuando esta opción está habilitada, Traps informa al servidor ESM cada nuevo
proceso que se ejecuta en un endpoint. Puede ver los procesos en la vista
de Administración de procesos de la consola ESM y decidir si crear reglas
de seguridad relacionadas con los procesos. Para obtener más información,
consulte Recopilar información de nuevos procesos.

Visibilidad de usuario y Determine si el usuario final puede acceder a la aplicación de la consola


acceso de Traps y de qué manera. Opcionalmente, puede configurar la consola de
modo que solo sea accesible para los administradores. Para obtener más
información, consulte Ocultar o restringir el acceso a la consola de Traps.

210 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
Ajustes de agentes DESCRIPTION

Alertas de usuario Personalice los ajustes generales para todas las alertas de usuario, incluida la
imagen para mostrar y pie de página. También puede configurar el título que
aparece en las alertas de usuario en relación con los módulos de protección,
restricciones y archivos desconocidos. Para obtener más información,
consulte Crear un mensaje de alerta de usuario personalizado.

Protección de servicio ((Solo Windows) Evita los intentos de deshabilitar o hacer cambios en los
valores de registro y archivos de Traps. Cuando esta opción está habilitada,
(ESM 4.0.0 y ESM
los usuarios no pueden manipular los componentes de Traps. Para obtener
4.0.1)
más información, consulte Gestionar la protección contra la manipulación de
agentes.

Protección contra (Solo Windows) Proporciona un control granular de los ajustes de protección
la manipulación de del servicio. Evita los intentos de deshabilitar o hacer cambios en los procesos,
agentes servicios, valores y claves de registro y archivos de Traps. Cuando está
habilitado, los usuarios no pueden manipular o modificar los componentes
(ESM 4.0.2)
de Traps para los cuales ha activado la protección contra manipulación.
Para obtener más información, consulte Gestionar la protección contra la
manipulación de agentes.

Seguridad de agentes (Solo Windows) Por defecto, los usuarios y administradores deben introducir
una contraseña para desinstalar la aplicación de Traps. Utilice esta opción
para cambiar la contraseña. Para obtener más información, consulte Cambiar
la contraseña de desinstalación.

Traps no aplica reglas de ajustes de agentes hasta que el agente de Traps recibe la política
de seguridad actualizada, generalmente con la siguiente comunicación heartbeat con el
servidor. Para recuperar manualmente la política de seguridad más reciente del servidor
ESM, seleccione Check-in now (Registrar ahora) en la consola de Traps.

Seleccione una regla en la página de ajustes para mostrar información adicional acerca de la regla y otras
acciones que se pueden aplicar para gestionar la regla [Delete (Eliminar), Activate (Activar)/Deactivate
(Desactivar) o Edit (Editar)]. Para obtener más información, consulte Administrar las reglas de ajustes de
agentes.

Añadir una nueva regla de ajustes de agentes


Para cada regla de ajustes de agentes, puede especificar los objetos de la organización, las condiciones y las
preferencias de Traps que desea aplicar. Las reglas de ajustes de agentes se aplican a los agentes de Traps
en los endpoints que ejecutan el sistema operativo que usted seleccione.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes).

STEP 2 | Seleccione el tipo de sistema operativo (Windows o macOS) y a continuación seleccione Add
(Añadir) una nueva regla.

STEP 3 | Seleccione el tipo de ajuste que desea cambiar y configure sus preferencias.
Seleccione uno de los siguientes y configure los ajustes según el tipo de preferencia:

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 211


© 2017 Palo Alto Networks, Inc.
• Event Logging (Logging de eventos): para obtener más información, consulte Definir las preferencias
de logging de eventos.
• Heartbeat Settings (Ajustes de heartbeat): para obtener más información, consulte Definir ajustes de
heartbeat entre el agente y el servidor ESM.
• Heartbeat Settings (Ajustes de comunicación): para obtener más información, consulte Definir
ajustes de comunicación entre el agente y el servidor ESM.
• Process Management (Administración de procesos): para obtener más información, consulte
Recopilar información de nuevos procesos.
• (ESM 4.0.0 and ESM 4.0.1) Service Protection (Ajustes de protección): para obtener más información,
consulte Gestionar la protección contra la manipulación de agentes.
• (ESM 4.0.2) Agent Tampering Protection (Protección contra la manipulación de agentes): para
obtener más información, consulte Gestionar la protección contra la manipulación de agentes.
• Agent Security (Seguridad de agentes): para obtener más información, consulte Cambiar la
contraseña de desinstalación.
• User Visibility & Access (Visibilidad de usuario y acceso): para obtener más información, consulte
Ocultar o restringir el acceso a la consola de Traps.
• User Alerts (Alertas de usuario): para obtener más información, consulte Crear un mensaje de alerta
de usuario personalizado.

STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 6 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 7 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.

212 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definir las preferencias de logging de eventos


Traps almacena la información de eventos y los archivos en cuarentena en una carpeta de almacenamiento
local temporal. Para ajustar el tamaño de la cuota de disco, configure una regla de ajustes de agentes

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Defina los ajustes de logging de eventos para los endpoints.


1. Seleccione Event Logging (Logging de eventos).
2. Seleccione Set disk quota (MB) [Establecer cuota de disco (MB)] y especifique el tamaño de la
carpeta de almacenamiento local temporal que utilizará Traps para almacenar logs de eventos y
archivos en cuarentena. Especifique el volumen de la cuota en MB (de forma predeterminada es
5.120; intervalo es 0 a 10.000.000). Una vez que la carpeta de almacenamiento alcanza el rango de
tamaño, Traps purga los logs de eventos al eliminar los logs más antiguos para liberar espacio para los
logs nuevos.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 213


© 2017 Palo Alto Networks, Inc.
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Ocultar o restringir el acceso a la consola de Traps


Por defecto, un usuario puede acceder a la consola de Traps para ver información relacionada con el estado
actual del endpoint, cambios en la política de seguridad y eventos de seguridad. Cuando un evento de
seguridad se activa, el usuario también recibe una notificación sobre el evento. La notificación incluye el
nombre de la aplicación, el editor y una descripción de la regla de prevención o restricción de exploits que
ha activado la notificación.

Puede crear una regla de ajustes de agentes para cambiar la accesibilidad de la consola y especificar si se
ocultan o no las notificaciones del usuario.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Defina la visibilidad del usuario y el acceso para los endpoints.


Seleccione User Availability & Access (Disponibilidad de usuario y acceso) y luego seleccione una o más
de las siguientes opciones:
• Hide tray icon (Ocultar el icono de la bandeja): oculte el icono de bandeja que Traps añade al área de
notificación (bandeja del sistema) del endpoint.
• Disable access to the Traps console (Deshabilitar acceso a la consola de Traps): deshabilite la
capacidad de abrir la consola.
• Hide Traps user notifications (Ocultar las notificaciones que usuario de Traps): oculte las
notificaciones que Traps muestra cuando el agente encuentra un evento de prevención o
notificación.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.

214 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definir ajustes de comunicación entre el endpoint y el servidor


ESM
El agente de Traps en el endpoint se comunica con el servidor ESM en intervalos específicos al enviar
mensajes heartbeat e informes, y al consultar veredictos de hash desconocidos. Traps deja de intentar
conectarse con el servidor si los intentos de comunicación fallan durante un periodo que exceda un valor
de tiempo de espera y Traps reanuda los intentos de restablecer comunicación con el servidor después del
periodo de gracia.
Para modificar los valores por defecto para el ciclo heartbeat, intervalo de informes, valor de tiempo de
espera o periodo de gracia, cree una regla de ajustes de agentes en la consola ESM usando los siguientes
flujos de trabajo:
• Definir ajustes de heartbeat entre el agente y el servidor ESM on page 215
• Definir ajustes de comunicación entre el agente y el servidor ESM on page 217

Definir ajustes de heartbeat entre el agente y el servidor ESM


Durante la comunicación heartbeat, el agente de Traps solicita la política de seguridad actual y envía una
respuesta a Endpoint Security Manager para informar del estado del endpoint. Se denomina ciclo heartbeat
la frecuencia con la que el agente de Traps envía mensajes heartbeat al servidor ESM. La frecuencia óptima
se determina según el número de endpoints de la organización y la carga típica de red.
Traps también informa los cambios en el servicio, incluido el inicio, la interrupción y los eventos de bloqueo,
y los nuevos procesos descubiertos en el endpoint. Se denomina intervalo de informes a la frecuencia con la
que el agente de Traps envía notificaciones de informes.

STEP 1 | Cree una nueva regla de ajustes de agentes.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 215


© 2017 Palo Alto Networks, Inc.
Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Defina la frecuencia de los mensajes heartbeat o las notificaciones de informe.


Seleccione Heartbeat Settings (Ajustes de heartbeat) y luego configure uno de los siguientes ajustes o
ambos:
• Set distinct heartbeat cycle (Establecer un ciclo de heartbeat distinto): modifique la frecuencia (en
minutos) con la que Traps envía mensajes heartbeat al servidor ESM. El intervalo es 0-144.000 y el
valor por defecto es 60.
• Set send reports interval (Establecer intervalo de informes de envío): modifique la frecuencia (en
minutos) con la cual el agente de Traps envía notificaciones de informe, incluidos cambios en el
servicio, eventos de bloqueo y nuevos procesos. El intervalo es 0-144.000 y el valor por defecto es
480 (8 horas).

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

216 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
Definir ajustes de comunicación entre el agente y el servidor ESM
Por defecto, el agente de Traps aplica una política de no conexión a todos los archivos desconocidos tras
el inicio. La política permanece vigente hasta que el agente de Tras pueda realizar la detección del servidor
ESM para elaborar una lista de servidores disponibles ordenados a partir de la ruta más corta.
Después de que el agente de Traps elabora la lista de servidores disponibles y un usuario abre un archivo
ejecutable disponible, Traps consulta al primer servidor ESM de la lista para determinar el veredicto de
hash. Si ese servidor es inaccesible o no puede responder a la solicitud dentro del tiempo máximo asignado,
el agente de Traps deja de intentar conectarse con el servidor ESM y asigna el archivo ejecutable a un
veredicto de sin conexión. Si el usuario abre otro archivo ejecutable antes de que Traps determine que el
servidor ESM no está disponible, también consultará al primer servidor ESM de la lista para determinar
el veredicto de hash. Sin embargo, si el usuario abre otro archivo ejecutable desconocido antes de que el
agente de Traps determine que el servidor ESM no está disponible, Traps consultará al siguiente servidor
ESM de la lista.
El agente de Traps también sondea periódicamente la lista de servidores ESM para determinar qué
servidores están disponibles y, de los servidores disponibles, qué servidores están más cerca. Otros eventos,
tales como el cambio de dirección IP en el endpoint, también pueden activar a Traps para que vuelva a
elaborar la lista de servidores ESM.
Utilice el siguiente flujo de trabajo para cambiar el tiempo de espera y los intervalos para establecer la
comunicación con el servidor ESM.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Defina los ajustes de comunicación entre el agente de Traps y el servidor ESM.
Seleccione Communication Settings (Ajustes de comunicación) y luego seleccione una o más de las
siguientes opciones:
• Set Agent-WildFire Process Verdict Timeout (Establecer tiempo de espera para proceso de veredicto
de Agent-WildFire): especifique la cantidad de tiempo (en segundos) que Traps esperará que el
servidor ESM responda a una solicitud de veredicto (el valor por defecto es 10). Después de que
finaliza el periodo de tiempo de espera, Traps asigna al proceso el veredicto No Connection (Sin
conexión). Traps intentará restablecer la comunicación únicamente si un usuario hace clic en Check-
In Now (Registrar ahora) en la consola de Traps o si Traps necesita consultar al servidor ESM por
veredictos de hash desconocidos.

Si sus endpoints con frecuencia pierden la conexión con el servidor, considere aumentar
el valor del tiempo de espera.

• Set No Connection Refresh Interval (Establecer frecuencia de actualización de Sin conexión):


especifique la frecuencia (en minutos) con la cual el agente de Traps verifica si hay servidores ESM
después de introducir un estado de No Connection (Sin conexión) (el valor por defecto es 1).
• Set ESM Server Validation Interval (Establecer frecuencia de validación de servidor ESM): especifique
la frecuencia (en horas) con la cual el agente verificará la integridad de la lista de servidores ESM (el
valor por defecto es 1).

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 217


© 2017 Palo Alto Networks, Inc.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Recopilar información de nuevos procesos


Por defecto, Traps protege los procesos reconocidos y utilizados con mayor frecuencia. Además, cuando
WildFire está habilitado, Traps informa automáticamente los archivos ejecutables al Endpoint Security
Manager. Si WildFire está deshabilitado, se recomienda crear una regla de ajustes de agente para habilitar
a Traps para que recolecte los nombres de los procesos nuevos que se ejecutan en los endpoints y los
informe a Endpoint Security Manager. La consola ESM muestra los procesos como Unprotected (No
protegido) en la página Process Management (Administración de procesos).

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Habilite la recopilación de nuevos procesos en los endpoints.


Seleccione Process Management (Administración de procesos) y luego habilite la opción en Collect new
process information (Recopilar información de nuevos procesos).
Cuando Traps detecta nuevos procesos, Traps informa los procesos al servidor ESM. La consola
ESM enumera los nuevos procesos en la página Policies (Políticas) > Exploit > Process Management

218 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
(Administración de procesos) como procesos no protegidos. Desde allí usted puede cambiar el tipo de
protección (consulte Ver, modificar o borrar un proceso on page 144). Después de cambiar el tipo de
protección, puede usarla para Creación de una regla de protección contra exploits on page 199.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

STEP 7 | Periódicamente, revise la lista de procesos no protegidos y evalúe si debe añadirlos a las reglas
de seguridad existentes o si debe crear nuevas reglas para protegerlos.
1. Seleccione Policies (Políticas) > Exploit > Process Management (Administración de procesos).
2. Filtre u ordene la tabla según el tipo de protección Unprotected (No protegido).
3. Revise cada proceso y decida si cambiará el tipo de protección.
• Cambie el tipo de protección a Provisional, si desea usar el proceso en una regla de seguridad
ejecutada como prueba.
• Cambie el tipo de protección a Protected (Protegido) para aprovechar las reglas existentes que se
aplican a todos los procesos. Consulte Ver, modificar o borrar un proceso on page 144. También
puede añadir el proceso a las reglas que se aplican a procesos específicos, según fuera necesario.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 219


© 2017 Palo Alto Networks, Inc.
Gestión de protección contra la manipulación de agentes
La protección contra la manipulación de agentes le permite proteger a los agentes de Traps que se ejecutan
en sus endpoints a través de la restricción del acceso a los servicios, procesos, claves de registro y archivos
de Traps. Las opciones de protección contra la manipulación disponibles desde la consola ESM varían según
su versión de consola ESM:
• Consola ESM 4.0.0 y 4.0.1: Habilitan la protección del servicio para proteger todos los componentes de
Traps.
• Consola ESM 4.0.2: Habilita la protección contra la manipulación de agentes para proteger componentes
de Traps individuales.
Cuando está habilitada, Traps evita que los componentes del agente se modifiquen, detengan o alteren de
cualquier forma.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Habilitar la protección contra la manipulación de agentes:


• (ESM Console 4.0.0 y 4.0.1) Seleccione Service Protection (Protección de servicio) y a continuación
seleccione una de los siguientes opciones:
• Enable service protection (Habilitar la protección de servicios): Protege todos los servicios,
procesos, claves de registro y archivos de Traps
• Deshabilitar la protección de servicios.
• (Consola ESM 4.0.2) Seleccione Agent Tampering Protection (Protección contra la manipulación de
agentes) y a continuación habilite una o más opciones:
• Enable Services protection (Habilitar la protección de servicios): Protege los servicios de Traps,
incluidos Traps, Traps Local Analysis Service y Traps Reporting Service.
• Enable Processes protection (Habilitar protección de procesos): Protege todos los servicios de
Traps como por ejemplo Cyserver.exe, Cytray.exe, CyveraConsole.exe, CyveraService.exe, y
tlaworker.exe.
• Enable Files protection (Habilitar protección de archivos): Protege los archivos de sistema de
Traps ubicados en %Program Files%\Palo Alto Networks\Traps y %ProgramData%
\Cyvera (o C:\ Documents and Settings\All Users\Application Data\Cyvera
en Windows XP).
• Enable Registry Values protection (Habilitar protección de valores de registro): Protege todos los
valores de registro de Traps almacenados en HKLM\SYSTEM\Cyvera.

STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit

220 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Cambiar la contraseña de desinstalación


Por defecto, debe introducir la contraseña de desinstalación especificada durante la instalación para
desinstalar Traps de un endpoint. Cambie la contraseña por defecto creando una regla de ajustes de
agentes.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | Cambie la contraseña


1. Seleccione Agent Security (Seguridad de agentes) y luego seleccione la opción Set uninstall password
(Establecer la contraseña de desinstalación).
2. Introduzca la contraseña que el usuario o administrador deben introducir para desinstalar Traps. La
contraseña debe contener al menos ocho caracteres.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Units
(Unidades de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 221


© 2017 Palo Alto Networks, Inc.
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla de ajustes de agentes.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Crear un mensaje de alerta de usuario personalizado

Traps muestra mensajes de prevención y notificación cuando un archivo o proceso incumple una política de
seguridad y el comportamiento de terminación se configura para bloquear el archivo y notificar al usuario o
crear un log del problema y notificar al usuario. Use una regla de configuración de ajustes para personalizar
los ajustes generales para todas las alertas de usuario, incluida la imagen para mostrar y pie de página.
También puede configurar el título que aparece en las alertas de usuario en relación con los módulos de
protección, restricciones o archivos desconocidos.

STEP 1 | Cree una nueva regla de ajustes de agentes.


Seleccione Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y, a continuación, seleccione Add
(Añadir) para añadir una nueva regla.

STEP 2 | (Opcional) Personalice el icono y el pie de página utilizado para todos los mensajes de alerta de
usuario.
1. Seleccione User Alerts (Alertas de usuario) y luego seleccione General Settings (icon and footer)
[Configuración general (icono y el pie de página)].
2. Personalice una de las opciones siguientes o ambas:
• Icon (Icono): para seleccionar una imagen que aparecerá en lugar del icono de Traps en los
mensajes de alerta de usuario, seleccione Browse (Examinar) para buscar y luego Cargar una

222 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
nueva imagen. La vista previa a la derecha le permite ver un ejemplo de cómo se verá el mensaje
de alerta de usuario con el nuevo icono.
• Action/Footer (Acción/Pie de página): para facilitar información de contacto o de otro tipo en la
parte inferior del mensaje, introduzca hasta 250 caracteres. La vista previa a la derecha le muestra
los cambios a medida que los introduce. Para especificar una dirección de correo electrónico,
utilice el formato HTML estándar, por ejemplo:
<a href="mailto://support@organization.com"> Help Desk</a>
3. Seleccione la acción desencadenante: Prevention Mode (Modo de prevención) o Notification Mode
(Modo de notificación).

STEP 3 | (Opcional) Personalice el texto del título para las alertas de usuario.
1. En la lista desplegable User Alert Window (Ventana de alerta de usuario), seleccione el tipo de alerta
de usuario:
• Protection Modules (Módulos de protección): una alerta de usuario que Traps muestra cuando
activa un módulo de protección contra exploits o malware para proteger un proceso o bloquear
una conducta sospechosa.
• Execution Restrictions (Restricciones de ejecución): alerta de usuario que Traps muestra cuando
un usuario abre un archivo ejecutable desde una ubicación que está limitada por una regla de
restricción.
• WildFire Unknowns-Terminate (Archivos desconocidos de WildFire-Finalizar)(Traps 4.0.2 y
versiones anteriores): alerta de usuario que Traps muestra cuando un usuario abre un archivo
ejecutable y el comportamiento de WildFire para archivos desconocidos se configura para finalizar
el proceso.
2. Introduzca el texto del título para mostrar en el tipo de alerta de usuario específico.
3. Seleccione la acción desencadenante: Prevention Mode (Modo de prevención) o Notification Mode
(Modo de notificación).

STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.

STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 6 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 223


© 2017 Palo Alto Networks, Inc.
STEP 7 | Guarde la regla de ajustes de agentes.
Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Si está listo para activar la regla, seleccione la regla en la
página Settings (Ajustes) > Agent (Agente) > Settings (Ajustes) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Settings (Ajustes) en cualquier
momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

224 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints


© 2017 Palo Alto Networks, Inc.
Eliminación de un endpoint de la consola ESM
En situaciones en las que debe eliminar uno o varios endpoints del Endpoint Security Manager, use la
opción Delete Selected (Eliminar seleccionados) del menú de acción de la parte superior de la página
Health (Estado).

Puede eliminar un endpoint para:


• Borrar entradas duplicadas.
• Eliminar endpoints que ya no se utilizan.
• Dejar libre una licencia de un agente de Traps inactivo antes de que venza el periodo de revocación
automática.
• Dejar libre la licencia de una sesión VDI que no se cerró correctamente.
Al eliminar un endpoint, el ESM inmediatamente deja libre la licencia y la devuelve a grupo de licencias
disponibles para que la use otro agente de Traps. Tras eliminar el endpoint, el agente de Traps sigue
aplicando la última política conocida y sigue usando la licencia original. Sin embargo, cuando vencen los
periodos de la licencia y de gracia (dos días), Traps deshabilita la protección.
Si en algún momento el agente de Traps envía una comunicación heartbeat y se conecta correctamente
al servidor ESM, este trata al agente como nuevo y le emite una licencia nueva del grupo de licencias
disponibles.
Para eliminar un endpoint de la consola ESM:

STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).

STEP 2 | En la tabla de estado del agente, seleccione la casilla de verificación de uno o varios endpoints
que desee eliminar.

Para encontrar rápidamente un endpoint, utilice los controles de filtro de la parte superior
de las columnas.

STEP 3 | Seleccione Delete Selected (Eliminar seleccionados) en el menú de acción de la parte


superior de la tabla Health (Estado). Haga clic en OK (Aceptar) para confirmar que desea
borrar.
La consola ESM cambia el estado del endpoint a Historic (Histórico) y lo oculta en la pantalla
predeterminada de endpoints de la página Health (Estado) (para ver los endpoints eliminados, filtre la
columna Estado por Historic).

GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints 225


© 2017 Palo Alto Networks, Inc.
226 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints
Datos forenses
> Descripción general de datos forenses on page 229
> Prácticas recomendadas para la administración de datos forenses on page 232
> Administrar reglas y ajustes forenses on page 233
> Consulta a agente on page 241

227
228 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses
© 2017 Palo Alto Networks, Inc.
Descripción general de datos forenses
• Flujo de datos forenses on page 229
• Tipos de datos forenses on page 230

Flujo de datos forenses

• Fase 1: Activación de eventos de prevención on page 229


• Fase 2: Análisis automatizado on page 229
• Fase 3: Detección automatizada on page 230
• Fase 4: Recopilación de datos forenses on page 230

Fase 1: Activación de eventos de prevención


Cuando se produce un intento de ataque sobre una vulnerabilidad de software, los módulos de protección
de Traps entran en acción para detener el comportamiento de proceso malicioso y, en última instancia,
bloquear el ataque. Por ejemplo, considere el caso en el que un archivo intenta acceder a metadatos de
DLL cruciales desde localizaciones de códigos que no son de confianza. Si se activa el módulo de seguridad
de DLL para proteger procesos de su organización, Traps detiene inmediatamente el proceso que intenta
acceder a los metadatos de DLL. Traps registra el evento en su log de eventos e informa al usuario del
evento de seguridad. Se así se ha configurado, Traps muestra un mensaje de notificación personalizado
(para más información, consulte Crear un mensaje de alerta de usuario personalizado on page 222).
Tras detener con éxito un intento de exploit, Traps recoge y analiza los datos relacionados con el evento
según se describe en Fase 2: Análisis automatizado on page 229.

Fase 2: Análisis automatizado


Cuando se produce un evento de seguridad en un endpoint, Traps congela los contenidos de la memoria,
y los guarda en un archivo conocido como volcado de memoria. Desde la consola ESM se puede ajustar
la configuración del volcado de memoria que especifica su tamaño como pequeño, mediano o completo
(el conjunto de información más grande y más completo), y Traps cargará automáticamente el volcado de
memoria en la carpeta forense. Para obtener más información, consulte Definición de las preferencias del
volcado de memoria on page 236.
Tras crear un volcado de memoria, Traps decodifica el archivo y extrae la información para identificar la
causa subyacente y verificar la validez de la prevención. Utilice los resultados del análisis para diagnosticar y
comprender el evento.
Dependiendo del tipo de evento, Traps también puede usar herramientas de detección automatizadas
para explorar el comportamiento malicioso, según se describe en Fase 3: Detección automatizada on page
230.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 229


© 2017 Palo Alto Networks, Inc.
Fase 3: Detección automatizada
Tras analizar el volcado de memoria, Traps realiza automáticamente un análisis secundario, cuyos
resultados se pueden usar para verificar la legitimidad de un evento de prevención. El análisis secundario
proporciona una visión más amplia de la naturaleza del evento usando las herramientas de detección,
incluida la detección de la cadena ROP y la detección de heap spray, para identificar rastros de actividades
malintencionadas adicionales.
Si las herramientas de detección identifican con éxito los restos de actividades malintencionadas, Traps
guarda la información en un archivo de log del sistema en el endpoint, usando la sintaxis siguiente: Prefijo
único de Traps ID de cliente-ID de evento. Traps también informa de la detección al servidor ESM. La
consola ESM muestra los resultados en la sección Análisis de vuelco automático de Traps para cada registro
de eventos de prevención, incluido si cada herramienta de detección ha identificado con éxito actividad
malintencionada adicional. Si Traps no captura la memoria, crea el archivo de volcado incorrectamente o no
logra completar el análisis secundario, la consola ESM oculta esta sección en el registro de eventos.
Si las herramientas de detección identifican uno o más rastros de actividad malintencionada, existe una alta
probabilidad de que el evento de prevención sea una amenaza legítima.
Para la posterior solución de problemas o análisis de eventos de seguridad, observe los datos forenses que
Traps recopila según se describe en Fase 4: Recopilación de datos forenses on page 230.

Fase 4: Recopilación de datos forenses


Tras analizar los archivos, Traps informa al ESM del evento de seguridad y puede enviar datos forenses
adicionales a la carpeta forense.
Si su política de seguridad contiene un regla de recopilación de datos forenses, Traps recopila uno o
más tipos de datos especificados y carga el archivo o archivos en la carpeta forense. Dependiendo de
las preferencias, Traps puede recopilar URI a los que se ha accedido, controladores, archivos y DLL
relevantes que se cargan en la memoria bajo procesos atacados, y procesos antecesores del proceso que
activaron el evento de seguridad. Para obtener más información, consulte Definición de las preferencias de
recopilaciones forenses on page 237.
Por defecto, Traps utiliza una carpeta de Servicio de transferencia inteligente en segundo plano (BITS)
basada en la web que utiliza ancho de banda de red inactiva para cargar los datos. Para obtener más
información, consulte Cambio de la carpeta forense por defecto on page 233.
También puede obtener manualmente datos forenses para un evento de seguridad específico creando una
regla de acción de una vez para obtener los datos. Para obtener más información, consulte Recuperar datos
acerca de un evento de seguridad on page 239. Para ver el estado de la carga forense, seleccione Monitor
(Supervisar) > Data Retrieval (Recuperación de datos).

Tipos de datos forenses


Cuando se produce un evento de seguridad en un endpoint, Traps puede recopilar la información siguiente:

Tipo de datos forenses DESCRIPTION

Volcado de memoria Contenidos de localizaciones de memoria capturados cuando se produce un


evento.

Archivos accedidos Archivos que se cargan en la memoria bajo el proceso atacado para la
inspección detallada del evento, incluidos los siguientes:
• Obtención de DLL relevantes, incluida su ruta.
• Archivos relevantes de la carpeta de archivos temporales de Internet.

230 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
Tipo de datos forenses DESCRIPTION
• Archivos abiertos (ejecutables y no ejecutables)

Módulos cargados Archivos de imagen PE que se cargan en el sistema en el momento de un


evento de seguridad.

URI accedido Recursos de red a los que se ha accedido en el momento del evento de
seguridad e información del identificador de recursos uniforme (uniform
resource identifier, URI).
El agente de Traps puede recopilar URI a los que se accedió desde los
navegadores Internet Explorer y Firefox únicamente. Cuando un evento tiene
lugar y este está relacionado con otros navegadores (por ejemplo, Microsoft
Edge), no será posible acceder los datos de URI para un análisis más detallado.
La información recopilada incluye:
• Los URI, incluidos enlaces ocultos y tramas de los subprocesos atacados
relevantes.
• Los URI fuente de applets de Java, nombres y rutas de archivos, incluidos
procesos padre, padre primario e hijo.
• La recopilación de llamadas de URI de complementos del navegador,
reproductores multimedia y software de clientes de correo

Procesos antecesores Información sobre procesos antecesores, de navegadores, no navegadores y


procesos hijo de applets de Java, en el momento de un evento de seguridad,
incluidos los siguientes:
• Fuentes y destinos separados para inyección de subprocesos.
• Procesos hijo, principales y primarios principales restringidos.

Para personalizar qué tipos de archivos se recopilan, Crear una regla forense on page 235.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 231


© 2017 Palo Alto Networks, Inc.
Prácticas recomendadas para la administración
de datos forenses
Configure the Forensic Folder to Communicate Over SSL (Configurar la carpeta forense para
comunicarse a través de SSL: Para cifrar los datos forenses, recomendamos que utilice SSL para
comunicarse con la carpeta forense. Para usar SSL, especifique el prefijo HTTPS y use el puerto
443 cuando configure el Forensic Folder URL [URL de la carpeta forense] (por ejemplo, HTTPS://
ESMserver.Domain.local:443/BitsUploads).
Collect full memory dumps for all processes (Recopilación de volcados de memoria completa para
todos los procesos): cuando se produce un evento de seguridad en el endpoint, Traps puede capturar
el contenido de la memoria relacionado con el proceso protegido y automáticamente enviar los datos
al servidor ESM. Esta información le permite analizar más a fondo los eventos de seguridad cuando
ocurren. Cuando envía el volcado completo de la memoria, Traps captura el volumen de datos más
completo.
Create a script to monitor the disk quota(Crear un script para supervisar la cuota de disco): debido
a la falta de un mecanismo de eliminación automático, los datos relacionados a un volumen grande
de eventos de prevención pueden llenar la cuota del disco en el servidor que hospeda la carpeta de
cuarentena. Esto significa que la nueva información acerca de prevención no se escribirá una vez
que la cuota se haya cubierto. Una vez que la cuota del disco esté llena, no podrá borrar los datos de
prevención. La creación de un script para supervisar la cuota de disco supone que podrá supervisar y a
continuación eliminar datos antiguos según proceda.
Enable forensics collection (Habilitar la recopilación forense): cuando se produce un evento de seguridad
en el endpoint, Traps puede recopilar datos forenses adicionales entre los que incluye información de los
archivos a los que se ha accedido, los módulos que se han cargado en la memoria, los URI a los que se ha
accedido y los procesos antecesores del proceso que ha activado el evento de seguridad. Puede utilizar
los datos recopilados por Traps para solucionar un evento de seguridad. Para obtener más información,
consulte Definición de las preferencias de recopilaciones forenses on page 237.

232 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
Administrar reglas y ajustes forenses
• Reglas forenses on page 233
• Cambio de la carpeta forense por defecto on page 233
• Crear una regla forense on page 235
• Definición de las preferencias del volcado de memoria on page 236
• Definición de las preferencias de recopilaciones forenses on page 237
• Recuperar datos acerca de un evento de seguridad on page 239

Reglas forenses
Las reglas forenses le permiten obtener datos forenses capturados por Traps desde una localización central.
En la página Policies (Políticas) > Forensics (Datos forenses) > Management (Administración), puede crear
reglas para administrar los siguientes ajustes forenses:

Reglas de ajustes de DESCRIPTION


agentes

Ajustes de volcado de Especifique los ajustes de volcado, incluido el tamaño para el volcado
memoria de memoria y habilite Traps para el envío automático del volcado
de memoria al servidor. Esta configuración solo se aplica a los datos
recopilados de los eventos de prevención relacionados con los procesos
protegidos. Para obtener más información, consulte Definición de las
preferencias del volcado de memoria on page 236.

Recopilación forense Habilite Traps para la recopilación de datos forenses de cada evento de
seguridad, incluidos los archivos a los que se ha accedido, los módulos
cargados en la memoria, los URI a los que se ha accedido y los procesos
antecesores del proceso que han activado el evento de seguridad. Para
obtener más información, consulte Definición de las preferencias de
recopilaciones forenses on page 237.

Cambio de la carpeta forense por defecto


• Cambio del destino de la carpeta forense utilizando la consola ESM on page 233
• Cambiar el destino de la carpeta forense utilizando la herramienta de configuración DB on page 234

Cambio del destino de la carpeta forense utilizando la consola ESM


Para una solución adicional de problemas o el análisis de eventos de seguridad, como una prevención o
bloqueo, Traps carga los datos forenses en una carpeta forense basada en la web. Durante la instalación de
la consola ESM, el instalador habilita el Servicio de transferencia inteligente en segundo plano (BITS) que
utiliza ancho de banda de red inactiva para cargar los datos en la carpeta forense.
Para analizar un evento de seguridad, cree una regla de acción para obtener los datos forenses del endpoint
(consulte Gestionar datos recopilados por Traps on page 206). Cuando Traps recibe la solicitud de envío de
datos, copia los archivos en la carpeta forense (también mencionada en el Endpoint Security Manager como
carpeta de cuarentena), que es una ruta local o de red que se especifica durante la instalación inicial.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 233


© 2017 Palo Alto Networks, Inc.
Puede cambiar la ruta de la carpeta forense en cualquier momento usando el Endpoint Security Manager
o la herramienta de configuración DB (consulte Cambiar el destino de la carpeta forense utilizando la
herramienta de configuración DB on page 234). Todos los endpoints deben tener permiso de escritura
para esta carpeta.

STEP 1 | Seleccione Settings (Ajustes) > ESM > Settings (Ajustes).

STEP 2 | En el área de configuración del servidor, introduzca la URL basada en la web en el campo
Forensic Folder URL (URL de la carpeta forense) a fin de utilizar BITS para cargar los datos
forenses.

Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio totalmente
cualificado (fully qualified domain name, FQDN) y especifique el puerto 443, por ejemplo,
HTTPS://ESMserver.Domain.local:443/BitsUploads. Si no está utilizando SSL,
especifique el puerto 80, por ejemplo http://ESMSERVER:80/BitsUploads.

Cambiar el destino de la carpeta forense utilizando la herramienta de


configuración DB
Para una solución adicional de problemas o el análisis de eventos de seguridad, como una prevención o
bloqueo, Traps carga los datos forenses en una carpeta forense basada en la web. Durante la instalación de
la consola ESM, el instalador habilita el Servicio de transferencia inteligente en segundo plano (BITS) que
utiliza ancho de banda de red inactiva para cargar los datos en la carpeta forense.
Para analizar un evento de seguridad, cree una regla de acción para obtener los datos forenses del endpoint
(consulte Gestionar datos recopilados por Traps on page 206). Cuando Traps recibe la solicitud de envío de
datos, copia los archivos en la carpeta forense (también mencionada en el Endpoint Security Manager como
carpeta de cuarentena), que es una ruta local o de red que se especifica durante la instalación inicial.
Puede cambiar la ruta de la carpeta forense en cualquier momento usando el Endpoint Security Manager
(consulte Cambio del destino de la carpeta forense utilizando la consola ESM on page 233) o usando la
herramienta de configuración de bases de datos (DB).
La herramienta de configuración DB es una interfaz de línea de comandos que proporciona una alternativa
a la gestión de los ajustes básicos del servidor utilizando la consola EMS. Puede acceder a la herramienta de
configuración DB utilizando una línea de comandos de Microsoft MS-DOS ejecutado como administrador.
La herramienta de configuración DB se encuentra en la carpeta Server (Servidor) del servidor ESM.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

STEP 1 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server

234 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
STEP 3 | (Opcional) Visualizar los ajustes existentes del servidor:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine
InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword
= Password2 BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads
MaxActions = 5000

STEP 4 | Introduzca la URL basada en la web de la carpeta forense.

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server BitsUrl http://ESMserver.Domain.local:443/
BitsUploads

Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio totalmente
cualificado (fully qualified domain name, FQDN) y especifique el puerto 443, por ejemplo,
HTTPS://ESMserver.Domain.local:443/BitsUploads. Si no está utilizando SSL,
especifique el puerto 80, por ejemplo http://ESMSERVER:80/BitsUploads.

STEP 5 | (Opcional) Para verificar la ruta de la carpeta forense, ejecute el comando dbconfig server
show:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server show PreventionsDestFolder = \\ESMServer-
New\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200
NinjaModePassword = Password2 BitsUrl = HTTPS://ESMserver.Domain.local:443/
BitsUploads MaxActions = 5000

Crear una regla forense


Cree una regla forense para definir el volcado de memoria y las preferencias de recopilaciones forenses.

STEP 1 | Configure una nueva regla forense.


Seleccione Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y, a
continuación, haga clic en Add (Añadir).

STEP 2 | Seleccione el tipo de regla que desea configurar.


Seleccione uno de los siguientes tipos de reglas forenses y configure los ajustes según el tipo de regla:
• Memory dump (Volcado de memoria): para más información, consulte Definición de las preferencias
del volcado de memoria on page 236.
• Forensics Collection (Recopilación de datos forenses): para más información, consulte Definición de
las preferencias de recopilaciones forenses on page 237.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 235


© 2017 Palo Alto Networks, Inc.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla forense.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, selecciónela en la
página Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Management (Administración) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definición de las preferencias del volcado de memoria


Cuando un proceso protegido se ha bloqueado o ha terminado de forma anómala, Traps registra
información acerca del evento, incluidos los contenidos de las localizaciones de memoria y otros datos
acerca del evento, en lo que se conoce como volcado de memoria.
Cree una regla forense para determinar el modo en que Traps administra volcados de memoria relacionados
con el proceso, incluido si se envían volcados de memoria automáticamente a la carpeta forense o si se
cambia el tamaño del volcado de memoria, pequeño, mediano o completo (el conjunto de información más
grande y más completo).

STEP 1 | Configure una nueva regla forense.


Seleccione Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y, a
continuación, haga clic en Add (Añadir).

STEP 2 | Defina las preferencias del volcado de memoria cuando se produzca un evento de prevención
en el endpoint.
1. Seleccione Memory Dump (Volcado de memoria) y luego seleccione cualquiera de las siguientes
preferencias:
• Envíe automáticamente los volcados de memoria al servidor seleccionando Send the memory
dumps automatically (Enviar automáticamente volcados de memoria).
• Especifique el tamaño del volcado de memoria seleccionando la opción Memory dump size
(Tamaño de volcado de memoria) y, a continuación, seleccionando Small (Pequeño), Medium
(Mediano), o Full (Completo) en la lista desplegable.

236 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
2. Seleccione los procesos de origen con los cuales Traps recopilará volcados de memoria, ya sea uno o
más Specific processes (Procesos específicos) o All processes (Todos los procesos).

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla forense.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, selecciónela en la
página Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y haga clic en
Activate (Activar).
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Management (Administración) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Definición de las preferencias de recopilaciones forenses


Para ayudarle a entender mejor y derivar implicaciones acerca de la verdadera naturaleza de un evento de
seguridad cuando se produce en un endpoint, puede configurar las opciones de recopilaciones forenses.
Cuando se produzca un evento de seguridad, Traps puede hacer un informe de los archivos a los que se ha
accedido, los módulos que se han cargado en la memoria, los URI a los que se ha accedido y los procesos
antecesores del proceso que han activado el evento de seguridad.

STEP 1 | Configure una nueva regla forense.


Seleccione Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y, a
continuación, haga clic en Add (Añadir).

STEP 2 | Defina las preferencias de recopilaciones forenses.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 237


© 2017 Palo Alto Networks, Inc.
Seleccione Forensics Collection (Recopilaciones forenses) y luego configure las preferencias en los
campos siguientes:
• Report Accessed Files (Informe de archivos accedidos): seleccione Enabled (Habilitado) para recopilar
información acerca de los archivos que se cargan en la memoria bajo el proceso atacado para una
inspección en profundidad de los eventos.
• Report Loaded Modules (Informe de módulos cargados): Seleccione Enabled (Habilitado) para
informar qué archivos de imágenes PE se cargan en el sistema al momento de un evento de
seguridad.
• Report Accessed URI (Informe de URI accedidos): seleccione Enabled (Habilitado) para recopilar
recursos a los que se accedió al momento del evento de seguridad e información de identificador de
recursos uniforme (URI) de los complementos web, reproductores multimedia y clientes de correo.
• Report Ancestor Processes (Informe de procesos antecesores): algunas aplicaciones pueden ejecutar
applets de Java como proceso hijo, e incluso como proceso hijo de un proceso hijo, etc. Seleccione
Enabled (Habilitado) para registrar información acerca de los procesos antecesores de navegadores,
no navegadores, y procesos hijo de applets de Java para permitirle una mejor comprensión de la raíz
de un evento.
Como alternativa, para cada tipo de datos, puede Disable (Deshabilitar) la recopilación forense o Inherit
(Heredar) los ajustes de la política de seguridad por defecto.

STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.

STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla forense. Por
defecto, una regla nueva se aplica a todos los objetos de su organización. Para definir un
subconjunto más pequeño de objetos de destino,
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la regla forense.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la regla sin activarla. Esta opción está disponible únicamente
para reglas inactivas, clonadas o nuevas. Cuando esté listo para activar la regla, selecciónela en la
página Policies (Políticas) > Forensics (Datos forenses) > Management (Administración) y haga clic en
Activate (Activar).

238 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
• Seleccione Apply (Aplicar) para activarla inmediatamente.
Después de guardar o aplicar una regla, puede regresar a la página Management (Administración) en
cualquier momento para Delete (Eliminar) o Deactivate (Desactivar) la regla.

Recuperar datos acerca de un evento de seguridad


Cuando ocurre un evento de seguridad en un endpoint, Traps obtiene datos forenses, incluidos contenidos
de memoria y los guarda en el endpoint. Utilice datos forenses para depurar un problema o investigue un
problema específico con una aplicación. La selección de esta opción crea una regla de ajustes de agente
para recopilar la información obtenida por Traps. Cuando Traps recibe la regla de configuración de agentes,
el agente envía todos los logs a la carpeta forense designada.

Para crear una regla general y obtener datos desde un endpoint o más, consulte Gestionar datos recopilados
por Traps on page 206.

STEP 1 | En la consola ESM, seleccione Security Events (Eventos de seguridad) > Threats (Amenazas)
para visualizar eventos de seguridad relacionados con procesos protegidos, o Monitor
(Supervisar) > Provisional Mode (Modo provisional) para visualizar eventos de seguridad
relacionados con procesos provisionales.

STEP 2 | Seleccione el evento de seguridad para el que desea obtener datos. El evento se expande para
mostrar detalles y acciones adicionales en relación con el evento de seguridad.

STEP 3 | Haga clic en Retrieve Data (Recuperar datos). La consola ESM rellena los ajustes para una regla
de configuración de agentes.

STEP 4 | Revise los detalles de la regla y haga clic en Apply (Aplicar) para activar la regla inmediatamente
o Save (Guardar) para activar la regla más tarde. En la siguiente comunicación de heartbeat
con el servidor ESM, el agente de Traps recibe la nueva regla y envía datos de prevención a la
carpeta forense.

STEP 5 | Para ver el estado de la carga forense, seleccione Monitor (Supervisar) > Data Retrieval
(Recuperación de datos).

STEP 6 | Una vez completada la carga, haga clic en Download (Descargar) para guardar los datos de
prevención a nivel local o navegar hasta la carpeta forense. Si ya no necesita los datos de

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 239


© 2017 Palo Alto Networks, Inc.
prevención, puede seleccionar Delete (Eliminar) para eliminarlos de la tabla de recuperación de
datos.

240 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
Consulta a agente
Use la Agent Query (Consulta a agente) para buscar en sus endpoints de Windows para un archivo del
sistema, carpeta o clave de registro. Cada consulta se ejecuta en tiempo real como una acción de una sola
vez para varios parámetros desde una ubicación central.
• Flujo de consulta a agente
• Buscar endpoints para un archivo, carpeta o clave de registro
• Visualizar los resultados de una consulta de agente

Flujo de consulta a agente


Después de crear una consulta a agente para Buscar endpoints para un archivo, carpeta o clave de registro
on page 241, el servidor ESM envía la consulta en forma de regla de acción de una sola vez en la siguiente
comunicación de heartbeat con el agente. Si la consulta contiene objetos de destino o condiciones, el
servidor ESM envía la consulta solo a aquellos endpoints que coinciden con los objetos de destino y las
condiciones. Si no especificó ningún objeto de destino o condición, el servidor ESM envía la consulta a
todos los endpoints.
Cuando el agente de Traps recibe la consulta, inmediatamente busca el endpoint para el nombre de
archivo, la carpeta o la clave de registro en el endpoint local. Si la consulta contiene varios parámetros de
búsqueda, Traps evalúa las consultas por separado e informa una coincidencia si encuentra alguno de los
criterios de búsqueda. En el caso de coincidencia con un archivo de sistema, el agente de Traps también
captura metadatos sobre el archivo. El agente de Traps envía la información al servidor ESM en la siguiente
comunicación heartbeat.
Para ver los últimos resultados de búsqueda, actualice la página Agent Query (Consulta a agente) en
cualquier momento. La consola ESM muestras hasta 50 resultados en la vista de detalles de cada consulta
de búsqueda (consulte Visualizar los resultados de una consulta de agente on page 242).

Buscar endpoints para un archivo, carpeta o clave de registro


Para realizar una búsqueda centralizada para un archivo del sistema, carpeta o clave de registro en un
endpoint de Windows, utilice la Agent Query (Consulta a agente).

STEP 1 | Cree una nueva consulta.


1. En la consola ESM, seleccione Policies (Políticas) > Forensics (Datos forenses) > Agent Query
(Consulta a agente).
2. Seleccione Add (Añadir) para añadir una nueva consulta.

STEP 2 | Configure uno o más parámetros de búsqueda para la consulta. Cuando se especifiquen varios
parámetros de búsqueda, Traps devolverá un resultado si la búsqueda coincide con alguno de
los parámetros.
1. Seleccione los parámetros de búsqueda, ya sea File name (Nombre de archivo), Folder name
(Nombre de carpeta) o Registry Key (Clave de registro).
2. Introduzca el valor de búsqueda de coincidencia y luego haga clic en Add (Añadir).

O bien, puede usar comodines en la última parte de la ruta del nombre de archivo o
carpeta, por ejemplo: C:\Temp\*.txt
3. Repita según fuera necesario para introducir varios criterios de búsqueda.

STEP 3 | (Opcional) Añada condiciones a la consulta.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 241


© 2017 Palo Alto Networks, Inc.
Las condiciones especificadas aquí pueden limitar el alcance de la consulta al enviarla solo a los
endpoints que coinciden o no coinciden con la condición.
1. En la pestaña Conditions (Condiciones), seleccione la condición de la lista de condiciones y haga clic
en Add (Añadir) junto a lista de condición para incluir o excluir correspondiente.
2. Repita el procedimiento para añadir más condiciones, si así lo desea.

STEP 4 | (Opcional) Defina los objetos de destino a los que se aplica la consulta. Por defecto, el servidor
ESM aplica la consulta a todos los endpoints de la organización.
Al igual que las condiciones, los objetos de destino pueden reducir el alcance de una consulta al apuntar
a Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit (Unidad de la
organización) o Existing Endpoints (Endpoints existentes) específicos.
Seleccione la pestaña Objects (Objetos) y luego introduzca uno o más objetos de destino en las áreas
Include o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.

STEP 5 | (Opcional) Revise el nombre de la regla y la descripción. La consola ESM genera


automáticamente el nombre de la regla y la descripción de acuerdo con los detalles de la regla,
pero le permite modificar estos campos si fuera necesario.
Para cambiar el nombre que se genera automáticamente, seleccione la pestaña Name (Nombre),
desmarque la opción Activate automatic description (Activar descripción automática) y, a continuación,
introduzca el nombre de regla y la descripción que desee.

STEP 6 | Guarde la consulta.


Proceda con una de las siguientes opciones:
• Seleccione Save (Guardar) para guardar la consulta sin activarla. Si está listo para activar la regla,
seleccione la regla en la página Policies (Políticas) > Forensics (Datos forenses) > Agent Query
(Consulta a agente) y haga clic en Activate (Activar).
• Seleccione Apply (Aplicar)para ejecutarla inmediatamente.

STEP 7 | Revise los resultados de la consulta.


Si bien la Agent Query (Consulta a agente) busca en tiempo real, la consola ESM no actualiza
automáticamente la página con los resultados de la consulta. Como resultado, usted debe actualizar la
página para ver los resultados actuales.
Consulte Visualizar los resultados de una consulta de agente.

Visualizar los resultados de una consulta de agente


La página Agent Query (Consulta a agente) muestra todas las consultas guardadas y aplicadas, y le permite
revisar los resultados para las consultas aplicadas. Al ampliar la fila para la consulta, usted puede visualizar
información adicional sobre las coincidencias, incluido cuándo y en qué endpoint de Windows se encontró
la coincidencia, el archivo o la clave de registro que coincidió con el parámetro de búsqueda y los detalles de
metadatos para el archivo. Use los resultados que reciba después de ejecutar una consulta de agente para
identificar y tomar medidas adicionales, si fuera necesario, para asegurar el endpoint.

STEP 1 | En la página Policies (Políticas) > Forensics (Datos forenses) > Agent Query (Consulta a
agente), seleccione la fila para la consulta aplicada. La fila se expande para mostrar información
adicional sobre la consulta e incluye las coincidencias para la consulta en la sección Agent
Query, Found matches (Consulta a agente, Coincidencias encontradas).

242 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses


© 2017 Palo Alto Networks, Inc.
Para cada consulta aplicada, la consola ESM muestra la cantidad de endpoints que recibieron la
consulta (Applied on [Aplicadas]), la cantidad de endpoints que ejecutaron correctamente la búsqueda
(Succeeded [Realizadas correctamente]) y la cantidad de endpoints que no pudieron ejecutar la consulta
o no recibieron la consulta (Failed [No realizadas]).

STEP 2 | (Opcional) Para ver la información detallada sobre la coincidencia, haga clic en Details (Detalles).

La consola ESM muestra hasta 50 registros de coincidencias.

STEP 3 | (Opcional) Para visualizar el texto completo, desplace el puntero del ratón por el campo Result
(Resultado) o Metadata (Metadatos).

STEP 4 | (Opcional) Para guardar los resultados en un archivo delimitado por comas (CSV) que pueda
analizar, haga clic en el menú de acción en la parte superior de la página y seleccione
Export Logs (Exportar logs).

STEP 5 | (Opcional) Existen tareas adicionales que puede realizar después de revisar los resultados de la
consulta:
• Solucionar cualquier problema con archivos maliciosos en el endpoint.
• Duplicate (Duplicar) la consulta, realizar cambios según fuera necesario y seleccione Apply (Aplicar
para ejecutarla nuevamente.
• Delete (Eliminar) la consulta y los resultados de la consola ESM.

GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses 243


© 2017 Palo Alto Networks, Inc.
244 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses
Informes y logs
Endpoint Security Manager puede escribir logs en una plataforma de creación de logs externa;
como por ejemplo un sistema SIEM, servicios SOC o syslog, además de almacenar sus propios
logs de forma interna. Endpoint Security Manager también puede enviar logs a una dirección
de correo electrónico. Al especificar una plataforma de creación de logs externa, es posible
obtener una vista agregada de los logs de todos los componentes ESM.

> Tipos de log de eventos


> Variables comunes usadas en Eventos
> Envío de logs a una plataforma de logging externa
> Reenvío de logs a Panorama
> Enviar logs a correo electrónico

245
246 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs
© 2017 Palo Alto Networks, Inc.
Tipos de log de eventos
La consola ESM muestra información sobre eventos que se producen en los componentes de Traps en las
páginas Logs y Security Events (Eventos de seguridad). Los eventos pueden incluir eventos de seguridad,
cambios de política, cambios del estado del agente y el servidor ESM, y cambios en los ajustes. Cuando
usted habilita el envío de logs a un SIEM o dispositivo syslog, o a un correo electrónico, puede personalizar
el tipo de eventos que envía la consola ESM. Los eventos están agrupados en las siguientes categorías
según el tipo de evento:
• Eventos de seguridad on page 247
• Políticas - General on page 248
• Políticas - Reglas on page 249
• Políticas: Gestión de procesos on page 249
• Políticas: Ajustes de restricción on page 249
• Políticas - Controles de hash on page 250
• Supervisar - Agente on page 251
• Supervisión de ESM on page 255
• Ajustes: Administración on page 256
• Ajustes - Agente on page 257
• Ajustes - ESM on page 258
• Ajustes: Condiciones on page 258
• Ajustes - Licencias on page 259

Eventos de seguridad
La tabla siguiente muestra los logs de eventos de seguridad que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Evento de prevención Se bloqueó un proceso o archivo ejecutable.


• CEF—PreventionEvent
• LEEF—PreventionEvent
• Syslog—PreventionEvent
• Email—PreventionEvent

Evento de notificación Un proceso o archivo ejecutable exhibió una conducta sospechosa.


• CEF—NotificationEvent
• LEEF—NotificationEvent
• Syslog—NotificationEvent
• Email—NotificationEvent

Evento posterior a la Se ha determinado que un archivo ejecutable que anteriormente se permitió


detección ejecutar en un endpoint es malware. Los eventos posteriores a la detección
proporcionan una notificación para cada endpoint en el que se ha ejecutado el
archivo.
• CEF—PostDetectionEvent
• LEEF—PostDetectionEvent

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 247


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Syslog—PostDetectionEvent
• Email—PostDetectionEvent

Políticas - General
La tabla siguiente muestra los logs de política general que puede enviar a una plataforma de logging externa
o correo electrónico.

Nombre de evento DESCRIPTION

Protección Un administrador deshabilitó la protección de todas las reglas de seguridad de


deshabilitada la consola ESM.
• CEF—DisabledProtection
• LEEF—DisabledProtection
• Syslog—DisabledProtection
• Email—DisabledProtection

Protección habilitada Un administrador volvió a habilitar la protección de todas las reglas de


seguridad en la consola ESM.
• CEF—EnabledProtection
• LEEF—EnabledProtection
• Syslog—EnabledProtection
• Email—EnabledProtection

Actualización de Una actualización de contenido se ha instalado.


contenido de servidor
• CEF—ServerContentUpdateSuccess
correcta
• LEEF—ServerContentUpdateSuccess
• Syslog—ServerContentUpdateSuccess
• Email—ServerContentUpdateSuccess

Error de actualización Se ha producido un error de actualización de contenido.


de contenido de
• CEF—ServerContentUpdateFailure
servidor
• LEEF—ServerContentUpdateFailure
• Syslog—ServerContentUpdateFailure
• Email—ServerContentUpdateFailure

Instalación de Se ha vuelto a instalar una versión anterior de la actualización de contenido.


versión anterior de
• CEF—ServerContentRevertSuccess
actualización de
contenido correcta • LEEF—ServerContentRevertSuccess
• Syslog—ServerContentRevertSuccess
• Email—ServerContentRevertSuccess

Error de instalación Se ha producido un error al volver a instalar una versión anterior de la


de versión anterior actualización de contenido.
de actualización de
• CEF—ServerContentRevertFailure
contenido correcta
• LEEF—ServerContentRevertFailure

248 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Syslog—ServerContentRevertFailure
• Email—ServerContentRevertFailure

Políticas - Reglas
La tabla siguiente muestra los logs de reglas de políticas que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Regla añadida/editada Un administrador añadió una nueva regla o editó una regla existente.
• CEF—RuleEdited
• LEEF—RuleEdited
• Syslog—RuleEdited
• Email—RuleEdited

Regla eliminada Un administrador eliminó una regla.


• CEF—RuleDeleted
• LEEF—RuleDeleted
• Syslog—RuleDeleted
• Email—RuleDeleted

Políticas: Gestión de procesos


La tabla siguiente muestra los logs de gestión de procesos que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Proceso añadido/ Un administrador añadió o editó un proceso.


editado
• CEF—ProcessEdited
• LEEF—ProcessEdited
• Syslog—ProcessEdited
• Email—ProcessEdited

Proceso eliminado Un administrador añadió o editó un proceso.


• CEF—ProcessDeleted
• LEEF—ProcessDeleted
• Syslog—ProcessDeleted
• Email—ProcessDeleted

Políticas: Ajustes de restricción


La tabla siguiente muestra los logs de ajustes de restricción que puede enviar a una plataforma de logging
externa o correo electrónico.

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 249


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION

Inclusión/Edición de Un administrador añadió o editó una restricción global.


ajustes de restricción
• CEF—RestrictionSettingsEdited
• LEEF—RestrictionSettingsEdited
• Syslog—RestrictionSettingsEdited
• Email—RestrictionSettingsEdited

Políticas - Controles de hash


La tabla siguiente muestra los logs de control de hashes que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Hash añadido Se añadió un hash al caché del servidor ESM.


• CEF—NewHash
• LEEF—NewHash
• Syslog—NewHash
• Email—NewHash

Veredicto modificado Un veredicto de hash se modificó a malicioso.


- De cualquiera a
• CEF—VerdictChange
cualquiera
• LEEF—VerdictChange
• Syslog—VerdictChange
• Email—VerdictChange

Veredicto modificado Un veredicto de hash se modificó a malicioso.


- De cualquiera a
• CEF—VerdictChangeAnyToMalware
malware
• LEEF—VerdictChangeAnyToMalware
• Syslog—VerdictChangeAnyToMalware
• Email—VerdictChangeAnyToMalware

Veredicto modificado El veredicto de un hash se modificó de malicioso a un nuevo veredicto.


- De malware a
• CEF—VerdictChangeMalwareToAny
cualquiera
• LEEF—VerdictChangeMalwareToAny
• Syslog—VerdictChangeMalwareToAny
• Email—VerdictChangeMalwareToAny

Veredicto cambiado El veredicto de un hash se modificó de sin conexión a un nuevo veredicto.


- No hay conexión a
• CEF—VerdictChangeNoConnectionToAny
ningún
• LEEF—VerdictChangeNoConnectionToAny
• Syslog—VerdictChangeNoConnectionToAny
• Email—VerdictChangeNoConnectionToAny

Veredicto no El veredicto de un hash se modificó de desconocido a un nuevo veredicto.


modificado - De
• CEF—VerdictChangeUnknownToAny

250 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
desconocido a • LEEF—VerdictChangeUnknownToAny
cualquiera • Syslog—VerdictChangeUnknownToAny
• Email—VerdictChangeUnknownToAny

Hashes importados Un administrador importó uno o más hashes en el caché del servidor.
• CEF—HashesImport
• LEEF—HashesImport
• Syslog—HashesImport
• Email—HashesImport

Veredicto cambiado - Un administrador manualmente estableció un veredicto para un hash.


Anulación manual
• CEF—VerdictManualOverride
• LEEF—VerdictManualOverride
• Syslog—VerdictManualOverride
• Email—VerdictManualOverride

Supervisar - Agente
La tabla siguiente muestra los logs de agente que puede enviar a una plataforma de logging externa o correo
electrónico.

Nombre de evento DESCRIPTION

Incumplimiento del Un agente informó de un incumplimiento de acceso.


acceso del agente
• CEF—AccessViolation
• LEEF—AccessViolation
• Syslog—AccessViolation
• Email—AccessViolation

Agente Heartbeat El agente recibió un heartbeat.


• CEF—Heartbeat
• LEEF—Heartbeat
• Syslog—Heartbeat
• Email—Heartbeat

Inicio del servicio del El servicio del agente se inició en el endpoint.


agente
• CEF—ServiceAlive
• LEEF—ServiceAlive
• Syslog—ServiceAlive
• Email—ServiceAlive

Servicio del agente El servicio del agente se detuvo en el endpoint.


interrumpido
• CEF—ServiceStopped
• LEEF—ServiceStopped
• Syslog—ServiceStopped

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 251


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Email—ServiceStopped

Cierre del agente El endpoint se ha cerrado.


• CEF—SystemShutdown
• LEEF—SystemShutdown
• Syslog—SystemShutdown
• Email—SystemShutdown

Error al iniciar el El servicio del agente no se pudo iniciar en el endpoint.


servicio del agente
• CEF—ServiceStartFailed
• LEEF—ServiceStartFailed
• Syslog—ServiceStartFailed
• Email—ServiceStartFailed

Advertencia de servicio El servicio del agente informó de una advertencia.


del agente
• CEF—ServiceWarning
• LEEF—ServiceWarning
• Syslog—ServiceWarning
• Email—ServiceWarning

Bloqueo de proceso Un proceso se ha bloqueado en el endpoint.


• CEF—ProcessCrashed
• LEEF—ProcessCrashed
• Syslog—ProcessCrashed
• Email—ProcessCrashed

Tiempo de espera de El agente excedió la cantidad de tiempo permitida para inyectarse en un


inyección de proceso proceso.
del agente agotado.
• CEF—ProcessInjectionTimedOut
• LEEF—ProcessInjectionTimedOut
• Syslog—ProcessInjectionTimedOut
• Email—ProcessInjectionTimedOut

Error al iniciar el Fallo de inicio del servicio de generación de informes del agente.
servicio de generación
• CEF—ReportingServiceStartFailed
de informes del agente
• LEEF—ReportingServiceStartFailed
• Syslog—ReportingServiceStartFailed
• Email—ReportingServiceStartFailed

Error al cargar el El agente no pudo cargar un archivo.


archivo del agente
• CEF—FileUploadFailure
• LEEF—FileUploadFailure
• Syslog—FileUploadFailure
• Email—FileUploadFailure

252 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION

Agente instalado en el Traps se instaló en un endpoint.


sistema
• CEF—ClientInstall
• LEEF—ClientInstall
• Syslog—ClientInstall
• Email—ClientInstall

Agente desinstalado del Traps se desinstaló de un endpoint.


sistema
• CEF—ClientUninstall
• LEEF—ClientUninstall
• Syslog—ClientUninstall
• Email—ClientUninstall

Actualización de agente Traps se actualizó en un endpoint.


• CEF—ClientUpgrade
• LEEF—ClientUpgrade
• Syslog—ClientUpgrade
• Email—ClientUpgrade

Cambio del estado del El estado del agente se modificó.


agente
• CEF—TrapsServiceStatusChange
• LEEF—TrapsServiceStatusChange
• Syslog—TrapsServiceStatusChange
• Email—TrapsServiceStatusChange

Cambio de la política La política del agente se modificó.


del agente
• CEF—AgentPolicyChange
• LEEF—AgentPolicyChange
• Syslog—AgentPolicyChange
• Email—AgentPolicyChange

Error de extracción de El archivo que el análisis local intentó examinar estaba dañado y no se pudo
la función de análisis examinar con el análisis local. Cuando esto ocurre, Traps identifica el archivo
local como malware hasta que recibe un veredicto (ya sea de WildFire o de la
política administrativa de control de hash).
• CEF—LocalAnalysisFeatureExtractionFailed
• LEEF—LocalAnalysisFeatureExtractionFailed
• Syslog—LocalAnalysisFeatureExtractionFailed
• Email—LocalAnalysisFeatureExtractionFailed

Modelo de análisis local El modelo de análisis local faltaba en el endpoint y por lo tanto se desactivo.
no disponible
• CEF—LocalAnalysisModelUnavailable
• LEEF—LocalAnalysisModelUnavailable
• Syslog—LocalAnalysisModelUnavailable
• Email—LocalAnalysisModelUnavailable

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 253


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION

Módulo de análisis local El modelo de análisis local analizó correctamente un archivo ejecutable
correcto desconocido y emitió un veredicto.
• CEF—LocalAnalysisModuleSucceeded
• LEEF—LocalAnalysisModuleSucceeded
• Syslog—LocalAnalysisModuleSucceeded
• Email—LocalAnalysisModuleSucceeded

Fallo del módulo de El modelo de análisis local no pudo realizar un análisis de un archivo
análisis local ejecutable desconocido y emitió un veredicto.
• CEF—LocalAnalysisModuleFailed
• LEEF—LocalAnalysisModuleFailed
• Syslog—LocalAnalysisModuleFailed
• Email—LocalAnalysisModuleFailed

Se ha cambiado el La decisión local de un firmante fiable acerca del agente ha cambiado. Esto
firmante fiable se debe a un cambio en el almacén local de certificados en el endpoint, una
actualización de contenido que incluye cambios en una lista de firmantes de
confianza o una actualización manual de una lista de firmantes de confianza.
• CEF—PublisherChanged
• LEEF—PublisherChanged
• Syslog—PublisherChanged
• Email—PublisherChanged

Actualización de El agente ha recibido una nueva versión de actualización de contenido.


contenidos de agente
• CEF—AgentContentUpdate
• LEEF—AgentContentUpdate
• Syslog—AgentContentUpdate
• Email—AgentContentUpdate

Cuota de cuarentena Se ha excedido la cuota de almacenamiento para los archivos de cuarentena


excedida en el endpoint.
• CEF—QuarantineQuotaExceeded
• LEEF—QuarantineQuotaExceeded
• Syslog—QuarantineQuotaExceeded
• Email—QuarantineQuotaExceeded

Conflicto de registro de Un agente que ya se ha registrado en el servidor ESM ha intentado volver a


agente registrarse pero no tiene identificación de autenticación. Es puede significar
que:
• Existe un nombre de máquina duplicado en la red (para agentes de Traps
bajo versiones anteriores a 4.0.2). Cuando esto ocurre, asegúrese de que
el nombre de la máquina es único o actualice el agente a Traps 4.0.2 o una
versión posterior para garantizar que el agente recibe un ID único.
• Un componente malicioso está intentando manipular la política de
protección de endpoint. Cuando esto ocurre, verifique la validez del
agente y, si es necesario, solucione el componente.
Formatos:

254 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• CEF—RegistrationConflict
• LEEF—RegistrationConflict
• Syslog—RegistrationConflict
• Email—RegistrationConflict

Supervisión de ESM
La tabla siguiente muestra los logs de ESM que puede enviar a una plataforma de logging externa o correo
electrónico.

Nombre de evento DESCRIPTION

Inicio de sesión de Un administrador inició sesión en la consola ESM.


usuario
• CEF—UserLogin
• LEEF—UserLogin
• Syslog—UserLogin
• Email—UserLogin

Heartbeat de ESM El servidor ESM recibió un heartbeat.


• CEF—ServerHeartbeat
• LEEF—ServerHeartbeat
• Syslog—ServerHeartbeat
• Email—ServerHeartbeat

Configuración de ESM La configuración del servidor ESM se modificó.


modificada
• CEF—EsmConfigurationChange
• LEEF—EsmConfigurationChange
• Syslog—EsmConfigurationChange
• Email—EsmConfigurationChange

Estado de ESM El estado del servidor ESM se modificó.


modificado
• CEF—EsmStatusChange
• LEEF—EsmStatusChange
• Syslog—EsmStatusChange
• Email—EsmStatusChange

Estado del archivo de El estado del archivo de asistencia técnica de ESM se ha modificado.
asistencia técnica
• CEF—TechSupportFileStatus
• LEEF—TechSupportFileStatus
• Syslog—TechSupportFileStatus
• Email—TechSupportFileStatus

Comprobación de Un evento de comunicación proxy ocurrió entre los componentes del ESM y
comunicación con el servidor proxy. Los eventos de comunicación proxy pueden interrumpir la
proxy comunicación con WildFire.
• CEF—CommunicationsCheckWithProxy

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 255


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• LEEF—CommunicationsCheckWithProxy
• Syslog—CommunicationsCheckWithProxy
• Email—CommunicationsCheckWithProxy

El estado de El estado de comunicación entre el servidor ESM y WildFire ha cambiado de


comunicación con disponible a no disponible o de no disponible a disponible.
WildFire cambió
• CEF—WfCommunicationsStatusChanged
• LEEF—WfCommunicationsStatusChanged
• Syslog—WfCommunicationsStatusChanged
• Email—WfCommunicationsStatusChanged

Ajustes: Administración
La tabla siguiente muestra los logs de administración que puede enviar a una plataforma de logging externa
o correo electrónico.

Nombre de evento DESCRIPTION

Función eliminada Se eliminó una función administrativa.


• CEF—RoleDeleted
• LEEF—RoleDeleted
• Syslog—RoleDeleted
• Email—RoleDeleted

Función añadida/ Se añadió o editó una función administrativa.


editada
• CEF—RoleEdited
• LEEF—RoleEdited
• Syslog—RoleEdited
• Email—RoleEdited

Estado de función El estado de una función administrativa se modificó.


modificado
• CEF—RoleStatusChanged
• LEEF—RoleStatusChanged
• Syslog—RoleStatusChanged
• Email—RoleStatusChanged

Usuario eliminado Se eliminó un usuario administrativo.


• CEF—UserDeleted
• LEEF—UserDeleted
• Syslog—UserDeleted
• Email—UserDeleted

Usuario añadido/ Se añadió o eliminó un usuario administrativo.


editado
• CEF—UserEdited
• LEEF—UserEdited

256 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Syslog—UserEdited
• Email—UserEdited

Estado de usuario El estado de un usuario administrativo se modificó.


modificado
• CEF—UserStatusChanged
• LEEF—UserStatusChanged
• Syslog—UserStatusChanged
• Email—UserStatusChanged

Ajustes - Agente
La tabla siguiente muestra los logs de ajustes de agente que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Acción de una vez de Un agente finalizó la ejecución de una regla de acción en un endpoint.
agente completada
• CEF—OneTimeActionComplete
• LEEF—OneTimeActionComplete
• Syslog—OneTimeActionComplete
• Email—OneTimeActionComplete

Error en la acción de Un agente no pudo ejecutar una regla de acción en un endpoint.


una vez de agente
• CEF—OneTimeActionFailed
• LEEF—OneTimeActionFailed
• Syslog—OneTimeActionFailed
• Email—OneTimeActionFailed

Restauración de archivo Un agente no ha logrado restaurar un archivo a su ubicación original en el


fallida endpoint o medio extraíble adjunto.
• CEF—RestoreFailed
• LEEF—RestoreFailed
• Syslog—RestoreFailed
• Email—RestoreFailed

Error de archivo en Un agente no ha logrado colocar a un archivo en el endpoint o su medio


cuarentena extraíble adjunto en cuarentena.
• CEF—QuarantineFailed
• LEEF—QuarantineFailed
• Syslog—QuarantineFailed
• Email—QuarantineFailed

Restauración de archivo Un agente ha logrado restaurar un archivo a su ubicación original en el


correcta endpoint o medio extraíble adjunto.
• CEF—RestoreSucceeded
• LEEF—RestoreSucceeded

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 257


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Syslog—RestoreSucceeded
• Email—RestoreSucceeded

Colocación de archivo Un agente ha logrado colocar a un archivo en el endpoint o su medio extraíble


en cuarentena correcta adjunto en cuarentena.
• CEF—QuarantineSucceeded
• LEEF—QuarantineSucceeded
• Syslog—QuarantineSucceeded
• Email—QuarantineSucceeded

Ajustes - ESM
La tabla siguiente muestra los logs de ajustes de ESM que puede enviar a una plataforma de logging externa
o correo electrónico.

Nombre de evento DESCRIPTION

Elementos de ESM Un evento de seguridad se eliminó de la consola ESM.


eliminados
• CEF—ArchivedPreventions
• LEEF—ArchivedPreventions
• Syslog—ArchivedPreventions
• Email—ArchivedPreventions

Error en la eliminación La consola ESM no pudo eliminar un evento de seguridad.


de elementos de ESM
• CEF—ArchivedPreventionsFailure
• LEEF—ArchivedPreventionsFailure
• Syslog—ArchivedPreventionsFailure
• Email—ArchivedPreventionsFailure

Ajustes cambiados Los ajustes de la consola ESM han cambiado.


• CEF—ConfigurationChange
• LEEF—ConfigurationChange
• Syslog—ConfigurationChange
• Email—ConfigurationChange

Ajustes: Condiciones
La tabla siguiente muestra los logs de gestión de condiciones que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Condición añadida/ Se añadió o editó una condición.


editada
• CEF—ConditionEdited
• LEEF—ConditionEdited

258 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Syslog—ConditionEdited
• Email—ConditionEdited

Condición eliminada Se eliminó una condición.


• CEF—ConditionDeleted
• LEEF—ConditionDeleted
• Syslog—ConditionDeleted
• Email—ConditionDeleted

Ajustes - Licencias
La tabla siguiente muestra los logs de gestión de licencias que puede enviar a una plataforma de logging
externa o correo electrónico.

Nombre de evento DESCRIPTION

Error en la validación de El agente no pudo validar la licencia.


la licencia de agente
• CEF—MachineLicenseValidationFailed
• LEEF—MachineLicenseValidationFailed
• Syslog—MachineLicenseValidationFailed
• Email—MachineLicenseValidationFailed

Vencimiento de la La licencia del agente venció.


licencia
• CEF—LicenseExpiration
• LEEF—LicenseExpiration
• Syslog—LicenseExpiration
• Email—LicenseExpiration

Cantidad de licencias El uso de la licencia ha alcanzado el 80%. Considere la adquisición de licencias


adicionales.
• CEF—LicenseQuantity
• LEEF—LicenseQuantity
• Syslog—LicenseQuantity
• Email—LicenseQuantity

Solicitud de licencia de El agente solicitó una licencia.


agente
• CEF—ClientLicenseRequest
• LEEF—ClientLicenseRequest
• Syslog—ClientLicenseRequest
• Email—ClientLicenseRequest

Licencia de agente no La licencia del agente no es válida.


válida
• CEF—ClientLicenseInvalid
• LEEF—ClientLicenseInvalid
• Syslog—ClientLicenseInvalid

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 259


© 2017 Palo Alto Networks, Inc.
Nombre de evento DESCRIPTION
• Email—ClientLicenseInvalid

Licencia enviada a El agente recibió una nueva licencia.


agente
• CEF—SendingLicenseToClient
• LEEF—SendingLicenseToClient
• Syslog—SendingLicenseToClient
• Email—SendingLicenseToClient

Grupo de licencias Se agregó un nuevo grupo de licencias a la consola ESM.


añadido
• CEF—LicensePoolAdded
• LEEF—LicensePoolAdded
• Syslog—LicensePoolAdded
• Email—LicensePoolAdded

Licencia de agente La licencia de un agente fue revocada.


revocada
• CEF—LicenseRevoked
• LEEF—LicenseRevoked
• Syslog—LicenseRevoked
• Email—LicenseRevoked

Paquete de configuración - instalación


La tabla siguiente muestra los eventos del paquete de instalación que puede enviar a una plataforma de
logging externa o correo electrónico.

Nombre de evento DESCRIPTION

Incompatibilidad con El agente no pudo validar la licencia.


terceros
• CEF—IncompatibleOs
• CEF—IncompatibleOs
• Syslog—IncompatibleOs
• Email—IncompatibleOs

Paquete de instalación El agente no pudo validar la licencia.


• CEF—InstallationPackage
• CEF—InstallationPackage
• Syslog—InstallationPackage
• Email—InstallationPackage

260 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Variables comunes usadas en Eventos
Desde la consola ESM puede configurar el envío de logs para los eventos que más le interesen. La ESM
traduce la información de eventos al formato que seleccione y lo envía a la plataforma de logging externo
y de forma opcional a una dirección de correo electrónico. Hay variables que se incluyen en cada evento y
que ESM sustituye con valores para dar significado a cada evento. Muchas variables se comparten con otros
tipos de eventos similares. Los siguientes temas describen algunas de las variables más comunes según el
tipo de evento:
• Variables de eventos de cambio de agente on page 261
• Variables de cambio de evento de configuración de ESM on page 262
• Variables de eventos de cambio de política on page 262
• Variables de eventos del servidor ESM on page 263
• Variables de supervisión de eventos de seguridad on page 264

Variables de eventos de cambio de agente


Los eventos de cambio de agente ocurren en el endpoint e incluyen cambios a las actualizaciones de
contenido, licencias, software, estado de conexión, reglas de acción de una sola vez, procesos y servicios,
y archivos en cuarentena. La consola ESM enumera estos eventos bajo la categoría de Eventos de logging
de Monitor - Agent (Supervisar - Agente). La tabla a continuación muestra las variables más comúnmente
especificadas en los eventos relacionados con el agente.

Nombre Significado

dhost El nombre de equipo del endpoint

duser Usuario que ha iniciado sesión en el endpoint

msg Descripción de la naturaleza del evento

Módulo Nombre del módulo de protección de exploits (EPM)

ContentVersion Versión de actualización de contenido

ModuleVersion Versión del módulo de análisis local

Por ejemplo, considere el resultado de un evento de Agent Service Start (Inicio del servicio del agente) en
formato CEF:

Sep 28 2016 17:38:48 172.16.183.173 CEF:0|Palo Alto Networks|Traps Agent|


3.4.1.16709|Traps Service Status Change|Agent|6|rt=Sep 28 2016 17:38:48
dhost=traps-win7x86 duser=Traps msg=Agent Service Status Changed: Stopped->
Running

Observe que este evento utiliza varias variables comunes, en particular: dhost, duser y msg.

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 261


© 2017 Palo Alto Networks, Inc.
Variables de cambio de evento de configuración de ESM
Los eventos de cambio de configuración de ESM incluyen cambios generales a licencias, usuarios
administrativos y funciones, procesos, configuración de restricción y condiciones. La consola ESM enumera
estos eventos bajo las siguientes categorías de Eventos de logging:
• Políticas: Gestión de procesos
• Políticas: Ajustes de restricción
• Ajustes: Administración
• Condiciones de ajustes
La tabla a continuación muestra las variables más comúnmente especificadas en los eventos relacionados
con la configuración de ESM.

Nombre Significado

shost Nombre de la máquina del servidor de consola ESM

suser Usuario que inició sesión en la consola ESM

msg Descripción de texto libre

dhost El nombre de equipo del endpoint

deviceProcessName Nombre de proceso

Por ejemplo, considere el resultado de un evento de Role Added/Edited (Función añadida/editada) en


formato CEF:

Sep 28 2016 17:42:04 ESM CEF:0|Palo Alto Networks|Traps ESM|3.4.1.16709|


Role Edited|Config|3|rt=Sep 28 2016 17:42:04 shost=ESM suser=administrator
msg=Role TechWriter was added\changed

Observe que este evento utiliza varias variables comunes, en particular: shost, suser y msg.

Variables de eventos de cambio de política


Los eventos de cambio de política incluyen cambios en las reglas, niveles de protección, actualizaciones de
contenido y veredictos. La consola ESM enumera estos eventos bajo las siguientes categorías de Eventos de
logging:
• Políticas - General
• Políticas - Reglas
• Políticas - Controles de hash
La tabla a continuación muestra las variables más comúnmente especificadas en los eventos de cambio de
política.

Nombre Significado

shost Nombre de la máquina del servidor de consola ESM

262 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Nombre Significado

suser Usuario que inició sesión en la consola ESM

fileHash Valor de hash del archivo ejecutable

msg Descripción de texto libre

Por ejemplo, considere el resultado de un evento de Hash Added (Hash añadido) en formato CEF:

Sep 28 2016 17:34:56 172.16.183.173 CEF:0|Palo Alto Networks|Traps ESM|


3.4.1.16709|New Hash Added|Policy|6|rt=Sep 28 2016 17:34:56 shost=ESM suser=
fileHash=c97f276b4c70682c8f8d39b91e30f938bc6e86a42cd6b71e3ad08092dba528e9
cs5Label=NewVerdict cs5=Benign msg=New hash added

Observe que este evento utiliza varias variables comunes, en particular: shost, suser, fileHash, y msg.

Variables de eventos del servidor ESM


Los eventos del servidor ESM incluyen cambios relacionados con la prevención, cambios de configuración,
estado de ESM, licencias, archivos de asistencia técnica ESM, comunicación con WildFire. La consola ESM
enumera estos eventos bajo las siguientes categorías de logging:
• Ajustes - ESM
• Ajustes - Licencias
• Monitor - ESM
La tabla a continuación muestra las variables más comúnmente especificadas en los eventos relacionados
con el servidor ESM.

Nombre Significado

shost Nombre de la máquina del servidor de consola ESM

suser Usuario que inició sesión en la consola ESM

dhost El nombre de equipo del endpoint

msg Mensaje de descripción de texto libre

duser Usuario que ha iniciado sesión en el endpoint

Filename Nombre del archivo ejecutable

Por ejemplo, observe el siguiente resultado de un evento Communication Check With Proxy (Prueba de
comunicación con el proxy) en formato CEF:

Sep 28 2016 17:34:50 172.16.183.173 CEF:0|Palo Alto Networks|Traps ESM|


3.4.1.16709|Communications Check With Proxy|System|9|rt=Sep 28 2016 17:34:50
shost=ESM suser= dhost=ESM msg=Communications check with Proxy on host 'ESM'.
Status: 'WildFire communication succeeded, proxy is disabled.'

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 263


© 2017 Palo Alto Networks, Inc.
Observe que este evento utiliza varias variables comunes, en particular: shost, dhost y msg.

Variables de supervisión de eventos de seguridad


Los eventos de seguridad incluyen todos los eventos de prevención, notificación y provisionales que los
agentes de Traps informan. La consola ESM enumera estos eventos bajo la categoría de Eventos de logging
de Eventos de seguridad. La tabla a continuación muestra las variables más comúnmente especificadas
usadas para la supervisión de eventos de seguridad.

Nombre Significado

dhost El nombre de equipo del endpoint

duser Usuario que estaba conectado al endpoint.

Modelo Nombre del módulo de protección de exploits (EPM)

deviceProcessName Nombre de proceso

Archivo hash Valor de hash del archivo ejecutable

dvc/dst Dirección IP del endpoint

msg Descripción de texto libre

Versión de contenidos Versión de contenidos

Por ejemplo, considere el resultado de un Prevention Event (Evento de prevención) en formato CEF:

Aug 25 2016 12:52:45 10.200.0.216 CEF:0|Palo Alto Networks|


Traps Agent|3.4.1.15591|Prevention Event|Threat|9|rt=Aug
25 2016 12:52:45 dhost=tmpltwe7stan duser=TMPLTWE7STAN
\User cs2Label=Module cs2=DEP deviceProcessName=firefox.exe
fileHash=CD3CF48E727B5904A211F9366A67695702893316C7A039554496E99D98173D3C
cs3Label=ContentVersion cs3=5-353 dvc=10.200.0.30 msg=New prevention event.
Prevention Key: f24ba02f-bf08-4713-be00-f03bfc1f4034

Observe que este evento utiliza varias variables comunes, en particular: dhost, duser,
deviceProcessName, fileHash, dvc y msg.

264 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Envío de logs a una plataforma de logging
externa
Syslog es un mecanismo de transporte de logs estándar que permite añadir datos de logs desde distintos
dispositivos y proveedores de red a un repositorio central para su archivado y análisis, así como para
elaborar informes. Dependiendo del tipo y la gravedad de los datos en los archivos de log, puede recibir un
aviso de alerta de eventos críticos que requieran su atención, o puede que tenga políticas que requieran que
archive los datos durante más tiempo del que pueden ser almacenados en la consola ESM. En estos casos,
puede configurar ESM para enviar sus datos de logs a un servicio externo para su archivado, notificación,
análisis o una combinación de estas tres.
• Habilitar el envío de logs a una plataforma de logging externa
• Habilitar el envío de logs a una plataforma de logging externa usando la herramienta de configuración de
DB
• Formato CEF
• Formato LEEF
• Formato Syslog (RFC5424)

Habilitar el envío de logs a una plataforma de logging externa


La consola y los servidores ESM generan logs de manera colectiva para más de 60 tipos de eventos —
incluidos eventos de seguridad, cambios de configuración de política y eventos de monitorización (agente y
servidor)—, que se pueden enviar a una plataforma de logging externa. Al habilitar el envío de logs, el ESM
puede enviar todos esos logs o parte de ellos a un servicio externo para analizarlos o guardarlos durante
periodos largos.
El componente del ESM que envía los logs varía según el tipo de evento. Por ejemplo, al supervisar cambios
de veredicto, la consola ESM envía logs cuando cambia veredictos por hashes. Si WildFire cambia el
veredicto, el servidor ESM envía los logs.
Para enviar logs, utilice los protocolos TCP o SSL si desea un traslado de logs fiable y seguro, o UDP para un
traslado no seguro. También puede personalizar el formato de la información (CEF, LEEF o Syslog) en que la
consola ESM envía los logs.

La fecha/hora de cada evento registrado en un log está en UTC.

STEP 1 | Habilite el reenvío de logs.


En la consola ESM, seleccione Settings (Ajustes) > ESM > Syslog y luego Enable Syslog (Habilitar Syslog).

STEP 2 | Configure los ajustes para el envío de logs desde los componentes ESM a una plataforma de
logging externa. Para enviar logs a una dirección de correo electrónico, consulte Enviar logs a
correo electrónico on page 314.
Configure los siguientes ajustes:
• Syslog Server (Servidor de Syslog): nombre de host o dirección IP de la plataforma de logging externa.
• Syslog Port (Puerto de Syslog): puerto de comunicación de la plataforma de logging externa (por
ejemplo, 514).
• Syslog Protocol (Protocolo de Syslog): el formato que utiliza la consola ESM para enviar informes
(CEF, LEEF o Syslog).

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 265


© 2017 Palo Alto Networks, Inc.
• Keep-alive timeout (Tiempo de conexión persistente): periodo (en minutos) en el que Traps envía
un mensaje de conexión persistente a la plataforma de logging externa (el valor por defecto es 0;
el intervalo abarca de 0 a 2 147 483 647). Un valor de 0 indica que no desea enviar información de
conexión persistente a la plataforma de logging externa.
• Communication Protocol (Protocolo de comunicación): protocolo de capa de transporte que ESM
utiliza para enviar informes de syslog (TCP, TCP with SSL [TCP con SSL] o UDP).

STEP 3 | Seleccione los eventos que desea enviar a la plataforma de logging externa.
En el área de Logging Events, seleccione uno o más eventos. Desplácese por la lista para ver tipos
adicionales de eventos que puede enviar.

STEP 4 | Guarde sus ajustes.


Haga clic en Save (Guardar).

STEP 5 | Compruebe la configuración de los ajustes.


Haga clic en Check Connectivity (Comprobar conectividad). La consola ESM envía una prueba de
comunicación a la plataforma de logging externa con los ajustes que ha configurado. Si no recibe el
mensaje de prueba, confirme que sus ajustes sean correctos y luego inténtelo nuevamente.

Habilitar el envío de logs a una plataforma de logging externa


usando la herramienta de configuración de DB
Endpoint Security Manager puede escribir logs en una plataforma de creación de logs externa; como por
ejemplo un sistema SIEM, servicios SOC o syslog, además de almacenar sus propios logs de forma interna.
Al especificar una plataforma de creación de logs externa, puede obtener una vista agregada de los logs
de todos los servidores ESM. Puede habilitar los informes externos usando el Endpoint Security Manager
(consulte Envío de logs a una plataforma de logging externa) o usando la herramienta de configuración de
bases de datos (DB).
La herramienta de configuración DB es una interfaz de línea de comandos que proporciona una alternativa
a la gestión de los ajustes básicos del servidor utilizando la consola EMS. Puede acceder a la herramienta de
configuración DB utilizando una línea de comandos de Microsoft MS-DOS ejecutado como administrador.
La herramienta de configuración DB se encuentra en la carpeta Server (Servidor) del servidor ESM.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

Por defecto, el reenvío de logs está deshabilitado.

STEP 1 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server

266 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
STEP 3 | (Opcional) Visualice los ajustes de informes existentes:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server>dbconfig reporting show EnableSyslog = False SyslogServer
= SyslogPort = 0 SyslogProtocol = Cef KeepAliveTimeout =
0 MaximumReportsCount = 500000 MinReportsCount = 450000
SyslogCommunicationType = Udp

STEP 4 | Habilite el reenvío de logs a una plataforma de logging externo como por ejemplo un servidor
syslog:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting EnableSyslog true

STEP 5 | Especifique la dirección IP (nombre de host) de la plataforma de logging externo:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting SyslogServer <ipaddress>

STEP 6 | Especifique el puerto de comunicación para la plataforma de logging externo, un valor entre 1 y
65535 (por defecto es 514):

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting SyslogPort <portnumber>

STEP 7 | Especifique el protocolo que la consola de ESM usará para enviar informes, Cef, Leef, o
Rfc5424 (syslog).

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting SyslogProtocol [Cef | Leef | Rfc5424]

STEP 8 | (Opcional) Introduzca un intervalo (en minutos) durante el cual el endpoint envía un mensaje de
conexión persistente al log o informe, un valor de 0 o superior (el valor por defecto es 0):

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting KeepAliveTimeout <value>

STEP 9 | (Opcional) Especifique el número máximo de notificaciones para almacenar en la base de datos,
un valor de 0 o superior (el valor por defecto es 4000):

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig reporting MaximumReportsCount <value>

Por ejemplo, la especificación de un recuento máximo de informes de 5000 notificaciones significa que
el Endpoint Security Manager desechará las notificaciones más antiguas superiores a 5000.

STEP 10 | (Opcional) Especifique el número máximo de notificaciones de informe para almacenar en la


base de datos, un valor de 0 o superior (el valor por defecto es 5000):

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 267


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Endpoint Security Manager
\Server> dbconfig reporting
MinReportsCount <value>

Formato CEF
La siguiente tabla enumera los eventos en formato CEF.

Evento Formato CEF

AgentAuthenticationFailed @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Agent Authentication
Failed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dvc=@Model["AgentIp"]
msg=@Model["AgentIp"] authentication failed -
@Model["FailureReason"]

AgentContentUpdate @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Agent Content
Update|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=@Model["host"]
received new content- version
@Model["ContentVersion"]

AgentPolicyChange @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Agent Policy
Changed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Policy changed

AgentPolicyChangesFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Agent Policy Changes failed|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=New Policy Changes Failed

ArchivedPreventionsFailure @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Preventions Archived Failed|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Archived preventions
failed

ArchivedPreventions @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Preventions

268 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
Archived|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=@Model["totalPreventions"] preventions
been archived

ClientInstall @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Agent Install|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Agent installed

ClientLicenseInvalid @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Client License
Invalid|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Invalid license

ClientLicenseRequest @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Client License
Request|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=New license request

ClientUninstall @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Agent Uninstall|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Agent uninstalled

ClientUpgrade @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Agent Upgrade|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Agent upgraded

CommunicationsCheckWithProxy @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Communications Check With Proxy|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Communications check
with Proxy on host '@Model["host"]'. Status:
'@Model["message"]'

ConditionDeleted @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Condition
Deleted|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 269


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
suser=@Model["user"] dhost=@Model["host"]
msg=Condition ID: @Model["id"] was deleted

ConditionEdited @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Condition
Edited|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Condition ID:
@Model["id"] was added/changed.

ConfigurationChange @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Settings
Change|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=@Model["Property"] has changed from
@Model["OldValue"] to @Model["NewValue"].

DisabledProtection @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Protection
Disabled|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Protection disabled
on all agents

EPMInitFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
EPM Init Failed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] cs2Label=Module
cs2=@Model["EPM"] msg=EPM @Model["EPM"] failed
to initialize

EnabledProtection @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Protection
Enabled|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Protection restored
on all agents

EsmConfigurationChange @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
ESM Configuration Change|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Multi ESM
configurations has changed

270 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF

EsmStatusChange @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|ESM Status
Change|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=ESM status changed

FileUploadFailure @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|File Upload
Failure|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
dhost=@Model["host"] duser=@Model["user"]
fname=@Model["fileName"] msg=File failed to
upload

HashesImport @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Hashes Import|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
msg=@Model["Amount"] hashes were imported

Heartbeat @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Heartbeat|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] dvc=@Model["AgentIp"]
msg=Service is alive

LicenseExpiration @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|License
Expiration|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=@Model["poolName"] licenses will expire in
@Model["days"] days

LicensePoolAdded @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|License Pool
Added|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=A pool of @Model["licenseCount"] licenses
of type @Model["licenseType"] have been added

LicenseQuantity @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|License

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 271


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
Quantity|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=Agent Licenses are running low

LicenseRevoked @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|License
Revoked|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=Licenses revoked

LocalAnalysisFeatureExtractionFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Local Analysis Extraction Failed|
Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] cs3Label=ContentVersion
cs3=@Model["ContentVersion"] msg=Local
Analysis Feature Extraction Failed

LocalAnalysisModelUnavailable @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Local Analysis Model Unavailable|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Local Analysis Model
Unavailable

LocalAnalysisModuleFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Local Analysis Module Failed|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=Add new module into Local Analysis- Failed

LocalAnalysisModuleSucceeded @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Local Analysis Module
Succeeded|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] cs4Label=ModuleVersion
cs4=@Model["ModuleVersion"] msg=Add new module
into Local Analysis- Succeeded

MachineLicenseValidationFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Machine License Validation Failed|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]

272 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
dhost=@Model["host"] msg=License Validation
Failed

NewHash @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
New Hash Added|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
cs5Label=NewVerdict cs5=@Model["NewVerdict"]
msg=New hash added

NotificationEvent @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Notification Event|Threat|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
cs2Label=Module cs2=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"]
cs3Label=ContentVersion
cs3=@Model["ContentVersion"]
dvc=@Model["AgentIp"] msg=New notification
event. Prevention Key: @Model["preventionKey"]

OneTimeActionComplete @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
One Time Action Complete|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=One Time Action completed. Action
Type: @Model["ActionType"]. Action ID:
@Model["ActionID"]

OneTimeActionFailed @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|One Time Action
Failed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=One Time
Action failed to run. Action Type:
@Model["ActionType"]

PostDetectionEvent @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Post Detection Event|Threat|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
cs2Label=Module cs2=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"]
cs3Label=ContentVersion
cs3=@Model["ContentVersion"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 273


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
dvc=@Model["AgentIp"] msg=New post detection
event. Prevention Key: @Model["preventionKey"]

PreventionEvent @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Prevention Event|Threat|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
cs2Label=Module cs2=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"]
cs3Label=ContentVersion
cs3=@Model["ContentVersion"]
dvc=@Model["AgentIp"] msg=New prevention
event. Prevention Key: @Model["preventionKey"]

ProcessCrashed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Process Crashed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Process
@Model["ProcessName"] had crashed

ProcessDeleted @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Process Deleted|Config|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
deviceProcessName=@Model["Name"] msg=Process
was deleted

ProcessEdited @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Process Edited|Config|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
deviceProcessName=@Model.Data.ProcessFilename
msg=Process was added/edited

ProcessInjectionTimedOut @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Process Injection Time Out|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=Injection Timeout

ProvisionalEvent @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Provisional Event|Threat|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
cs2Label=Module cs2=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]

274 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
fileHash=@Model["Hash"]
cs3Label=ContentVersion
cs3=@Model["ContentVersion"]
dvc=@Model["AgentIp"] msg=New provisional
event. Prevention Key: @Model["preventionKey"]

PublisherChanged @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Trusted Signer
Changed|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
msg=Hash @Model["Hash"] trusted signer changed
automatically from @Model["OldPublisher"] to
@Model["NewPublisher"]

QuarantineFailed @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Quarantine
Failed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=File
@Model["fileName"] could not be quarantined,
reason: @Model["FailureReason"]

QuarantineQuotaExceeded @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Quarantine Quota Exceeded |Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=File @Model["fileName"] was permanently
removed from the quarantine folder because
quota was exceeded

QuarantineSucceeded @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Quarantine
Succeed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=File
@Model["fileName"] was quarantined
successfully

ReportingServiceStartFailed @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Reporting Service Start Failed|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=Failed listening to Traps reporting
service on @Model["host"].

RestoreFailed @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 275


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
@Model["ProductVersion"]|Restore Failed|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=File @Model["fileName"] could not be
restored, reason: @Model["FailureReason"]

RestoreSucceeded @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Restore
Succeeded|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=File
@Model["fileName"] restored successfully

RestrictionSettingsEdited @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Restriction Settings Edited|Config|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Restriction Settings were added/changed

RoleDeleted @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Role Deleted|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Role @Model["Name"]
was deleted

RoleEdited @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Role Edited|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Role @Model.Data.Name
was added\changed

RoleStatusChanged @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Role Status
Changed|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Role @Model["Name"]
status was changed to @Model["Status"]

RuleDeleted @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Rule Deleted|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] cs1Label=Rule
cs1=@Model["id"] msg=Rule @Model["id"]:
Deleted

RuleEdited @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|

276 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
Rule Edited|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] cs1Label=Rule
cs1=@Model.Data.Id msg=Rule @Model.Data.Id:
Edited

SendingLicenseToClient @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Sending License To Client|Config|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=New license sent

ServerContentRevertFailure @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Server Content Revert Failure|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version failed to revert
to @Model["ContentVersion"]. Error:
@Model["Error"]

ServerContentRevertSuccess @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Server Content Revert Success|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version was reverted to
@Model["ContentVersion"] successfully

ServerContentUpdateFailure @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Server Content Update Failed|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version failed to update
to @Model["ContentVersion"]. Error:
@Model["Error"]

ServerContentUpdateSuccess @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Server Content Update Success|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version was updated to
@Model["ContentVersion"] successfully

ServerHeartbeat @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
ESM Heartbeat|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 277


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
suser=@Model["user"] dhost=@Model["host"]
msg=ESM heartbeat

ServiceAlive @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Service Alive|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Service start

ServiceStartFailed @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Service Start
Failed|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Service start failed

ServiceStopped @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Service Stopped|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Service stopped

ServiceWarning @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Service
Warning|Threat|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] cs2Label=Module
cs2=@Model["EPM"]dvc=@Model["AgentIp"]
msg=Warning- Java sandboxed file access to
@Model["TargetValue"]

SystemShutdown @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
System Shutdown|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Service shutdown

TechSupportFileStatus @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Tech Support
File|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
msg=Tech Support File: Status:@Model["Status"]

TrapsServiceStatusChange @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps Agent|@Model["ProductVersion"]|
Traps Service Status Change|Agent|
@Model.ExternalSeverity|rt=@Model["Time"]
dhost=@Model["host"] duser=@Model["user"]
msg=Agent Service Status Changed:
@Model["OldStatus"]-> @Model["NewStatus"]

278 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF

UserDeleted @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
User Deleted|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=User @Model["Name"]
was deleted.

UserEdited @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
User Edited|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=User @Model.Data.Name
was added\changed.

UserLogin @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|User Login|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=User @Model.Data.Username logged in to ESM
console

UserStatusChanged @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|User Status
Changed|Config|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] msg=User @Model["Name"]
status was changed to @Model["Status"]

VerdictChangeAnyToMalware @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Changed Any To Malware|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash verdict
changed to Malware. @Model["OldVerdict"] ->
@Model["NewVerdict"]

VerdictChangeMalwareToAny @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Change Malware To Any|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash
verdict changed from Malware. Awaiting
to restore: @Model["QuarantineStatus"].
@Model["OldVerdict"] -> @Model["NewVerdict"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 279


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF

VerdictChangeNoconnectionToAny @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Change No Connection To Any|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash
verdict changed from No Connection.
@Model["OldVerdict"] -> @Model["NewVerdict"]

VerdictChangeUnknownToAny @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Change Unknown To Any|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash verdict
changed from Unknown. @Model["OldVerdict"] ->
@Model["NewVerdict"]

VerdictChangeAwaitingAnalysisToAny @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Change Awaiting Analysis To
Any|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
cs5Label=NewVerdict cs5=@Model["NewVerdict"]
msg=Hash verdict changed from Awaiting
Analysis. @Model["OldVerdict"] ->
@Model["NewVerdict"]

VerdictChange @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Verdict
Changed|Policy|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
cs5Label=NewVerdict cs5=@Model["NewVerdict"]
msg=Hash verdict changed. @Model["OldVerdict"]
-> @Model["NewVerdict"]

VerdictManualOverride @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Manual Override|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash verdict
overridden manually. @Model["OldVerdict"] ->
@Model["NewVerdict"]

280 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF

VerdictRevertedToWildfire @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Verdict Reverted To WildFire|Policy|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] cs5Label=NewVerdict
cs5=@Model["NewVerdict"] msg=Hash verdict
reverted to WildFire. @Model["OldVerdict"] ->
@Model["NewVerdict"]

WfCommunicationsStatusChanged @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
WildFire Communications Status Changed|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=WildFire
communications status changed on host
'@Model["host"]'. Status: '@Model["message"]

InstallationPackage @Model["Time"] @Model["EsmIp"]


CEF:0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Agent Package
Created|System|@Model.ExternalSeverity|
rt=@Model["Time"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=@Model["OSType"] Agent Package was
@Model["AgentPackageStatus"]. Source
file: @Model["SourceFile"]. Package name:
@Model["AgentPackageName"] Agent Version:
@Model["AgentPackageVersion"]

IncompatibleOs @Model["Time"] @Model["EsmIp"] CEF:0|


Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Agent Incompatibility
Issue|Agent|@Model.ExternalSeverity|
rt=@Model["Time"] dhost=@Model["host"]
duser=@Model["user"] msg=Traps is inactive due
to @Model["IncompatibilityReason"]

RegistrationConflict @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Agent Registration Conflict Detected|System|
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Agent registration
conflict detected on host @Model["host"]
from IP: @Model["RequestIP"]. Saved IP:
@Model["AgentIp"]

EsmCertValidationWarning @Model["Time"] @Model["EsmIp"] CEF:0|Palo Alto


Networks|Traps ESM|@Model["ProductVersion"]|
Agent-ESM Authentication Warning|System|

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 281


© 2017 Palo Alto Networks, Inc.
Evento Formato CEF
@Model.ExternalSeverity|rt=@Model["Time"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Agent @Model["host"]
couldn't fully authenticate ESM
@Model["esmHost"] using installed certificate.

Formato LEEF
La siguiente tabla enumera los eventos en formato LEEF.

Evento Formato LEEF

Incumplimiento del acceso LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Access Violation|
cat=Threat subtype=Access Violation
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
Module=@Model["EPM"] dst=@Model["AgentIp"]
msg=Access Violation- @Model["TargetName"]:
@Model["TargetValue"] sev=@Model.ExternalSeverity

AgentAuthenticationFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Authentication
Failed|cat=Agent subtype=Agent Authentication
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dst=@Model["AgentIp"] msg=@Model["AgentIp"]
authentication failed - @Model["FailureReason"]
sev=@Model.ExternalSeverity

AgentContentUpdate LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Content
Update|cat=Agent subtype=Agent Content
Update devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=@Model["host"] received new content-
version @Model["ContentVersion"]
sev=@Model.ExternalSeverity

AgentPolicyChange LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Policy
Changed|cat=Agent subtype=Agent Policy
Changed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Policy changed sev=@Model.ExternalSeverity

AgentPolicyChangesFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Policy Changes

282 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
failed|cat=Agent subtype=Agent Policy Changes
failed devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=New
Policy Changes Failed sev=@Model.ExternalSeverity

ArchivedPreventionsFailure LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Preventions Archived
Failed|cat=System subtype=Preventions Archived
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Archived preventions
failed sev=@Model.ExternalSeverity

ArchivedPreventions LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Preventions
Archived|cat=System subtype=Preventions
Archived devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=@Model["totalPreventions"] preventions been
archived sev=@Model.ExternalSeverity

ClientInstall LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Install|cat=Agent
subtype=Agent Install devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=Agent
installed sev=@Model.ExternalSeverity

ClientLicenseInvalid LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Client License
Invalid|cat=Agent subtype=Client License
Invalid devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Invalid license sev=@Model.ExternalSeverity

ClientLicenseRequest LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Client License
Request|cat=Agent subtype=Client License
Request devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=New
license request sev=@Model.ExternalSeverity

ClientUninstall LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Uninstall|cat=Agent
subtype=Agent Uninstall devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 283


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
dhost=@Model["host"] duser=@Model["user"] msg=Agent
uninstalled sev=@Model.ExternalSeverity

ClientUpgrade LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Upgrade|cat=Agent
subtype=Agent Upgrade devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=Agent
upgraded sev=@Model.ExternalSeverity

CommunicationsCheckWithProxy LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Communications Check
With Proxy|cat=System subtype=Communications Check
With Proxy devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Communications check
with Proxy on host '@Model["host"]'. Status:
'@Model["message"]' sev=@Model.ExternalSeverity

ConditionDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Condition Deleted|
cat=Config subtype=Condition Deleted
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Condition ID: @Model["id"]
was deleted sev=@Model.ExternalSeverity

ConditionEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Condition Edited|
cat=Config subtype=Condition Edited
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Condition ID: @Model["id"] was added/changed.
sev=@Model.ExternalSeverity

ConfigurationChange LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Settings Change|cat=Config
subtype=Settings Change devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=@Model["Property"]
has changed from @Model["OldValue"] to
@Model["NewValue"]. sev=@Model.ExternalSeverity

DisabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Protection
Disabled|cat=Policy subtype=Protection
Disabled devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]

284 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
msg=Protection disabled on all agents
sev=@Model.ExternalSeverity

EPMInitFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|EPM Init Failed|cat=Agent
subtype=EPM Init Failed devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
Module=@Model["EPM"] msg=EPM @Model["EPM"] failed
to initialize sev=@Model.ExternalSeverity

EnabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Protection
Enabled|cat=Policy subtype=Protection
Enabled devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Protection restored on all agents
sev=@Model.ExternalSeverity

EsmConfigurationChange LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|ESM Configuration
Change|cat=System subtype=ESM Configuration
Change devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Multi ESM configurations
has changed sev=@Model.ExternalSeverity

EsmStatusChange LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|ESM Status
Change|cat=System subtype=ESM Status
Change devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=ESM status changed
sev=@Model.ExternalSeverity

FileUploadFailure LEEF:1.0|Palo Alto Networks|Traps


ESM|@Model["ProductVersion"]|File
Upload Failure|cat=System subtype=File
Upload Failure devTimeFormat=MMM dd
yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
dhost=@Model["host"] duser=@Model["user"]
fname=@Model["fileName"] msg=File failed to upload
sev=@Model.ExternalSeverity

HashesImport LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Hashes Import|cat=Policy
subtype=Hashes Import devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 285


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
fileHash=@Model["Hash"] msg=@Model["Amount"] hashes
were imported sev=@Model.ExternalSeverity

Heartbeat LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Heartbeat|cat=Agent
subtype=Heartbeat devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
dst=@Model["AgentIp"] msg=Service is alive
sev=@Model.ExternalSeverity

LicenseExpiration LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|License Expiration|
cat=System subtype=License Expiration
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=@Model["poolName"]
licenses will expire in @Model["days"] days
sev=@Model.ExternalSeverity

LicensePoolAdded LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|License Pool
Added|cat=System subtype=License Pool
Added devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=A pool of
@Model["licenseCount"] licenses of type
@Model["licenseType"] have been added
sev=@Model.ExternalSeverity

LicenseQuantity LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|License Quantity|
cat=System subtype=License Quantity
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Agent Licenses are running
low sev=@Model.ExternalSeverity

LicenseRevoked LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|License Revoked|cat=Config
subtype=License Revoked devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Licenses revoked
sev=@Model.ExternalSeverity

LocalAnalysisFeatureExtractionFailed
LEEF:1.0|Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Local Analysis Extraction
Failed|cat=Agent subtype=Local Analysis Extraction
Failed devTimeFormat=MMM dd yyyy HH:mm:ss

286 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
ContentVersion=@Model["ContentVersion"]
msg=Local Analysis Feature Extraction Failed
sev=@Model.ExternalSeverity

LocalAnalysisModelUnavailable LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Local Analysis Model
Unavailable|cat=System subtype=Local Analysis
Model Unavailable devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=Local Analysis Model
Unavailable sev=@Model.ExternalSeverity

LocalAnalysisModuleFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Local Analysis Module
Failed|cat=Agent subtype=Local Analysis Module
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Add new module into Local Analysis- Failed
sev=@Model.ExternalSeverity

LocalAnalysisModuleSucceeded LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Local Analysis Module
Succeeded|cat=Agent subtype=Local Analysis Module
Succeeded devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
ModuleVersion=@Model["ModuleVersion"] msg=Add
new module into Local Analysis- Succeeded
sev=@Model.ExternalSeverity

MachineLicenseValidationFailed LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Machine License Validation
Failed|cat=System subtype=Machine License
Validation Failed devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=License Validation Failed
sev=@Model.ExternalSeverity

NewHash LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|New Hash Added|cat=Policy
subtype=New Hash Added devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=New hash added
sev=@Model.ExternalSeverity

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 287


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF

NotificationEvent LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Notification
Event|cat=Threat subtype=Notification
Event devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] Module=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"]
ContentVersion=@Model["ContentVersion"]
dst=@Model["AgentIp"] msg=New notification
event. Prevention Key: @Model["preventionKey"]
sev=@Model.ExternalSeverity

OneTimeActionComplete LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|One Time Action
Complete|cat=Agent subtype=One Time Action
Complete devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=One Time Action completed. Action
Type=@Model["ActionType"]. Action
ID=@Model["ActionID"] sev=@Model.ExternalSeverity

OneTimeActionFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|One Time
Action Failed|cat=Agent subtype=One
Time Action Failed devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] msg=One Time Action
failed to run. Action Type=@Model["ActionType"]
sev=@Model.ExternalSeverity

PostDetectionEvent LEEF:1.0|Palo Alto Networks|Traps


Agent|@Model["ProductVersion"]|Post
Detection Event|cat=Threat subtype=Post
Detection Event devTimeFormat=MMM dd
yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] Module=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"] dst=@Model["AgentIp"]
msg=New post detection event.
Prevention Key: @Model["preventionKey"]
ContentVersion=@Model["ContentVersion"]
sev=@Model.ExternalSeverity

PreventionEvent LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Prevention
Event|cat=Threat subtype=Prevention
Event devTimeFormat=MMM dd yyyy

288 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] Module=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"] dst=@Model["AgentIp"]
msg=New prevention event. Prevention
Key: @Model["preventionKey"]
ContentVersion=@Model["ContentVersion"]
sev=@Model.ExternalSeverity

ProcessCrashed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Process Crashed|cat=Agent
subtype=Process Crashed devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Process @Model["ProcessName"] had crashed
sev=@Model.ExternalSeverity

ProcessDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Process Deleted|cat=Config
subtype=Process Deleted devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
deviceProcessName=@Model["Name"] msg=Process was
deleted sev=@Model.ExternalSeverity

ProcessEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Process Edited|cat=Config
subtype=Process Edited devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
deviceProcessName=@Model.Data.ProcessFilename
msg=Process was added/edited
sev=@Model.ExternalSeverity

ProcessInjectionTimedOut LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Process Injection
Time Out|cat=Agent subtype=Process Injection
Time Out devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Injection Timeout sev=@Model.ExternalSeverity

ProvisionalEvent LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Provisional
Event|cat=Threat subtype=Provisional
Event devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] Module=@Model["EPM"]
deviceProcessName=@Model["ProcessName"]
fileHash=@Model["Hash"]
ContentVersion=@Model["ContentVersion"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 289


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
dst=@Model["AgentIp"] msg=New provisional
event. Prevention Key: @Model["preventionKey"]
sev=@Model.ExternalSeverity

PublisherChanged LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Trusted Signer
Changed|cat=Policy subtype=Trusted Signer
Changed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
fileHash=@Model["Hash"] msg=Hash @Model["Hash"]
trusted signer changed automatically from
@Model["OldPublisher"] to @Model["NewPublisher"]
sev=@Model.ExternalSeverity

QuarantineFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Quarantine
Failed|cat=Agent subtype=Quarantine
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=File @Model["fileName"] could not be
quarantined, reason: @Model["FailureReason"]
sev=@Model.ExternalSeverity

QuarantineQuotaExceeded LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Quarantine Quota
Exceeded|cat=Agent subtype=Quarantine Quota
Exceeded devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=File
@Model["fileName"] was permanently removed from
the quarantine folder because quota was exceeded
sev=@Model.ExternalSeverity

QuarantineSucceeded LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Quarantine
Succeed|cat=Agent subtype=Quarantine
Succeed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=File
@Model["fileName"] was quarantined successfully
sev=@Model.ExternalSeverity

ReportingServiceStartFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Reporting Service
Start Failed|cat=Agent subtype=Failed
listening to Traps reporting service on
@Model["host"] devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]

290 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
msg=Reporting Service start failed.
sev=@Model.ExternalSeverity

RestoreFailed LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Restore Failed|cat=Agent
subtype=Restore Failed devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=File
@Model["fileName"] could not be restored, reason:
@Model["FailureReason"] sev=@Model.ExternalSeverity

RestoreSucceeded LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Restore Succeeded|
cat=Agent subtype=Restore Succeeded
devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=File @Model["fileName"] restored successfully
sev=@Model.ExternalSeverity

RestrictionSettingsEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Restriction Settings
Edited|cat=Config subtype=Restriction Settings
Edited devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Restriction Settings were added/changed
sev=@Model.ExternalSeverity

RoleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Role Deleted|
cat=Config subtype=Role Deleted devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Role @Model["Name"] was
deleted sev=@Model.ExternalSeverity

RoleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Role Edited|cat=Config
subtype=Role Edited devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Role @Model.Data.Name was added\changed
sev=@Model.ExternalSeverity

RoleStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Role Status
Changed|cat=Config subtype=Role Status
Changed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 291


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
msg=Role @Model["Name"] status was changed to
@Model["Status"] sev=@Model.ExternalSeverity

RuleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Rule Deleted|cat=Policy
subtype=Rule Deleted devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
rule=@Model["id"] msg=Rule @Model["id"]: Deleted
sev=@Model.ExternalSeverity

RuleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Rule Edited|cat=Policy
subtype=Rule Edited devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
rule=@Model.Data.Id msg=Rule @Model.Data.Id: Edited
sev=@Model.ExternalSeverity

SendingLicenseToClient LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Sending License To
Client|cat=Config subtype=Sending License
To Client devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=New license sent
sev=@Model.ExternalSeverity

ServerContentRevertFailure LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Server Content Revert
Failure|cat=Policy subtype=Server Content Revert
Failure devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version failed to revert to
@Model["ContentVersion"]. Error: @Model["Error"]
sev=@Model.ExternalSeverity

ServerContentRevertSuccess LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Server Content
Revert Success|cat=Policy subtype=Server
Content Revert Success devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Content version was
reverted to @Model["ContentVersion"] successfully
sev=@Model.ExternalSeverity

ServerContentUpdateFailure LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Server Content Update
Failed|cat=Policy subtype=Server Content Update
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]

292 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
shost=@Model["esmHost"] suser=@Model["user"]
msg=Content version failed to update to
@Model["ContentVersion"]. Error: @Model["Error"]
sev=@Model.ExternalSeverity

ServerContentUpdateSuccess LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Server Content
Update Success|cat=Policy subtype=Server
Content Update Success devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] msg=Content version was
updated to @Model["ContentVersion"] successfully
sev=@Model.ExternalSeverity

ServerHeartbeat LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|ESM Heartbeat|cat=System
subtype=ESM Heartbeat devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=ESM heartbeat
sev=@Model.ExternalSeverity

ServiceAlive LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Service Alive|cat=Agent
subtype=Service Alive devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Service start sev=@Model.ExternalSeverity

ServiceStartFailed LEEF:1.0|Palo Alto Networks|Traps


Agent|@Model["ProductVersion"]|Service
Start Failed|cat=Agent subtype=Service
Start Failed devTimeFormat=MMM dd
yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] dhost=@Model["host"]
duser=@Model["user"] msg=Service start failed
sev=@Model.ExternalSeverity

ServiceStopped LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Service Stopped|cat=Agent
subtype=Service Stopped devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Service stopped sev=@Model.ExternalSeverity

ServiceWarning LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Service Warning|cat=Threat
subtype=Service Warning devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
Module=@Model["EPM"] dst=@Model["AgentIp"]

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 293


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
msg=Warning- Java sandboxed file access to
@Model["TargetValue"] sev=@Model.ExternalSeverity

SystemShutdown LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|System Shutdown|cat=Agent
subtype=System Shutdown devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"]
msg=Service shutdown sev=@Model.ExternalSeverity

TechSupportFileStatus LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Tech Support
File|cat=System subtype=Tech Support
File devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] msg=Tech Support File:
Status:@Model["Status"] sev=@Model.ExternalSeverity

TrapsServiceStatusChange LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Traps Service Status
Change|cat=Agent subtype=Traps Service Status
Change devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=Agent
Service Status Changed: @Model["OldStatus"]->
@Model["NewStatus"] sev=@Model.ExternalSeverity

UserDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|User Deleted|
cat=Config subtype=User Deleted devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] msg=User @Model["Name"] was
deleted. sev=@Model.ExternalSeverity

UserEdited LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|User Edited|cat=Config
subtype=User Edited devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=User @Model.Data.Name was added\changed.
sev=@Model.ExternalSeverity

UserLogin LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|User Login|cat=System
subtype=User Login devTimeFormat=MMM dd yyyy
HH:mm:ss devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=User @Model.Data.Username logged in to ESM
console sev=@Model.ExternalSeverity

UserStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|User Status

294 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
Changed|cat=Config subtype=User Status
Changed devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
msg=User @Model["Name"] status was changed to
@Model["Status"] sev=@Model.ExternalSeverity

VerdictChangeAnyToMalware LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Changed
Any To Malware|cat=Policy subtype=Verdict
Changed Any To Malware devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
changed to Malware. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

VerdictChangeMalwareToAny LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Change
Malware To Any|cat=Policy subtype=Verdict
Change Malware To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
changed from Malware. Awaiting to restore:
@Model["QuarantineStatus"]. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

VerdictChangeNoconnectionToAny
LEEF:1.0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Verdict Change No
Connection To Any|cat=Policy subtype=Verdict
Change No Connection To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
changed from No Connection. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

VerdictChangeUnknownToAny LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Change
Unknown To Any|cat=Policy subtype=Verdict
Change Unknown To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
changed from Unknown. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 295


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF

VerdictChangeAwaitingAnalysisToAny
LEEF:1.0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Verdict Change Awaiting
Analysis To Any|cat=Policy subtype=Verdict
Change Awaiting Analysis To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash
verdict changed from Awaiting Analysis.
@Model["OldVerdict"] -> @Model["NewVerdict"]
sev=@Model.ExternalSeverity

VerdictChange LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Changed|cat=Policy
subtype=Verdict Changed devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash
verdict changed. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

VerdictManualOverride LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Manual
Override|cat=Policy subtype=Verdict
Manual Override devTimeFormat=MMM dd
yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
overridden manually. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

VerdictRevertedToWildfire LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Verdict Reverted
To WildFire|cat=Policy subtype=Verdict
Reverted To WildFire devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
reverted to WildFire. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity

WfCommunicationsStatusChangedLEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|WildFire Communications
Status Changed|cat=System subtype=WildFire
Communications Status Changed devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=WildFire communications status changed on

296 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato LEEF
host '@Model["host"]'. Status: '@Model["message"]
sev=@Model.ExternalSeverity

InstallationPackage LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Agent Package
Created|cat=System subtype=Agent Package
Created devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
shost=@Model["esmHost"] suser=@Model["user"]
dhost=@Model["host"] msg=@Model["OSType"]
Agent Package was @Model["AgentPackageStatus"].
Source file: @Model["SourceFile"]. Package
name: @Model["AgentPackageName"] Agent
Version: @Model["AgentPackageVersion"]
sev=@Model.ExternalSeverity

IncompatibleOs LEEF:1.0|Palo Alto Networks|Traps Agent|


@Model["ProductVersion"]|Agent Authentication
Failed|cat=Agent subtype=Agent Incompatibility
Issue devTimeFormat=MMM dd yyyy HH:mm:ss
devTime=@Model["Time"] src=@Model["EsmIp"]
dhost=@Model["host"] duser=@Model["user"] msg=Traps
is inactive due to @Model["IncompatibilityReason"]
sev=@Model.ExternalSeverity

RegistrationConflict LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Agent Registration
Conflict Detected|cat=System subtype=Agent
Registration Conflict Detected devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"]
msg=Agent registration conflict detected on host
@Model["host"] from IP: @Model["RequestIP"], Saved
IP: @Model["AgentIp"] sev=@Model.ExternalSeverity

EsmCertValidationWarning LEEF:1.0|Palo Alto Networks|Traps ESM|


@Model["ProductVersion"]|Agent-ESM Authentication
Warning|cat=System subtype=Agent-ESM
Authentication Warning devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] dhost=@Model["host"] msg=Agent
@Model["host"] couldn't fully authenticate ESM
@Model["esmHost"] using installed certificate.
sev=@Model.ExternalSeverity

Formato Syslog (RFC5424)


La siguiente tabla enumera los eventos en formato Syslog (RFC5424).

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 297


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

AccessViolation <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Access
Violation,@Model["host"],@Model["user"],Access
Violation- @Model["TargetName"]:
@Model["TargetValue"],@Model.ExternalSeverity,@Model["EPM"],,,,

AgentAuthenticationFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent
Authentication Failed,,,@Model["AgentIp"]
authentication failed -
@Model["FailureReason"],@Model.ExternalSeverity,,,,@Model["Agen

AgentContentUpdate <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent Content
Update,@Model["host"],@Model["user"],@Model["host"]
received new content- version
@Model["ContentVersion"],@Model.ExternalSeverity,,,,,,

AgentPolicyChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent Policy
Changed,@Model["host"],@Model["user"],Policy
changed,@Model.ExternalSeverity,,,,,,

AgentPolicyChangesFailed <134>1 @Model["Rfc5424Time"]


@Model["esmHost"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent Policy
Changes failed,@Model["host"],@Model["user"],New
Policy Changes Failed,@Model.ExternalSeverity,,,,,,

ArchivedPreventionsFailure <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Preventions
Archived
Failed,@Model["esmHost"],@Model["user"],,,Archived
preventions failed,@Model.ExternalSeverity,,,,,

ArchivedPreventions <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Preventions
Archived,@Model["esmHost"],@Model["user"],@Model["host"],,@Mode
preventions been
archived,@Model.ExternalSeverity,,,,,

ClientInstall <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent

298 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Install,@Model["host"],@Model["user"],Agent
installed,@Model.ExternalSeverity,,,,,,

ClientLicenseInvalid <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Client License
Invalid,@Model["host"],@Model["user"],Invalid
license ,@Model.ExternalSeverity,,,,,,

ClientLicenseRequest <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Client License
Request,@Model["host"],@Model["user"],New license
request,@Model.ExternalSeverity,,,,,,

ClientUninstall <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent
Uninstall,@Model["host"],@Model["user"],Agent
uninstalled,@Model.ExternalSeverity,,,,,,

ClientUpgrade <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent
Upgrade,@Model["host"],@Model["user"],Agent
upgraded,@Model.ExternalSeverity,,,,,,

CommunicationsCheckWithProxy <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Communications
Check With
Proxy,@Model["esmHost"],@Model["user"],,,Communications
check with Proxy on host '@Model["host"]'. Status:
'@Model["message"]',@Model.ExternalSeverity,,,,,

ConditionDeleted <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Condition
Deleted,@Model["esmHost"],@Model["user"],,Condition
ID: @Model["id"] was
deleted,@Model.ExternalSeverity,,,,

ConditionEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Condition
Edited,@Model["esmHost"],@Model["user"],,Condition
ID: @Model["id"] was added/
changed.,@Model.ExternalSeverity,,,,

ConfigurationChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Settings

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 299


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Change,@Model["esmHost"],@Model["user"],,@Model["Property"]
has changed from @Model["OldValue"] to
@Model["NewValue"].,@Model.ExternalSeverity,,,,

DisabledProtection <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Protection
Disabled,@Model["esmHost"],@Model["user"],Protection
disabled on all agents,@Model.ExternalSeverity,,,,

EPMInitFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,EPM
Init Failed,@Model["host"],@Model["user"],EPM
@Model["EPM"] failed to
initialize,@Model.ExternalSeverity,@Model["EPM"],,,,,

EnabledProtection <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Protection
Enabled,@Model["esmHost"],@Model["user"],Protection
restored on all agents,@Model.ExternalSeverity,,,,

EsmConfigurationChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,ESM
Configuration
Change,@Model["esmHost"],@Model["user"],,,Multi
ESM configurations has
changed,@Model.ExternalSeverity,,,,,

EsmStatusChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,ESM Status
Change,@Model["esmHost"],@Model["user"],,,ESM
status changed,@Model.ExternalSeverity,,,,,

FileUploadFailure <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,File Upload
Failure,@Model["esmHost"],,@Model["host"],@Model["user"],File
failed to
upload,@Model.ExternalSeverity,@Model["fileName"],,,,

HashesImport <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Hashes
Import,@Model["esmHost"],@Model["user"],@Model["Amount"]
hashes were
imported,@Model.ExternalSeverity,@Model["Hash"],,,

300 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

Heartbeat <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Heartbeat,@Model["host"],@
is
alive,@Model.ExternalSeverity,,,,@Model["AgentIp"],,

LicenseExpiration <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,License
Expiration,@Model["esmHost"],@Model["user"],,,@Model["poolName"
licenses will expire in @Model["days"]
days,@Model.ExternalSeverity,,,,,

LicensePoolAdded <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,License
Pool Added,@Model["esmHost"],@Model["user"],,,A
pool of @Model["licenseCount"] licenses
of type @Model["licenseType"] have been
added,@Model.ExternalSeverity,,,,,

LicenseQuantity <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,License
Quantity,@Model["esmHost"],@Model["user"],,,Agent
Licenses are running
low,@Model.ExternalSeverity,,,,,

LicenseRevoked <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,License
Revoked,@Model["esmHost"],@Model["user"] ,@Model["host"],Licens
revoked,@Model.ExternalSeverity,,,,

LocalAnalysisFeatureExtractionFailed
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Local
Analysis Extraction
Failed,@Model["host"],@Model["user"],Local
Analysis Feature Extraction
Failed,@Model.ExternalSeverity,,@Model["ContentVersion"],,,,

LocalAnalysisModelUnavailable <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Local Analysis
Model
Unavailable,@Model["esmHost"],@Model["user"],@Model["host"],,Lo
Analysis Model
Unavailable,@Model.ExternalSeverity,,,,,

LocalAnalysisModuleFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 301


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Agent,@Model["ProductVersion"],Agent,Local Analysis
Module Failed,@Model["host"],@Model["user"],Add
new module into Local Analysis-
Failed,@Model.ExternalSeverity,,,,,,

LocalAnalysisModuleSucceeded <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Local Analysis
Module Succeeded,@Model["host"],@Model["user"],Add
new module into Local Analysis-
Succeeded,@Model.ExternalSeverity,,,@Model["ModuleVersion"],,,

MachineLicenseValidationFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Machine License
Validation
Failed,@Model["esmHost"],@Model["user"],@Model["host"],,License
Validation Failed,@Model.ExternalSeverity,,,,,

NewHash <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,New Hash
Added,@Model["esmHost"],@Model["user"],New hash
added,@Model.ExternalSeverity,@Model["Hash"],,@Model["NewVerdic

NotificationEvent <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Notification
Event,@Model["host"],@Model["user"],New
notification event. Prevention Key:
@Model["preventionKey"],@Model.ExternalSeverity,@Model["EPM"],@

OneTimeActionComplete <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,One Time
Action Complete,@Model["host"],@Model["user"],One
Time Action completed. Action
Type=@Model["ActionType"]. Action
ID=@Model["ActionID"],@Model.ExternalSeverity,,,,,,

OneTimeActionFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,One Time
Action Failed,@Model["host"],@Model["user"],One
Time Action failed to run. Action
Type=@Model["ActionType"],@Model.ExternalSeverity,,,,,,

PostDetectionEvent <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Post
Detection Event,@Model["host"],@Model["user"],New

302 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
post detection event. Prevention Key:
@Model["preventionKey"],@Model.ExternalSeverity,@Model["EPM"],@

PreventionEvent <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Prevention
Event,@Model["host"],@Model["user"],New
prevention event. Prevention Key:
@Model["preventionKey"],@Model.ExternalSeverity,@Model["EPM"],@

ProcessCrashed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Process
Crashed,@Model["host"],@Model["user"],
Process @Model["ProcessName"] had
crashed,@Model.ExternalSeverity,,,,,,

ProcessDeleted <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Process
Deleted,@Model["esmHost"],@Model["user"],,Process
was
deleted,@Model.ExternalSeverity,@Model["Name"],,,

ProcessEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Process
Edited,@Model["esmHost"],@Model["user"],,Process
was added/
edited,@Model.ExternalSeverity,@Model.Data.ProcessFilename,,,

ProcessInjectionTimedOut <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Process
Injection Time
Out,@Model["host"],@Model["user"],Injection
Timeout,@Model.ExternalSeverity,,,,,,

ProvisionalEvent <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Provisional
Event,@Model["host"],@Model["user"],New
provisional event. Prevention Key:
@Model["preventionKey"],@Model.ExternalSeverity,@Model["EPM"],@

PublisherChanged <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Trusted Signer
Changed,@Model["esmHost"],@Model["user"],Hash
@Model["Hash"] trusted signer changed
automatically from @Model["OldPublisher"] to
@Model["NewPublisher"],@Model.ExternalSeverity,@Model["Hash"],,

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 303


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

QuarantineFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Quarantine
Failed,@Model["host"],@Model["user"],File
@Model["fileName"] could
not be quarantined. Reason:
@Model["FailureReason"],@Model.ExternalSeverity,,,,,,

QuarantineQuotaExceeded <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Quarantine
Quota Exceeded,@Model["host"],@Model["user"],File
@Model["fileName"] was permanently removed
from the quarantine folder because quota was
exceeded,@Model.ExternalSeverity,,,,,,

QuarantineSucceeded <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Quarantine
Succeed,@Model["host"],@Model["user"],File
@Model["fileName"] was quarantined
successfully,@Model.ExternalSeverity,,,,,,

ReportingServiceStartFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Reporting
Service Start
Failed,@Model["host"],@Model["user"],Failed
listening to Traps reporting service on
@Model["host"].,@Model.ExternalSeverity,,,,,,

RestoreFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Restore
Failed,@Model["host"],@Model["user"],File
@Model["fileName"] could not be restored. Reason:
@Model["FailureReason"],@Model.ExternalSeverity,,,,,,

RestoreSucceeded <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Restore
Succeeded,@Model["host"],@Model["user"],File
@Model["fileName"] restored
successfully,@Model.ExternalSeverity,,,,,,

RestrictionSettingsEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Restriction
Settings
Edited,@Model["esmHost"],@Model["user"],,Restriction
Settings were added/
changed,@Model.ExternalSeverity,,,,

304 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

RoleDeleted <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Role
Deleted,@Model["esmHost"],@Model["user"],,Role
@Model["Name"] was
deleted,@Model.ExternalSeverity,,,,

RoleEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Role
Edited,@Model["esmHost"],@Model["user"],,Role
@Model.Data.Name was added
\changed,@Model.ExternalSeverity,,,,

RoleStatusChanged <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Role Status
Changed,@Model["esmHost"],@Model["user"],,Role
@Model["Name"] status was changed to
@Model["Status"],@Model.ExternalSeverity,,,,

RuleDeleted <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Rule
Deleted,@Model["esmHost"],@Model["user"],Rule
@Model["id"]:
Deleted,@Model.ExternalSeverity,,@Model["id"],,

RuleEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Rule
Edited,@Model["esmHost"],@Model["user"],Rule
@Model.Data.Id:
Edited,@Model.ExternalSeverity,,@Model.Data.Id,,

SendingLicenseToClient <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,Sending License
To
Client,@Model["esmHost"],@Model["user"] ,@Model["host"],New
license sent,@Model.ExternalSeverity,,,,

ServerContentRevertFailure <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Server Content
Revert
Failure,@Model["esmHost"],@Model["user"],Content
version failed to revert to
@Model["ContentVersion"]. Error:
@Model["Error"],@Model.ExternalSeverity,,,,

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 305


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

ServerContentRevertSuccess <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Server Content
Revert
Success,@Model["esmHost"],@Model["user"],Content
version was reverted to @Model["ContentVersion"]
successfully,@Model.ExternalSeverity,,,,

ServerContentUpdateFailure <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Server Content
Update
Failed,@Model["esmHost"],@Model["user"],Content
version failed to update to
@Model["ContentVersion"]. Error:
@Model["Error"],@Model.ExternalSeverity,,,,

ServerContentUpdateSuccess <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Server Content
Update
Success,@Model["esmHost"],@Model["user"],Content
version was updated to @Model["ContentVersion"]
successfully,@Model.ExternalSeverity,,,,

ServerHeartbeat <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,ESM
Heartbeat,@Model["esmHost"],@Model["user"],,,ESM
heartbeat,@Model.ExternalSeverity,,,,,

ServiceAlive <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Service
Alive,@Model["host"],@Model["user"],Service
start,@Model.ExternalSeverity,,,,,,

ServiceStartFailed <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Service Start
Failed,@Model["host"],@Model["user"],Service start
failed,@Model.ExternalSeverity,,,,,,

ServiceStopped <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Service
Stopped,@Model["host"],@Model["user"],Service
stopped,@Model.ExternalSeverity,,,,,,

ServiceWarning <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Threat,Service

306 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Warning,@Model["host"],@Model["user"],Warning-
Java sandboxed file access to
@Model["TargetValue"],@Model.ExternalSeverity,@Model["EPM"],,,,

SystemShutdown <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,System
Shutdown,@Model["host"],@Model["user"],Service
shutdown,@Model.ExternalSeverity,,,,,,

TechSupportFileStatus <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Tech Support
File,@Model["esmHost"],,,,Tech Support File:
Status:@Model["Status"],@Model.ExternalSeverity,,,,,

TrapsServiceStatusChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Traps Service
Status Change,@Model["host"],@Model["user"],Agent
Service Status Changed: @Model["OldStatus"]->
@Model["NewStatus"],@Model.ExternalSeverity,,,,,,

UserDeleted <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,User
Deleted,@Model["esmHost"],@Model["user"],,User
@Model["Name"] was
deleted.,@Model.ExternalSeverity,,,,

UserEdited <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,User
Edited,@Model["esmHost"],@Model["user"],,User
@Model.Data.Name was added
\changed.,@Model.ExternalSeverity,,,,

UserLogin <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,User
Login,@Model["esmHost"],@Model["user"],,,User
@Model.Data.Username logged in to ESM
console,@Model.ExternalSeverity,,,,,

UserStatusChanged <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Config,User Status
Changed,@Model["esmHost"],@Model["user"],,User
@Model["Name"] status was changed to
@Model["Status"],@Model.ExternalSeverity,,,,

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 307


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog

VerdictChangeAnyToMalware <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict Changed
Any To
Malware,@Model["esmHost"],@Model["user"],Hash
verdict changed to Malware. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictChangeMalwareToAny <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict Change
Malware To
Any,@Model["esmHost"],@Model["user"],Hash verdict
changed from Malware. Awaiting to restore:
@Model["QuarantineStatus"]. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictChangeNoconnectionToAny
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Change No Connection To
Any,@Model["esmHost"],@Model["user"],Hash verdict
changed from No Connection. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictChangeUnknownToAny <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict Change
Unknown To
Any,@Model["esmHost"],@Model["user"],Hash verdict
changed from Unknown. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictChangeAwaitingAnalysisToAny
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Change Awaiting Analysis To
Any,@Model["esmHost"],@Model["user"],Hash
verdict changed from Awaiting
Analysis. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictChange <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Changed,@Model["esmHost"],@Model["user"],Hash
verdict changed. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictManualOverride <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict Manual

308 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Override,@Model["esmHost"],@Model["user"],Hash
verdict overridden manually.
@Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

VerdictRevertedToWildfire <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Reverted To
Wildfire,@Model["esmHost"],@Model["user"],Hash
verdict reverted to WildFire.
@Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M

WfCommunicationsStatusChanged<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,WildFire
Communications Status
Changed,@Model["esmHost"],@Model["user"],,,WildFire
communications status changed on
host '@Model["host"]'. Status:
'@Model["message"],@Model.ExternalSeverity,,,,,

InstallationPackage <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Agent Package
Created,@Model["esmHost"],@Model["user"],,,@Model["OSType"]
Agent Package was @Model["AgentPackageStatus"].
Source file: @Model["SourceFile"]. Package
name: @Model["AgentPackageName"] Agent Version:
@Model["AgentPackageVersion"],@Model.ExternalSeverity,,,,,

IncompatibleOs <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Agent
Incompatibility
Issue,@Model["host"],@Model["user"],Traps is
inactive due to
@Model["IncompatibilityReason"],@Model.ExternalSeverity,,,,@Mod

RegistrationConflict <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Agent
Registration Conflict
Detected,@Model["esmHost"],@Model["user"],,,Agent
registration conflict detected on host
@Model["host"] from IP: @Model["RequestIP"]. Saved
IP: @Model["AgentIp"],@Model.ExternalSeverity,,,,,

EsmCertValidationWarning <134>1 @Model["Rfc5424Time"]


@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,Agent-ESM
Authentication

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 309


© 2017 Palo Alto Networks, Inc.
Evento Formato Syslog
Warning,@Model["esmHost"],@Model["user"],,,Agent
@Model["host"] couldn't fully authenticate
ESM @Model["esmHost"] using installed
certificate.,@Model.ExternalSeverity,,,,,

310 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Reenvío de logs a Panorama
El ESM admite el reenvío adicional de logs a Panorama. Cuando se integra con el ESM, Panorama ejerce
de receptor Syslog que ingiere logs de los componentes del ESM mediante Syslog en TCP, UDP o SSL. El
ESM admite el reenvío externo de logs a hasta dos dispositivos distintos —uno de los cuales puede ser un
recopilador de logs o un Panorama que también ejerza de recopilador de logs— y por correo electrónico. Sin
embargo, a diferencia de la configuración de una plataforma de logging externa o una dirección de correo
electrónico, no puede seleccionar eventos concretos para reenviarlos a Panorama. En su lugar, el ESM envía
automáticamente todos los eventos a Panorama.
El reenvío de logs a un recopilador de logs de Panorama brinda estas ventajas:
• Panorama proporciona una sola interfaz de usuario con la que puede ver toda la actividad del ESM y de
Traps. De este modo, puede controlar el estado tanto de la red como del endpoint en el mismo lugar.
• Panorama puede correlacionar eventos de seguridad discretos que ocurran en los endpoints con lo
que sucede en la red para trazar cualquier actividad sospechosa o maliciosa en todos los endpoints y el
cortafuegos. Esta vista integrada le brinda más contexto de la cronología de eventos y las pruebas que
necesita para detectar, identificar y responder a una incidencia.

Puesto que un dispositivo virtual Panorama en modo Legacy no puede ingerir logs de Traps,
debe usar un dispositivo virtual Panorama en modo Panorama.

• Configurar una comunicación segura con Panorama


• Habilitación del reenvío de logs a destinos externos
• Ver logs ESM y eventos correlacionados en Panorama

Habilitar del reenvío de logs a Panorama


Para habilitar el reenvío de logs a un recopilador de logs de Panorama, utilice el siguiente flujo de trabajo:

STEP 1 | Antes de comenzar: Si ha habilitado SSL para la comunicación segura de syslog entre Panorama
y los servidores ESM, debe Establecer la comunicación segura con Panorama.

STEP 2 | Para Configurar un recopilador de logs de Panorama para que reciba logs de ESM y Traps,
primero defina el perfil de ingestión de log en panorama:
1. Seleccione Panorama > Log Ingestion Profile (perfil de ingestión de log) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el perfil.
3. Seleccione Add (Añadir) un nuevo perfil e introduzca los detalles para el servidor ESM. Puede añadir
hasta 4 servidores ESM a un perfil.
4. Introduzca un Source Name (Nombre de origen).
5. Especifique el Port (Puerto) en el que Panorama escuchará los mensajes syslog. El intervalo es de
23.000 a 23.999.
6. Seleccione el protocolo de capa de transporte: TCP, UDP, o SSL.
7. Seleccione Traps_ESM para Tipo de log externo y 3.4.1+ de la lista desplegable de Version (Versión).

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 311


© 2017 Palo Alto Networks, Inc.
A medida que los formatos de log de Traps se actualizan, las definiciones de log actualizadas estarán
disponibles a través de actualizaciones de contenido en Panorama.

STEP 3 | Adjunte el perfil de ingestión de log a un grupo de recopiladores.


1. Seleccione Panorama > Collector Groups (Grupos de recopiladores) > Log Ingestion (Ingestión de
log) y Add (Añadir) para añadir el perfil de ingestión de log para que el grupo de recopiladores pueda
recibir logs de los servidores ESM incluidos en la lista del perfil.
Si ha habilitado SSL para la comunicación segura de syslog entre Panorama y los servidores ESM,
compruebe que se ha seleccionado un Certificado entrante para Syslog seguro. Para obtener más
información, consulte la Configurar una comunicación segura con Panorama.

2. Commit (Confirmar) los cambios realizados a Panorama y el Grupo de recopiladores.

STEP 4 | Habilite el reenvío de log a Panorama en la consola ESM.


Si utiliza una configuración de alta disponibilidad (HA) de Panorama, también puede especificar la
información de servidor y puerto del servidor redundante. Panorama en HA proporciona redundancia en
el caso de que el sistema o la red fallen.

1. En la consola ESM, seleccione Settings (Ajustes) > ESM > Panorama.


2. Enable log forwarding to Panorama (Habilite el reenvío de logs a Panorama).
3. Configure los siguientes ajustes:
• Syslog Server (Servidor de Syslog): nombre de host o dirección IP del servidor de Panorama.
• Panorama Server Port (Puerto de servidor de Panorama): Puerto en el que Panorama escuchará
los mensajes syslog.
• Panorama Failover Server (Optional) [Servidor de conmutación por error de Panorama (opcional)]:
nombre de host o dirección IP de un servidor secundario de Panorama.
• Panorama Failover Server Port (Puerto del Servidor de conmutación por error de Panorama):
Puerto del servidor secundario en el que Panorama escuchará los mensajes syslog.

312 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
• Communication Protocol (Protocolo de comunicación): protocolo de capa de transporte que
ESM utiliza para enviar informes a Panorama. (TCP, TCP with SSL [TCP con SSL] o UDP). Si ha
habilitado SSL para la comunicación segura de syslog entre Panorama y los servidores ESM,
también debe importar el certificado de CA raíz de Panorama al servidor ESM, tal y como se
describe en el siguiente paso.
4. Haga clic en Save (Guardar).

STEP 5 | Verifique la conectividad entre el ESM y Panorama


Haga clic en Check Connectivity (Comprobar conectividad). La consola ESM envía una prueba de
comunicación a la plataforma de logging externa con los ajustes que ha configurado. Si no recibe el
mensaje de prueba, confirme que sus ajustes sean correctos y luego inténtelo nuevamente.

Ver logs ESM y eventos correlacionados en Panorama


Después de Establecer la comunicación segura con Panorama y Habilitar el reenvío de logs a Panorama,
puede ver los logs y eventos relacionados en Panorama.

STEP 1 | Inicie sesión en Panorama.

STEP 2 | Seleccione Monitor (Supervisar) > External Logs (Logs externos) > Traps ESM para ver los logs
ingeridos en Panorama.

STEP 3 | Para ver los eventos correlacionados que Panorama genera cuando un agente de Traps
y el cortafuegos han observado una actividad de comandos y control de uno o más hosts
infectados en una red, seleccione Monitor (Supervisar) > Automated Correlation Engine
(Motor de correlación automatizada) > Correlated Events (Eventos correlacionados).

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 313


© 2017 Palo Alto Networks, Inc.
Enviar logs a correo electrónico
• Habilitar el reenvío de logs a correo electrónico
• Formato de correo electrónico

Habilitar el reenvío de logs a correo electrónico


La consola ESM genera logs para más de 60 tipos de eventos, incluidos eventos de seguridad, cambios de
configuración de la política y eventos de monitorización (agente y servidor). Según el tipo y la gravedad
de los datos en los archivos de log, puede recibir alertas de correo electrónico cuando eventos críticos
requieran su atención. La consola ESM reenvía logs a una dirección de correo electrónico usando el servicio
SMTP. Si desea reenviar todos o algunos de estos logs a una dirección de correo electrónico externa, puede
utilizar SSL para un transporte fiable y seguro de logs. Después de configurar los ajustes de presentación de
informes de correo electrónico, puede enviar un mensaje de prueba para verificar los ajustes de reenvío de
logs.

La fecha/hora de cada evento registrado en un log está en el formato de hora universal


coordinada (Universal Time Coordinated, UTC).

Utilice el siguiente flujo de trabajo para configurar la consola ESM para enviar logs y eventos a una cuenta
de correo electrónico.

STEP 1 | Habilite la creación de informes de correo electrónico.


En la consola ESM, seleccione Settings (Ajustes) > ESM > Email (Correo electrónico) y luego seleccione
Enable Mail Reporting (Habilitar informes por correo).

STEP 2 | Configure los ajustes de correo electrónico.


Especifique los siguientes ajustes de correo electrónico:
• Display Name: nombre para mostrar de la cuenta de correo electrónico que envía los logs.
• User name: nombre del usuario que puede acceder al servicio SMTP.
• Password: contraseña para la cuenta de usuario que puede acceder al servicio SMTP.
• Host: nombre de host o dirección IP del SMTP.
• Syslog Port: puerto de comunicación del servidor SMTP (el valor por defecto es 0).
• Enable SSL: seleccione esta opción para un transporte seguro de los logs en el correo electrónico.
• Email Address: dirección de correo electrónico del remitente desde donde se envían los logs.
• Recipient: dirección de correo electrónico del destinatario al cual se envían los logs.
• Email Timeout (Seconds): periodo (en segundos) después del cual ESM deja de intentar enviar logs (el
valor por defecto es 60; el intervalo es de 1 a 120).

STEP 3 | Seleccione los eventos que desea enviar a una dirección de correo electrónico externa.
En el área de Logging Events, seleccione uno o más eventos. Desplácese por la lista para ver tipos
adicionales de eventos que puede enviar.

STEP 4 | Guarde sus ajustes.


Haga clic en Save (Guardar).

STEP 5 | Verifique la configuración de sus ajustes de correo electrónico.

314 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Haga clic en Send Test Message (enviar mensaje de prueba). La consola ESM envía una comunicación
de prueba a la dirección de correo electrónico usando la información de la página Email. Si no recibe el
mensaje de prueba, confirme que sus ajustes sean correctos y luego inténtelo nuevamente.

Formato de correo electrónico


La siguiente tabla enumera los eventos en formato de correo electrónico.

Evento Formato de correo electrónico

AccessViolation <html><body><p><div>Log Event:<strong> Agent Access


Violation</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Target
Name:<strong> @Model["TargetName"]</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

AgentAuthenticationFailed <html><body><p><div>Log Event:<strong>


@Model["AgentIp"] authentication failed.</
strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></
div><div>Computer:<strong>@Model["AgentIp"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div></p></body></html>

AgentContentUpdate <html><body><p><div>Log Event:<strong> Agent


@Model["host"] received new content version
@Model["ContentVersion"].</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div><div>By User:<strong>@Model["user"]</strong></
div></p></body></html>

AgentPolicyChange <html><body><p><div>Log Event:<strong>


Agent Policy Change</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

AgentPolicyChangesFailed <html><body><p><div>Log Event:<strong> Agent


Policy Changes Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 315


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico

ArchivedPreventionsFailure <html><body><p><div>Log Event:<strong> Archive


Threats Events Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>User:<strong> @Model["user"]</
strong></div><div>Number of Archived Events
(Actual):<strong> @Model["progressCount"]</
strong></div><div>Number of Archived Events
(Total):<strong> @Model["totalPreventions"]</
strong></div></p></body></html>

ArchivedPreventions <html><body><p><div>Log Event:<strong>


Archive Threats Events</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>User:<strong> @Model["user"]</strong></
div><div>Number of Archived Events:<strong>
@Model["totalPreventions"]</strong></div></p></
body></html>

ClientInstall <html><body><p><div>Log Event:<strong> Agent


Installed to System</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

ClientLicenseInvalid <html><body><p><div>Log Event:<strong>


Agent License Invalid</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div></p></body></html>

ClientLicenseRequest <html><body><p><div>Log Event:<strong>


Agent License Request</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div></p></body></html>

ClientUninstall <html><body><p><div>Log Event:<strong> Agent


Uninstalled from System</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

ClientUpgrade <html><body><p><div>Log Event:<strong>


Agent Upgraded</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>

316 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
@Model["ProductVersion"]</strong></div></p></
body></html>

CommunicationsCheckWithProxy <html><body><p><div>Log Event:<strong>


Communications Check With Proxy</strong></
div><p></p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Host:<strong> @Model["esmHost"],
@Model["EsmIp"]</strong></div><div>ESM
Version:<strong> @Model["ProductVersion"]</
strong></div><div>Status:<strong>
@Model["message"]</strong></div></p></body></html>

ConditionDeleted <html><body><p><div>Log Event:<strong> Condition


Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Condition
Name:<strong> @Model["Name"]</strong></
div><div>Condition ID:<strong> @Model["id"]</
strong></div><div>Condition Description:<strong>
@Model["Description"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

ConditionEdited <html><body><p><div>Log Event:<strong>


Condition Added/Edited</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Condition Name:<strong> @Model.Data.Name</
strong></div><div>Condition Description:<strong>
@Model.Data.Description</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

ConfigurationChange <html><body><p><div>Log Event:<strong>


Settings Change</strong></div><p></
p><div>Description:<strong> @Model["Property"]
changed from @Model["OldValue"]
to @Model["NewValue"].</strong></
div><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>By User:<strong> @Model["user"]</strong></
div><div>Server:<strong> @Model["esmHost"],
@Model["EsmIp"]</strong></div></p></body></html>

DisabledProtection <html><body><p><div>Log Event:<strong>


Protection Disabled</strong></div><p></
p><div>Description:<strong> Protection is disabled
across the entire organization! </strong></
div><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

EPMInitFailed <html><body><p><div>Log Event:<strong>


Agent EPM Init Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 317


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
strong></div><div>User:<strong> @Model["user"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

EnabledProtection <html><body><p><div>Log Event:<strong>


Protection Enabled</strong></div><p></
p><div>Description:<strong> Protection is restored
across the entire organization!</strong></
div><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

EsmConfigurationChange <html><body><p><div>Log Event:<strong> ESM


Configuration Changed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Server Name:<strong> @Model["esmHost"],
@Model["EsmIp"]</strong></div><div>By User:<strong>
@Model["user"]</strong></div></p></body></html>

EsmStatusChange <html><body><p><div>Log Event:<strong> ESM Status


Changed</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server
Name:<strong> @Model["host"]</strong></
div><div>Status:<strong> @Model["NewStatus"]</
strong></div><div>Message:<strong> Server Status
Change</strong></div></p></body></html>

FileUploadFailure <html><body><p><div>Log Event:<strong>


Agent File Upload Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></
div><div>File Name:<strong> @Model["fileName"]</
strong></div><div>Failure Reason:<strong>
@Model["message"]</strong></div></p></body></html>

HashesImport <html><body><p><div>Log Event:<strong>


Hashes Imported</strong></div><p></
p><div>Description:<strong> Hashes were Imported
into the ESM</strong></div><div>Hash Count:<strong>
@Model["Amount"]</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div></p></body></html>

Heartbeat <html><body><p><div>Log Event:<strong>


Agent Heartbeat</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

318 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico

LicenseExpiration <html><body><p><div>Log Event:<strong> License


Expiration</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>License
Type:<strong> @Model["poolName"] </strong></
div><div>Expiration in (days):<strong>
@Model["days"] </strong></div></p></body></html>

LicensePoolAdded <html><body><p><div>Log Event:<strong> License


Pool Added</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>License
Type:<strong> @Model["licenseType"]</
strong></div><div>License Count:<strong>
@Model["licenseCount"]</strong></div></p></body></
html>

LicenseQuantity <html><body><p><div>Log Event:<strong>


License Quantity</strong></div><p></
p><div>Description:<strong> Agent Licenses are
running low</strong></div><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Used
Licenses:<strong> @Model["deployedLicenses"]</
strong></div><div>Total Licenses :<strong>
@Model["totalLicenses"]</strong></div></p></body></
html>

LicenseRevoked <html><body><p><div>Log Event:<strong>


Agent License Revoked</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div></p></body></html>

LocalAnalysisFeatureExtractionFailed
<html><body><p><div>Log Event:<strong>
Local Analysis Feature Extraction Failed</
strong></div><p></p><div>Description:<strong>
Local Analysis Feature Extraction
Failed</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</
strong></div><div>Hash:<strong>@Model["Hash"]</
strong></div><div>Model
Version:<strong>@Model["ContentVersion"]</strong></
div><div>Server Name:<strong>@Model["esmHost"],
@Model["EsmIp"]</strong></div><div>By
User:<strong>@Model["user"]</strong></
div><div>Product Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

LocalAnalysisModelUnavailable <html><body><p><div>Log Event:<strong> Local


Analysis Model Unavailable</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Server Name:<strong>@Model["esmHost"],
@Model["EsmIp"]</strong></div><div>By

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 319


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
User:<strong>@Model["user"]</strong></div></p></
body></html>

LocalAnalysisModuleFailed <html><body><p><div>Log Event:<strong> Local


Analysis Module Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></p></body></html>

LocalAnalysisModuleSucceeded <html><body><p><div>Log Event:<strong>


Local Analysis Module Succeeded</strong></
div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div>Local Analysis Module Version:<strong>
@Model["ModuleVersion"]</strong></div></p></body></
html>

MachineLicenseValidationFailed <html><body><p><div>Log Event:<strong> Agent


License Validation Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

NewHash <html><body><p><div>Log Event:<strong> Hash Added</


strong></div><p></p><div>Description:<strong>
Hash was added to the ESM Hash list</strong></
div><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Hash:<strong> @Model["Hash"]</strong></
div></p></body></html>

NotificationEvent <html><body><p><div>Log Event:<strong>


Notification Event</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><p></p><div>Module Name:<strong>
@Model["EPM"]</strong></div><div>Process
Name:<strong> @Model["ProcessName"]</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Prevention Key:<strong>
@Model["preventionKey"]</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</strong></
div></p></body></html>

OneTimeActionComplete <html><body><p><div>Log Event:<strong> Agent


One Time Action Completed</strong></div><p></

320 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div><div>Action
Type:<strong> @Model["ActionType"]</strong></
div><div>Action ID:<strong> @Model["ActionID"]</
strong></div></p></body></html>

OneTimeActionFailed <html><body><p><div>Log Event:<strong> Agent


One Time Action Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div><div>Action
Type:<strong> @Model["ActionType"]</strong></
div><div>Action ID:<strong> @Model["ActionID"]</
strong></div></p></body></html>

PostDetectionEvent <html><body><p><div>Log Event:<strong>


Post Detection Event</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><p></p><div>Module Name:<strong>
@Model["EPM"]</strong></div><div>Process
Name:<strong> @Model["ProcessName"]</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Prevention Key:<strong>
@Model["preventionKey"]</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</strong></
div></p></body></html>

PreventionEvent <html><body><p><div>Log Event:<strong>


Prevention Event</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><p></p><div>Module Name:<strong>
@Model["EPM"]</strong></div><div>Process
Name:<strong> @Model["ProcessName"]</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Prevention Key:<strong>
@Model["preventionKey"]</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</strong></
div></p></body></html>

ProcessCrashed <html><body><p><div>Log Event:<strong>


Agent Process Crashed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 321


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div><div>Process
name:<strong> @Model["ProcessName"]</strong></
div><div>Error message:<strong> @Model["message"]</
strong></div></p></body></html>

ProcessDeleted <html><body><p><div>Log Event:<strong> Process


Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Process
Name:<strong> @Model["Name"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

ProcessEdited <html><body><p><div>Log Event:<strong>


Process Added/Edited</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Process Name:<strong>
@Model.Data.ProcessFilename</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

ProcessInjectionTimedOut <html><body><p><div>Log Event:<strong> Agent


Process Injection Timeout</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div><div>Process
Name:<strong> @Model["ProcessName"]</
strong></div><div>PID:<strong> @Model["pId"]</
strong></div><div>Severity:<strong>
@Model.ExternalSeverity</strong></div></p></body></
html>

ProvisionalEvent <html><body><p><div>Log Event:<strong>


Provisional Event</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>User:<strong>
@Model["user"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><p></p><div>Module Name:<strong>
@Model["EPM"]</strong></div><div>Process
Name:<strong> @Model["ProcessName"]</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Prevention Key:<strong>
@Model["preventionKey"]</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</strong></
div></p></body></html>

PublisherChanged <html><body><p><div>Log Event:<strong>


Trusted Signer changed automatically</
strong></div><p></p><div>Description:<strong>
Hash trusted signer has changed</strong></

322 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
div><div>Hash:<strong>@Model["Hash"]</
strong></div><div>Previous Trusted
Signer:<strong>@Model["OldPublisher"]</
strong></div><div>New Trusted Signer:<strong>
@Model["NewPublisher"]</strong></div><div>Server
Name:<strong>@Model["esmHost"], @Model["EsmIp"]</
strong></div><div>By User:<strong> @Model["user"]</
strong></div></p></body></html>

QuarantineFailed <html><body><p><div>Log Event:<strong>


File Quarantine Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>File Name:<strong>
@Model["fileName"]</strong></div><div>Failure
Reason:<strong> @Model["FailureReason"]</strong></
div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div><div>By User:<strong>@Model["user"]</strong></
div></p></body></html>

QuarantineQuotaExceeded <html><body><p><div>Log Event:<strong>


Quarantine Quota Exceeded</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>File Name:<strong> @Model["fileName"]</
strong></div><div>Computer:<strong>@Model["host"]</
strong><div>By User:<strong>@Model["user"]</
strong></div></p></body></html>

QuarantineSucceeded <html><body><p><div>Log Event:<strong> File


Quarantine Succeeded</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>File Name:<strong> @Model["fileName"]</
strong></div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div></p></body></html>

ReportingServiceStartFailed <html><body><p><div>Log Event:<strong>


Failed listening to Traps reporting service
on @Model["host"]</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></
div><div>Exception:<strong> @Model["msg"]</
strong></div></p></body></html>

RestoreFailed <html><body><p><div>Log Event:<strong>


File Restore Failed</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</
strong></div><div>File Name:<strong>
@Model["fileName"]</strong></div><div>Failure

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 323


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
Reason:<strong> @Model["FailureReason"]</strong></
div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div><div>By User:<strong>@Model["user"]</strong></
div></p></body></html>

RestoreSucceeded <html><body><p><div>Log Event:<strong> File Restore


Succeeded</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>File
Name:<strong> @Model["fileName"]</strong></
div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent
Version:<strong>@Model["ProductVersion"]</strong></
div><div>By User:<strong>@Model["user"]</strong></
div></p></body></html>

RestrictionSettingsEdited <html><body><p><div>Log Event:<strong>


Restrictions Settings Add/Edit</strong></
div><p></p><div>Description:<strong> Restrictions
Settings in the ESM were Added/Edited</strong></
div><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

RoleDeleted <html><body><p><div>Log Event:<strong> Role


Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Role
Name:<strong> @Model["Name"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

RoleEdited <html><body><p><div>Log Event:<strong> Role Added/


Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Role
Name:<strong> @Model.Data.Name</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

RoleStatusChanged <html><body><p><div>Log Event:<strong> Role Status


Changed</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Role
Name:<strong> @Model["Name"]</strong></
div><div>Status:<strong> @Model["Status"]</
strong></div><div>By User:<strong> @Model["user"]</
strong></div></p></body></html>

RuleDeleted <html><body><p><div>Log Event:<strong> Rule


Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Rule
Name:<strong> @Model["Name"]</strong></
div><div>Rule ID:<strong> @Model["id"]</
strong></div><div>Rule Description:<strong>

324 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
@Model["Description"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

RuleEdited <html><body><p><div>Log Event:<strong> Rule Added/


Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Rule
Name:<strong> @Model.Data.Name</strong></
div><div>Rule ID:<strong> @Model.Data.Id</
strong></div><div>Rule Description:<strong>
@Model.Data.Description</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

SendingLicenseToClient <html><body><p><div>Log Event:<strong>


License Sent to Agent</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div></p></body></html>

ServerContentRevertFailure <html><body><p><div>Log Event:<strong>


Content version failed to revert to
@Model["ContentVersion"]. Error: @Model["Error"]</
strong></div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Server Name:<strong>
@Model["esmHost"], @Model["EsmIp"]</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

ServerContentRevertSuccess <html><body><p><div>Log Event:<strong> Content


version was reverted to @Model["ContentVersion"]
successfully.</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

ServerContentUpdateFailure <html><body><p><div>Log Event:<strong>


Content version failed to update to
@Model["ContentVersion"]. Error: @Model["Error"]</
strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server
Name:<strong>@Model["esmHost"], @Model["EsmIp"]</
strong></div><div>By User:<strong>@Model["user"]</
strong></div></p></body></html>

ServerContentUpdateSuccess <html><body><p><div>Log Event:<strong> Content


version was updated to @Model["ContentVersion"]
successfully.</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Server Name:<strong>@Model["esmHost"],
@Model["EsmIp"]</strong></div><div>By User:<strong>
@Model["user"]</strong></div></p></body></html>

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 325


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico

ServerHeartbeat <html><body><p><div>Log Event:<strong> ESM


Heartbeat</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server
Name:<strong> @Model["esmHost"], @Model["EsmIp"]</
strong></div></p></body></html>

ServiceAlive <html><body><p><div>Log Event:<strong>


Agent Service Start</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

ServiceStartFailed <html><body><p><div>Log Event:<strong>


Agent Service Start Failed</strong></
div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><div>Error:<strong> @Model["Error"]</
strong></div></p></body></html>

ServiceStopped <html><body><p><div>Log Event:<strong>


Agent Service Stopped</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

ServiceWarning <html><body><p><div>Log Event:<strong>


Agent Service Warning</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></
div><div>Java sandbox file access to:<strong>
@Model["TargetValue"]</strong></div></p></body></
html>

SystemShutdown <html><body><p><div>Log Event:<strong>


Agent Shutdown</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Computer:<strong> @Model["host"]</
strong></div><div>Agent Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>

TechSupportFileStatus <html><body><p><div>Log Event:<strong>


Tech Support File</strong></div><p></
p><div>Description:<strong> Tech Support File

326 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
Generation</strong><div>Time:<strong> @Model.Time
(UTC)</strong></div></div><div>Job:<strong>
@Model["JobID"]</strong></div><div>Status:<strong>
@Model["Status"]</strong></div><div>Server
Name:<strong> @Model["esmHost"], @Model["EsmIp"]</
strong></div></p></body></html>

TrapsServiceStatusChange <html><body><p><div>Log Event:<strong>


Agent Service Status Changed</strong></
div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Computer:<strong>
@Model["host"]</strong></div><div>Agent
Version:<strong> @Model["ProductVersion"]</
strong></div><div>Previous Status:<strong>
@Model["OldStatus"]</strong></div><div>New
Status:<strong> @Model["NewStatus"]</strong></
div></p></body></html>

UserDeleted <html><body><p><div>Log Event:<strong> User


Deleted</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Deleted User
Name:<strong> @Model["Name"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

UserEdited <html><body><p><div>Log Event:<strong> User Added/


Edited</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Added/Edited
User Name:<strong> @Model.Data.Name</strong></
div><div>By User:<strong> @Model["user"]</strong></
div></p></body></html>

UserLogin <html><body><p><div>Log Event:<strong> User


Login</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>User:<strong>
@Model.Data.Username</strong></div></p></body></
html>

UserStatusChanged <html><body><p><div>Log Event:<strong> User Status


Changed</strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>User
Name:<strong> @Model["Name"]</strong></
div><div>Status:<strong> @Model["Status"]</
strong></div><div>By User:<strong> @Model["user"]</
strong></div></p></body></html>

VerdictChangeAnyToMalware <html><body><p><div>Log Event:<strong> Verdict


Changed - Any to Malware</strong></div><p></
p><div>Description:<strong> Hash Verdict has
Changed to Malware</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div><div>Previous
Verdict:<strong> @Model["OldVerdict"]</
strong></div><div>New Verdict:<strong>

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 327


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
@Model["NewVerdict"]</strong></div></p></body></
html>

VerdictChangeMalwareToAny <html><body><p><div>Log Event:<strong>


Verdict Changed - Malware to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from Malware.</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Awaiting to restore:<strong>
@Model["QuarantineStatus"]</strong></
div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>

VerdictChangeNoconnectionToAny
<html><body><p><div>Log Event:<strong> Verdict
Changed - No connection to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from No connection</
strong></div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>

VerdictChangeUnknownToAny <html><body><p><div>Log Event:<strong>


Verdict Changed - Unknown to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from Unknown</strong></
div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>

VerdictChangeAwaitingAnalysisToAny
<html><body><p><div>Log Event:<strong> Verdict
Changed - Awaiting Analysis to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from Awaiting Analysis</
strong></div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>

VerdictChange <html><body><p><div>Log Event:<strong> Verdict


Changed - Any to Any</strong></div><p></
p><div>Description:<strong> Hash Verdict
has Changed</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div><div>Previous
Verdict:<strong> @Model["OldVerdict"]</
strong></div><div>New Verdict:<strong>

328 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
@Model["NewVerdict"]</strong></div></p></body></
html>

VerdictManualOverride <html><body><p><div>Log Event:<strong>


Verdict Manual Override</strong></div><p></
p><div>Description:<strong> Hash verdict overridden
manually</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div><div>Previous
Verdict:<strong> @Model["OldVerdict"]</
strong></div><div>New Verdict:<strong>
@Model["NewVerdict"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

VerdictRevertedToWildfire <html><body><p><div>Log Event:<strong> Verdict


Reverted To WildFire</strong></div><p></
p><div>Description:<strong> Hash Verdict reverted
to WildFire</strong></div><div>Hash:<strong>
@Model["Hash"]</strong></div><div>Previous
Verdict:<strong> @Model["OldVerdict"]</
strong></div><div>New Verdict:<strong>
@Model["NewVerdict"]</strong></div><div>By
User:<strong> @Model["user"]</strong></div></p></
body></html>

WfCommunicationsStatusChanged<html><body><p><div>Log Event:<strong>
WildFire Communications Status Changed</
strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server
Name:<strong> @Model["esmHost"], @Model["EsmIp"]</
strong></div><div>ESM Version:<strong>
@Model["ProductVersion"]</strong></
div><div>Status:<strong> @Model["message"]</
strong></div></p></body></html>

InstallationPackage <html><body><p><div>Log Event:<strong>


Agent Package Created</strong></div><p></
p><div>Description:<strong> @Model["OSType"]
Agent Package was @Model["AgentPackageStatus"].</
strong></div><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Package name:<strong>
@Model["AgentPackageName"]</strong></div><div>Agent
Version:<strong> @Model["AgentPackageVersion"]</
strong></div></p></body></html>

IncompatibleOs <html><body><p><div>Log Event:<strong> Traps is


inactive due to @Model["IncompatibilityReason"]</
strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></
div><div>Computer:<strong>@Model["host"]</
strong></div><div>Agent

GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs 329


© 2017 Palo Alto Networks, Inc.
Evento Formato de correo electrónico
Version:<strong>@Model["ProductVersion"]</strong></
div></p></body></html>

RegistrationConflict <html><body><p><div>Log Event:<strong> Agent


Registration Conflict Detected</strong></
div><p></p><div>Time:<strong> @Model.Time
(UTC)</strong></div><div>Server Name:<strong>
@Model["esmHost"]</strong></div><div>Requested
IP:<strong> @Model["RequestIP"]</strong></
div><div>Existing IP:<strong> @Model["AgentIp"]</
strong></div></p></body></html>

EsmCertValidationWarning <html><body><p><div>Log Event:<strong> Agent-


ESM Authentication Warning</strong></div><p></
p><div>Time:<strong> @Model.Time (UTC)</strong></
div><div>Server Name:<strong> @Model["esmHost"]</
strong></div><div>Agent:<strong> @Model["host"]</
strong></div><div>Message:<strong> Agent
@Model["host"] couldn't fully authenticate ESM
@Model["esmHost"] using installed certificate.</
strong></div></p></body></html>

330 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs


Solución de problemas
> Recursos de solución de problemas de Traps on page 333
> Procesos de Traps y Endpoint Security Manager on page 335
> Archivo de asistencia técnica del ESM on page 337
> Herramienta de configuración de bases de datos (DB) on page 338
> Cytool on page 344
> Solución de problemas de Traps on page 360
> Solución de problemas de la consola ESM on page 365

331
332 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas
© 2017 Palo Alto Networks, Inc.
Recursos de solución de problemas de Traps
Para solucionar problemas de Traps y Endpoint Security Manager (lo que abarca el servidor ESM, la consola
ESM y una base de datos), utilice los siguientes recursos:

Recurso DESCRIPTION

Recursos de ESM

Consola ESM Interfaz web, que proporciona informes y logs. La información es útil para el
monitorizado y la filtración de logs e interpretar conductas inusuales en su
red. Tras analizar un evento de seguridad, puede crear una regla personalizada
para el endpoint o proceso.

Log DebugWeb del Indica información, advertencias y errores relacionados con Endpoint Security
servidor de ESM Manager. El log DebugWeb se encuentra en la carpeta %ProgramData%
\Cyvera\Logs del servidor ESM.

Log del servidor de Indica información, advertencias y errores relacionados con la base de datos
ESM de endpoints y el servidor ESM. El log del servidor se encuentra en la carpeta
%ProgramData%\Cyvera\Logs del servidor ESM.

Archivo de asistencia Agregación según petición de logs y ajustes de consola ESM y servidor ESM
técnica del ESM activos para ayudar al servicio de asistencia técnica a diagnosticar y solucionar
problemas. Para obtener más información, consulte Archivos de asistencia
técnica del ESM.

Herramienta de La interfaz de líneas de comando proporciona una alternativa a la gestión


configuración de de los ajustes básicos del servidor utilizando la consola EMS. Puede acceder
bases de datos (DB) a la herramienta de configuración DB utilizando una línea de comandos
(dbconfig.exe) de Microsoft MS-DOS ejecutado como administrador. Para obtener más
información, consulte Herramienta de configuración de bases de datos (DB).

Recursos de Traps

Log de instalación de Especifica cualquier error que se encuentre durante la instalación de Traps
Traps o los componentes de ESM. Use este archivo de log cuando necesite
solucionar problemas de instalación. En los endpoints de Windows, el
instalador almacena los archivos de log en la carpeta %temp% o C:\Users
\<user_name>\AppData\Local\Temp.

Log de servicio de Indica información, advertencias y errores relacionados con el servicio de


Traps Traps. El log de servicio se encuentra en la carpeta siguiente en el endpoint:
• Windows Vista y posterior: %ProgramData%\Cyvera\Logs
• Windows XP: C:\Document and Settings\All Users
\Application Data\Cyvera\Logs
• Mac OS X 10.10 y OSX 10.11: /var/log/traps/
• macOS 10.12: Ver logs de la aplicación de la consola:

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 333


© 2017 Palo Alto Networks, Inc.
Recurso DESCRIPTION

Log de la consola de Indica información, advertencias y errores relacionados con la consola de


Traps Traps.
El log de consola se encuentra en la carpeta siguiente en el endpoint:
• Windows Vista y posterior: C:\Users\<username>\AppData
\Roaming\Cyvera
• Windows XP: C:\Document and Settings\<username>
\Application Data\Cyvera\Logs
• Mac OS X 10.10 y OSX 10.11: /var/log/traps/agent/
• macOS 10.12: Ver logs de la aplicación de la consola:

Procesos iniciados de Consulte Procesos de Traps y Endpoint Security Manager.


ESM y Traps

Herramienta de Le permite enumerar procesos protegidos, habilitar o deshabilitar


líneas de comando de características de protección, y habilitar o deshabilitar acciones de
supervisor (cytool.exe) administración de Traps de una interfaz de líneas de comando. Para obtener
más información, consulte Cytool.

334 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Procesos de Traps y Endpoint Security
Manager
Traps y Endpoint Security Manager (ESM) inician los siguientes procesos.

Componente Nombre de DESCRIPTION


proceso

ESM

Servidor CyveraServer.exe Servicio clave del servidor ESM que se comunica con los agentes y con
ESM WildFire.

Traps para Mac

Agente de trapsd proceso padre de Traps.


Traps

Agente de autorizado El proceso de Traps que se comunica con WildFire para obtener los
Traps veredictos más recientes.

Agente de pmd El proceso de Traps que se comunica con el servidor ESM para
Traps obtener las políticas de seguridad más recientes.

Agente de kproc_ctrl Extensión de kernel que aplica la política e impide ataques contra la
Traps seguridad cuando hace falta.

Traps para Windows

Agente de CyveraConsole.exe Interfaz de usuario para la consola de Traps. Se inicia después de que
Traps el usuario inicie la consola desde la zona de notificaciones (bandeja del
sistema).

Agente de CyveraService.exe Servicio clave del agente de Traps que trabaja con Cyserver.exe para
Traps aplicar la política, comunicarse con el servidor y evitar ataques contra
la seguridad, según proceda.

Agente de Cyserver.exe Servicio clave del agente de Traps que trabaja con CyveraService.exe
Traps para aplicar la política, comunicarse con el servidor y evitar ataques
contra la seguridad, según proceda.

Agente de Cytray.exe Proceso de bandeja de Traps, permite al usuario hacer clic en el icono
Traps de bandeja y ejecutar la consola. Se ejecuta de forma continua en
segundo plano.

Agente de Tda.exe Analizador de volcado de Traps, analiza el contenido de las


Traps ubicaciones de memoria y otros datos cuando se produce un evento
de prevención en el endpoint.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 335


© 2017 Palo Alto Networks, Inc.
Componente Nombre de DESCRIPTION
proceso

Agente de Tdawork.exe Procesos de trabajo del Analizador de volcado de Traps, uno por
Traps procesador. Estos procesos se ejecutan en segundo plano y deberían
ejecutarse de forma continua.

336 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Archivo de asistencia técnica del ESM
En la consola ESM puede crear un archivo de asistencia técnica del ESM, que incluye la siguiente
información:
• Política de seguridad efectiva
• Configuración de la consola ESM y del servidor ESM
• Logs de la consola ESM y del servidor ESM
• Resultados de consulta de bases de datos
La consola ESM comprime estos logs en un archivo ZIP (<1 GB), que puede descargar y enviar al servicio
de asistencia técnica. Cada vez que genera un nuevo archivo de asistencia técnica del ESM, la consola ESM
registra el evento. Puede ver el estado y el historial de todos los archivos de asistencia técnica de la consola
ESM y configurar el envío de logs acerca del estado de estos archivos a una plataforma de logging externa o
a una dirección de correo electrónico.
Puede generar archivos de asistencia técnica del ESM en la página Settings (Ajustes). Por lo general, este
proceso suele requerir unos 10 minutos o menos.

STEP 1 | En la consola ESM, seleccione Settings (Ajustes).

STEP 2 | Luego, Generate (Generar) para iniciar el proceso de recopilación. La consola ESM desactiva el
botón Generate [Generar] (de color gris) durante la generación de archivos.

STEP 3 | Actualice la página para comprobar el estado del archivo. Cuando el archivo está listo, la
consola ESM muestra la hora de creación del archivo y actualiza su tamaño en el enlace de
descarga. Si no logra generar el archivo en el tiempo de espera predeterminado (25 minutos), la
consola ESM emite un informe de fallo.
También puede supervisar los logs de la generación del archivo de asistencia técnica del ESM en la
página Monitor (Supervisar) > ESM > Logs. Aquí, puede filtrar Report Type (Tipo de informe) por Tech
Support File Status (Estado del archivo de asistencia técnica), o bien Message (Mensaje) por el ID de una
tarea concreta.

STEP 4 | Haga clic en Download (Descargar) para guardar el archivo y enviarlo al servicio de asistencia
técnica, si procede. Para ver el historial de todas las solicitudes de archivos de asistencia
técnica del ESM disponibles, vaya a la página Monitor (Supervisar) > Data Retrieval
(Recuperación de datos). Aquí puede descargar archivos anteriores o eliminarlos, si procede. Si
no se puede generar el archivo de asistencia técnica, se oculta el botón Download (Descargar)
y solo podrá pulsar Delete (Eliminar) para eliminar la solicitud.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 337


© 2017 Palo Alto Networks, Inc.
Herramienta de configuración de bases de
datos (DB)
La herramienta de configuración DB es una interfaz de línea de comandos que proporciona una alternativa
a la gestión de los ajustes básicos del servidor utilizando la consola EMS. Puede acceder a la herramienta de
configuración DB utilizando una línea de comandos de Microsoft MS-DOS ejecutado como administrador.
La herramienta de configuración DB se encuentra en la carpeta Servidor de Endpoint Security Manager
(ESM).
Utilice la herramienta de configurar DB para realizar las funciones siguientes:
• Acceder a la herramienta de configuración de bases de datos on page 338
• Configurar el acceso administrativo a la consola ESM utilizando la herramienta de configuración de bases
de datos (DB) on page 339
• Configurar los ajustes del servidor ESM usando la herramienta de configuración de bases de datos (DB)
on page 340
• Ajustes de servidor ESM personalizados on page 341
• Cambiar la contraseña del modo ninja on page 99
• Habilitar el envío de logs a una plataforma de logging externa usando la herramienta de configuración de
DB on page 266

Acceder a la herramienta de configuración de bases de datos


Ejecute la herramienta de configuración DB de la carpeta Servidor en un servidor ESM para ver la sintaxis y
ejemplos de uso.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

STEP 1 | Abra una línea de comando como administrador:


• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+Mayús.+INTRO.

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd C:\Program Files\Palo Alto Networks\Endpoint


Security Manager\Server

STEP 3 | Vea el uso y opciones para la herramienta de configuración DB:

c:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig Usage: > DBConfig.exe importLicense [1] Add a new license
to the database. 1) CyveraLicense.xml full path > DBConfig.exe [1] [2]
[3] Write a configuration to the database. 1) Configuration Type (Server,
Reflector, UserManagement, Reporting) 2) Key Name 3) Value > DBConfig.exe
[1] show Show the values of a specific configuration. 1) Configuration Type

338 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
(Server, Reflector, UserManagement, Reporting) Examples: > DBConfig.exe
importLicense c:\Foldername\CyveraLicense.xml > DBConfig.exe server
inventoryinterval 200 > DBConfig.exe server show

Configurar el acceso administrativo a la consola ESM utilizando la


herramienta de configuración de bases de datos (DB)
Al instalar la consola ESM, indique la cuenta administrativa y el tipo de autenticación (de equipo o dominio)
que utilizará en el acceso inicial a la consola ESM. Más tarde puede configurar en ella un control de
acceso basado en funciones para definir Funciones administrativas y asignarlas a Usuarios administrativos
(o a grupos). De esta forma, puede separar la información de las áreas funcionales o regionales de su
organización para proteger la privacidad de los datos de la consola ESM. Para obtener más información,
consulte Administrar acceso del administrador a la consola ESM.
Si tras la configuración del acceso basado en funciones tiene problemas para acceder a la consola ESM y ha
de verificar o cambiar ajustes de una cuenta administrativa, puede utilizar una interfaz de línea de comandos
(CLI, por sus siglas en inglés) denominada herramienta de configuración DB. Con ella puede administrar
ajustes básicos de la consola ESM, como los usuarios administrativos que disponen de acceso a la consola
ESM y el modo de autenticación mediante el que acceden. La herramienta de configuración DB no valida ni
autentica a los usuarios; solo sirve como mecanismo para hacer cambios cuando no los puede hacer con la
consola ESM.

Para aplicar un control de acceso basado en funciones, utilice la consola ESM para efectuar
cambios en el acceso administrativo cuando sea posible.

Puede acceder a la herramienta de configuración DB utilizando un símbolo del sistema de Microsoft MS-
DOS ejecutado como administrador. La herramienta de configuración DB se encuentra en la carpeta
Server (Servidor) del servidor ESM.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

STEP 1 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios), haga clic
con el botón secundario del ratón en Command prompt (Símbolo del sistema), y seleccione Run as
administrator (Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún
no pulse Enter (Intro). A continuación, para abrir el símbolo del sistema como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd C:\Program Files\Palo Alto Networks\Endpoint


Security Manager\Server

STEP 3 | (Opcional) Visualice los ajustes de administrador existentes:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig usermanagement show AuthMode = Machine AllowedUsers =
Administrator AllowedGroups =

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 339


© 2017 Palo Alto Networks, Inc.
STEP 4 | (Opcional) Especifique el modo de autenticación: domain (dominio) o machine (equipo).

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig usermanagement AuthMode [domain|machine]

STEP 5 | (Opcional) Añada un usuario administrativo.

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig usermanagement AllowedUsers <newuser>

Repita este paso para añadir más usuarios administrativos. La herramienta de configuración DB añade los
nombres de usuario a la lista actual de usuarios administrativos.

Para eliminar usuarios administrativos, debe utilizar la consola ESM.

Configurar los ajustes del servidor ESM usando la herramienta de


configuración de bases de datos (DB)
La herramienta de configuración DB es una interfaz de línea de comandos (command line interface, CLI)
que proporciona una alternativa a la gestión de los ajustes básicos del servidor utilizando la consola EMS.
Ejemplos de ajustes que se pueden cambiar incluyen: la contraseña del modo ninja, el caché de active
directory y números de logs incluidos en el archivo de asistencia técnica del ESM. Para obtener una lista
completa, consulte Ajustes de servidor ESM personalizados.
Puede acceder a la herramienta de configuración DB utilizando un símbolo del sistema de Microsoft MS-
DOS ejecutado como administrador. La herramienta de configuración DB se encuentra en la carpeta Server
(Servidor) del servidor ESM.

Todos los comandos ejecutados utilizando la herramienta de configuración DB hacen


distinción entre mayúsculas y minúsculas.

STEP 1 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún no
pulse Enter (Intro). A continuación, para abrir la ventana de comando CLI como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).

STEP 2 | Vaya a la carpeta que contiene la herramienta de configuración DB:

C:\Users\Administrator> cd C:\Program Files\Palo Alto Networks\Endpoint


Security Manager\Server

STEP 3 | Visualizar los ajustes existentes del servidor:

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server show PreventionsDestFolder = InventoryInterval
= 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2

340 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
BitsUrl = http://CYVERASERVER:80/BitsUploads MaxActions =
1000 BitsUploadTimeoutInterval = 360 BitsUploadTimeout = 720
KeepAliveTimeout = 0 ExternalAddress = VdiHeartbeatGracePeriod
= 25 UseDnsForAddressResolution = True TaskTimeout = 30
SqlDateTimeFormat = yyyy-MM-dd HH:mm:ss TaskOverrideInMinutes =
30 EnableStatistics = True ActiveDirectoryPathUpdateInterval =
1440 ActiveDirectoryGroupsUpdateInterval = 1440 EnableADCaching
= True ContentVersion = 6-472 ContentUpdateTimeoutMinutes = 30
SupportFileCollectionTimeout = 10 SupportFileAggregationTimeout = 20
MaxCollectedIisLogs = 100 MaxCollectedNlogLogs = 1000 MaxCollectedDbRows =
100000 UseContentProductionKey = True

STEP 4 | (Opcional) Configure o cambie cualquiera de los ajustes del servidor ESM, según proceda.
Para obtener directrices de uso y valores predeterminados, consulte Ajustes de servidor ESM
personalizados. Por ejemplo, para determinar el periodo de gracia permitido, en segundos, para
un endpoint que no responde (el intervalo es de 300 a 86.400; el valor por defecto es 4200):

C:\Program Files\Palo Alto Networks\Endpoint Security Manager


\Server> dbconfig server HeartBeatGracePeriod <value>

Por ejemplo, un valor de 300 significa que si el servidor ESM no recibe comunicación del endpoint
en cinco minutos (300 segundos), Endpoint Security Manager informa el estado del endpoint como
desconectado.

Ajustes de servidor ESM personalizados


La siguiente tabla enumera los ajustes que puede configurar para el servidor ESM.

Ajuste DESCRIPTION predeterminado

PreventionsDestFolder = Ubicación de red de carga antigua N/D


<folder> (necesario para Traps 3.1 o agentes
anteriores).

InventoryInterval = La frecuencia a la que Traps envía la 284;


<hours> lista de aplicaciones ejecutándose en el
intervalo de 1 a
endpoint al servidor ESM.
14.400

HeartBeatGracePeriod = Periodo de no comunicación entre el 4200;


<seconds> agente de Traps y el servidor ESM tras
el intervalo es de 300
el cual, el Endpoint Security Manager
a 86.400
informa el estado del endpoint como
desconectado.

NinjaModePassword = Contraseña necesaria para acceder a los Password2


<password> ajustes de la configuración que están
disponibles en modo ninja en la consola
ESM.

BitsUrl = <url> URL del servidor BITS al que el agente N/D


sube los datos forenses, por ejemplo
http://ESMSERVER:80/BitsUploads.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 341


© 2017 Palo Alto Networks, Inc.
Ajuste DESCRIPTION predeterminado

MaxActions = Número máximo de acciones que el 1000;


<totalnumber> servidor ESM puede enviar en una sola
el intervalo es de 1 a
llamada a un agente.
2.147.483.647

BitsUploadTimeoutInterval Intervalo tras el cual el agente de Traps 360;


= <minutes> vuelve a intentar subir datos al servidor
el intervalo es de 1 a
BITS.
2000

BitsUploadTimeout = Periodo tras el cual el agente de Traps 720;


<minutes> deja de intentar cargar datos a la carpeta
el intervalo es de 1 a
de BITS. Después de este periodo, el
2000
estado de carga cambia de en curso a
fallido.

KeepAliveTimeout = Intervalo en el cual el servidor ESM envía 0;


<seconds> mensajes de conexión persistente al
el intervalo es de 0 a
SIEM. Un valor de 0 indica que el servidor
2.147.483.647
ESM no enviará mensajes.

ExternalAddress = <url> Cambia la URL de la dirección del N/D


servidor BITS externo por el servidor
ESM específico en el que se ejecuta
el comando. Este campo se usa en
implementaciones con múltiples
servidores ESM.

VdiHeartbeatGracePeriod = Periodo tras el cual la consola ESM 25;


<minutes> desasocia una licencia para una sesión
el intervalo es de 1 a
VDI desconectada para liberarla y permitir
120
su uso de nuevo.

UseDnsForAddressResolution Use DNS para la resolución de dirección VERDADERO


= [True | False] si el agente no envía la dirección.

TaskTimeout = <minutes> El periodo de tiempo durante el cual el 30;


estado de una tarea programada cambia
el intervalo es de 0 a
de en curso a fallido.
2.147.483.647

SqlDateTimeFormat No usada. N/D

TaskOverrideInMinutes = El periodo de tiempo durante el cual el 30


<minutes> estado de una tarea de proceso de búfer
programada cambia de en curso a fallida.

EnableStatistics = [True Permite el seguimiento de contadores VERDADERO


| False] de rendimiento en tiempo real entre
el agente, el servidor ESM y WildFire.
Para ver las estadísticas de solicitudes
de comunicación que tuvieron éxito o
fallaron, utilice la consola de rendimiento

342 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Ajuste DESCRIPTION predeterminado
de Windows (perfnom) y extraiga esos
datos a un archivo.

ActiveDirectoryPathUpdateInterval
Intervalo en el cual el servidor ESM 1440
= <minutes> actualiza la ruta de acceso de máquina de
Active Directory.

ActiveDirectoryGroupsUpdateInterval
Intervalo en el cual el servidor ESM 1440
= <minutes> actualiza los miembros del grupo de
Active Directory.

EnableADCaching = [True | Habilita el caché de Active Directory VERDADERO


False] Cuando este está establecido en False
(Falso), la consola ESM consulta Active
Directory en cada heartbeat de agente
para cada objeto de destino de Active
Directory.

ContentVersion = Reservado para uso interno. N/D


<version>

ContentUpdateTimeoutMinutes El periodo de tiempo tras el cual una 30


= <minutes> actualización de contenido informa de un
error si la instalación ha fallado.

SupportFileCollectionTimeout
El periodo de tiempo en el cual la consola 10
= <minutes> ESM debe terminar de recopilar logs para
el archivo de asistencia técnica del ESM.

SupportFileAggregationTimeout
El periodo de tiempo en el cual la consola 20
= <minutes> ESM debe terminar de agregar logs
para el archivo de asistencia técnica del
ESM. Después de este periodo, el estado
cambia de en curso a fallido.

MaxCollectedIisLogs = El número máximo de logs IIS recopilados 100


<iislogs> que la consola ESM recopila cuando crea
el archivo de asistencia técnica del ESM.

MaxCollectedNlogLogs = El número máximo de logs del servidor 1000


<nlogs> recopilados que la consola ESM recopila
cuando crea el archivo de asistencia
técnica del ESM.

MaxCollectedDbRows = El número máximo de registros de base 100000


<dbrows> de datos que la consola ESM recopila
cuando crea el archivo de asistencia
técnica del ESM.

UseContentProductionKey = Cuando se establece como Verdadero, VERDADERO


[True | False] la consola ESM usa solo paquetes de
contenido de producción.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 343


© 2017 Palo Alto Networks, Inc.
Cytool
Cytool es una interfaz de líneas de comando que se integra en Traps y le permite consultar y administrar
funciones básicas de Traps. Los cambios realizados usando Cytool se activan hasta que Traps recibe la
siguiente comunicación heartbeat del servidor ESM.
Puede acceder a la herramienta Cytool utilizando una línea de comandos de Microsoft MS-DOS ejecutado
como administrador. Cytool se encuentra en la carpeta Traps en el endpoint:
Utilice Cytool para realizar las funciones siguientes en endpoints de Windows:
• Acceder a Cytool
• Ver procesos actualmente protegidos por Traps usando Cytool
• Administrar ajustes de protección en el endpoint usando Cytool
• Administrar controladores de Traps y servicios en el endpoint usando Cytool
• Visualizar y comparar las políticas de seguridad en un endpoint utilizando Cytool
• Gestionar logs de componentes de Traps usando Cytool
• Restauración de un archivo en cuarentena con Cytool
• Ver estadísticas de un proceso protegido con Cytool
• Ver detalles sobre el módulo de análisis local de Traps usando Cytool
• Ver detalles hash de un archivo con Cytool
Utilice Cytool para realizar las funciones siguientes en endpoints de Mac:
• Acceder a Cytool
• Ver procesos actualmente protegidos por Traps usando Cytool
• Conectar o desconectar de un servidor ESM usando Cytool
• Administrar controladores de Traps y servicios en el endpoint usando Cytool
• Ver información acerca de la base de datos
• Gestionar logs de componentes de Traps usando Cytool
• Despertar Traps de un estado de incompatibilidad del sistema operativo.
• Gestionar volcados de memoria

Acceder a Cytool
Para ver la sintaxis y ejemplos de uso para los comandos Cytool, utilice la opción /? después de cualquier
comando.

STEP 1 | Abra un símbolo del sistema (en Windows) o terminal (en Mac) como administrador:
Windows:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).
Mac:
• Desde el Finder, seleccione Applications (Aplicaciones) > Utilities (Utilidades). Haga doble clic en
Terminal.

STEP 2 | Vaya a la carpeta que contiene Cytool:


Windows:

344 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
C:\Users\Administrator> cd C:\Program Files\Palo Alto Networks\Traps

Mac:

PANM2637HQ:~ jdoe$ cd /Library/Application\ Support/PaloAltoNetworks/Traps/


bin

STEP 3 | Vea el uso y opciones del comando cytool:


Windows:

c:\Program Files\Palo Alto Networks\Traps> cytool Traps (R) supervisor tool


4.0 (c) Palo Alto Networks, Inc. All rights reserved Usage: CYTOOL [/?]
[/a] [command [options]] Options: /? Mostrar este mensaje de ayuda. /a
Authenticate as supervisor. command enum | protect | startup | runtime
| policy | log | quarantine | stat | tla | info | image | wf For more
information on a specific command run CYTOOL command /?

Mac:

En endpoints de Mac, debe ejecutar el comando como superusuario (sudo) y


proporcionar la contraseña de administrador.

PANM2637HQ:bin jdoe$ sudo ./cytool Usage: cytool <options> cytool - Support


tool Options: -h --help Display help information. enum List processes
protected by Traps. rpc <enable | disable> <process_name | all> Enable/
Disable RPC services for daemon(s) and agent(s). esm <connect | disconnect>
[address=hostname:port] Connect/Disconnect Traps to/from ESM. startup
query List startup status for traps endpoint agent(s) and daemon(s).
startup <enable | disable> <process_name | all> Enable/Disable agent(s)
and daemon(s) after reboot. runtime query List runtime status for agent(s),
daemon(s) and kernel extensions. runtime <start | stop> <process_name |
all> Start/Stop agent(s), daemon(s) and kernel extensions immediately.
persist list Display list of persistent databases. persist export <db_name
| all> Export database(s) to the file(s) in JSON format. persist import
<db_name> <file_name> Import data into the database from the given file.
persist print <db_name | all> [csv] Print database to the command prompt.
log <log_level> <process_name | all> Set log level for the desired process.
wakeup Wake up from OS incompatibility state. dump <enable | disable |
restore> Enable/Disable dump generation or restore policy settings.

Ver el estado del agente que usa Cytool


Para ver información sobre el estado del agente de Traps en los endpoints de Windows, use el comando
cytool info.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver la versión del agente de Traps:

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 345


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Traps> cytool info Traps (R) supervisor
tool 4.0.0.24100 (c) Palo Alto Networks, Inc. All rights reserved General
Traps information USAGE: cytool info query

STEP 3 | Para obtener información más detallada de la versión de Traps y del estado del agente, use el
comando cytool info query .

C:\Program Files\Palo Alto Networks\Traps>cytool info query Content


Type: 0 Content Build: 0 Content Version: 13 Event Log: 0 Enable Gui: 1
Notifications: 1 Heartbeat Interval: 60 Minutes Quarantine Quota: 1048576
KB Send Heartbeat: 1 Minutes Report Interval: 0 Minutes Quota: 5120 MB

Ver procesos actualmente protegidos por Traps usando Cytool


Para ver los procesos que actualmente cuentan con Traps, ejecute el comando enum en Cytool o visualice
la pestaña Protection (Protección) en la consola de Traps (consulte Ver procesos actualmente protegidos
por Traps usando Cytool). En los endpoints de Windows, la consola de Traps y Cytool muestran solo los
procesos ejecutados por el usuario actual. Para ver los procesos ejecutados por todos los usuarios y los
procesos que el sistema operativo ha iniciado, especifique la opción /a. Esta opción no es necesaria en los
endpoints de Mac.
La visualización de procesos protegidos ejecutados por todos los usuarios requiere la introducción de la
contraseña de supervisor (desinstalación).

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Vea los procesos iniciados por el usuario actual mediante el comando cytool enum. Para
ver los procesos de todos los usuarios, incluidos aquellos iniciados por el sistema operativo,
especifique la opción /a e introduzca la contraseña de supervisor cuando se la solicite.
Windows:

c:\Program Files\Palo Alto Networks\Traps>cytool /a enum Enter supervisor


password: Process ID Agent Version 1000 3.1.1546 1468 3.1.1546 452 3.1.1546
[...]

Mac:

Debe habilitar las llamadas a procedimiento remoto (RPC) antes de ejecutar este
comando. Consulte Habilitación o deshabilitación de servicios RPC.

PANM2637HQ:bin jdoe$ sudo ./cytool enum List of protected processes:


Process name Process ID User Google Chrome Helper 5469 jdoe Google
Chrome Helper 5473 jdoe Google Chrome Helper 5491 jdoe Photos 5599 jdoe
com.apple.SafariServices 5763 jdoe com.apple.WebKit.WebContent 5783 jdoe

Administrar ajustes de protección en el endpoint usando Cytool


Por defecto, Traps aplica protección a los procesos básicos, claves de registro, archivos de Traps, y servicios
de Traps según las reglas de protección de servicios definidas en la política de seguridad (para obtener

346 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
información acerca de la configuración de las reglas de protección de servicios en Endpoint Security
Manager , consulte Gestión de protección contra la manipulación de agentes on page 220). Puede usar
Cytool para cancelar las reglas de seguridad y administrar las capas siguientes de protección que Traps
aplica en el endpoint:
• Habilitar o deshabilitar la protección de procesos clave en el endpoint on page 347
• Habilitar o deshabilitar ajustes de protección de registro en el endpoint on page 347
• Habilitar o deshabilitar ajustes de protección de Traps en el endpoint on page 348
• Habilitar o deshabilitar los ajustes de protección de servicio en el endpoint on page 349
• Uso de la política de seguridad para la administración de protección de servicios on page 349

Habilitar o deshabilitar la protección de procesos clave en el endpoint


Por defecto, Traps protege procesos clave, incluidos Cyserver.exe y CyveraService.exe basándose en las
reglas de protección de servicio definidas en la política de seguridad local. Si es necesario, puede cancelar
el comportamiento de protección de procesos clave con el comando cytool protect [enable|
disable] process.
El cambio de los ajustes de protección requiere la entrada al supervisor (desinstalar contraseña).

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para gestionar los ajustes de protección de procesos clave en el endpoint, utilice el comando
siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool protect [enable|disable]


process

El ejemplo siguiente muestra el resultado de la habilitación de protección de procesos clave. La columna


Mode (Modo) muestra el estado de protección revisado, bien Enabled (Habilitado) o Disabled
(Deshabilitado), o Policy (Política) cuando se utilizan los ajustes de la política de seguridad local para
proteger procesos clave.

C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process


Enter supervisor password: Protection Mode State Process Enabled Enabled
Registry Policy Disabled File Policy Disabled Service Policy Disabled

Para usar los ajustes de reglas de políticas por defecto y proteger los procesos clave en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.

Habilitar o deshabilitar ajustes de protección de registro en el endpoint


Para evitar que los atacantes alteren las claves de registro de Traps, utilice el comando cytool protect
enable registry para restringir el acceso a las claves de registro guardadas en HKLM\SYSTEM\Cyvera.
Para deshabilitar la protección de las clave de registro, utilice el comando cytool protect disable
registry.
La realización de cambios en los ajustes de protección del registro requiere la introducción de la contraseña
de supervisor (desinstalación) cuando se le pida.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 347


© 2017 Palo Alto Networks, Inc.
STEP 2 | Para gestionar los ajustes de protección de claves de registro en el endpoint, utilice el comando
siguiente:

C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable]


registry

El ejemplo siguiente muestra el resultado de la habilitación de protección de claves de registro.


La columna Mode (Modo) muestra el estado de protección revisado, bien Enabled (Habilitado) o
Disabled (Deshabilitado), o Policy (Política) cuando se utilizan los ajustes de la política de seguridad
local para proteger claves de registro.

C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry


Enter supervisor password: Protection Mode State Process Policy Disabled
Registry Enabled Enabled File Policy Disabled Service Policy Disabled

Para utilizar los ajustes de la política de seguridad local y proteger las claves de registro en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.

Habilitar o deshabilitar ajustes de protección de Traps en el endpoint


Para evitar que los atacantes alteren los archivos de Traps, utilice el comando cytool protect enable
file para restringir el acceso a los archivos del sistema en %Program Files%\Palo Alto Networks
\Traps y %ProgramData%\Cyvera (o C:\ Documents and Settings\All Users\Application
Data\Cyvera on Windows XP). Para deshabilitar la protección de archivos Traps, utilice el comando
cytool protect disable file.
La realización de cambios en los ajustes de protección de archivos Traps requiere la introducción de la
contraseña de supervisor (desinstalación) cuando se le pida.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para gestionar los ajustes de protección de archivos Traps en el endpoint, utilice el comando
siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool protect [enable|disable]


file

El ejemplo siguiente muestra el resultado de la habilitación de protección de archivos. La columna


Mode (Modo) muestra el estado de protección revisado, bien Enabled (Habilitado) o Disabled
(Deshabilitado), o Policy (Política) cuando se utilizan los ajustes de la política de seguridad local para
proteger archivos de Traps.

C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file Enter


supervisor password: Protection Mode State Process Policy Disabled Registry
Policy Disabled File Enabled Enabled Service Policy Disabled

Para usar los ajustes de reglas de políticas por defecto y proteger los archivos de Traps en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.

348 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Habilitar o deshabilitar los ajustes de protección de servicio en el endpoint
Para esquivar la política de seguridad de Traps, los atacantes pueden intentar deshabilitar o cambiar el
estado de los servicios de Traps. Use el comando cytool protect enable service para proteger los
servicios de Traps. Para deshabilitar la protección de servicios Traps, utilice el comando cytool protect
disable service.
La realización de cambios en los ajustes de protección del servicio requiere la introducción de la contraseña
de supervisor (desinstalación) cuando se le pida.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para gestionar los ajustes de protección de servicios de Traps en el endpoint, utilice el
comando siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool protect [enable|disable]


service

El ejemplo siguiente muestra el resultado de la habilitación de protección de servicios. La columna


Mode (Modo) muestra el estado de protección revisado, bien Enabled (Habilitado) o Disabled
(Deshabilitado), o Policy (Política) cuando Traps utiliza los ajustes de la política de seguridad local para
proteger los servicios de Traps.

C:\Program Files\Palo Alto Networks\Traps> cytool protect enable service


Enter supervisor password: Protection Mode State Process Policy Disabled
Registry Policy Disabled File Policy Disabled Service Enabled Enabled

Para usar los ajustes de reglas de políticas por defecto para proteger los servicios de Traps en el
endpoint, consulte Uso de la política de seguridad para la administración de protección de servicios.

Uso de la política de seguridad para la administración de protección de


servicios
Tras cambiar los ajustes de protección con Cytool, puede restaurar la política de seguridad por defecto en
cualquier momento mediante el comando cytool protect policy <feature>.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para usar las reglas de la política de seguridad y administrar la protección de servicios, utilice el
comando siguiente:

C:\Program Files\Palo Alto Networks\Traps>cytool protect policy <feature>

donde <feature> es un process (proceso), registry (registro), file (archivo) o service (servicio).
El ejemplo siguiente muestra el resultado de la administración de la protección en los archivos de Traps
utilizando la política de seguridad local. La columna Mode (Modo) muestra el estado de protección
revisado como Policy (Política).

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 349


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Traps> cytool protect policy <feature>
Enter supervisor password: Protection Mode State Process Enabled Enabled
Registry Enabled Enabled File Policy Disabled Service Enabled Enabled

Administrar controladores de Traps y servicios en el endpoint


usando Cytool
Cuando se inicia un endpoint, Traps inicia controladores (Cyverak, Cyvrmtgn y Cyvrfsfd) y servicios (Cyvera
y CyveraService) por defecto. Puede usar Cytool para cancelar el comportamiento por defecto y administrar
el inicio o estado actual de controladores y servicios sobre una base global o individual. Los cambios en
el comportamiento de inicio por defecto se realizan cuando se reinicia el endpoint. Los cambios en el
comportamiento de tiempo de ejecución tienen un efecto inmediato.
• Ver componentes de inicio de Traps en el endpoint
• Habilitación o deshabilitación del inicio de los componentes de Traps en el endpoint
• Ver componentes de tiempo de ejecución de Traps en el endpoint
• Inicio o parada de los componentes de tiempo de ejecución de Traps en el endpoint
• Habilitación o deshabilitación de servicios RPC (solo endpoints de Mac)

Ver componentes de inicio de Traps en el endpoint


Utilice el comando cytool startup query para visualizar el estado de los componentes de inicio en el
endpoint. Cuando se deshabilita un servicio o controlador, Cytool muestra el componente como Disabled.
Cuando se habilita un controlador, Cytool muestra el componente como System (Sistema). Cuando se
habilita un servicio, Cytool muestra el componente Startup como Automatic (Automático).

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver el comportamiento de inicio actual de controladores y servicios de Traps, utilice el
comando siguiente:
Windows:

C:\Program Files\Palo Alto Networks\Traps>cytool startup query Service


Startup cyverak System cyvrmtgn System cyvrfsfd System cyserver Automatic
CyveraService Automatic

Mac:

PANM2637HQ:bin jdoe$ sudo ./cytool startup query Password: Process name


Startup status traps_agent Enabled trapsd Enabled authorized Enabled pmd
Enabled kproc-ctrl Loaded

Habilitación o deshabilitación del inicio de los componentes de Traps en el


endpoint
Use el comando cytool startup [enable|disable], seguido opcionalmente del nombre del
componente, para cancelar el comportamiento por defecto e iniciar los controladores y servicios de Traps
en el endpoint.

350 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
La realización de cambios en el comportamiento de inicio requiere la introducción de la contraseña del
supervisor cuando se le pida.

Los cambios en los controladores y servicios de Traps no se hacen efectivos hasta el


reinicio del sistema. Para hacer cambios en los controladores y servicios de Traps y que
surtan efecto de inmediato, consulte Inicio o parada de los componentes de tiempo de
ejecución de Traps en el endpoint.

STEP 1 | Abra un cuadro de comandos o terminal como administrador y vaya a la carpeta Traps
(consulte Acceder a Cytool).

STEP 2 | Para cambiar el comportamiento de inicio para un controlador o servicio específicos, utilice el
comando cytool startup (inicio de cytool):
Windows:

C:\Program Files\Palo Alto Networks\Traps> cytool startup [enable|disable]


<component>

donde <component> es un controlador: cyverak, cyvrmtgn, cyvrfsfd; o un servicio: cyserver,


CyveraService.
O bien puede quitar <component> del comando para cambiar el comportamiento de inicio de todos los
controladores y servicios.
El ejemplo siguiente muestra el resultado para la deshabilitación del comportamiento de inicio del
controlador cyvrmtgn. La columna Startup (Inicio) muestra el comportamiento revisado como
Disabled (Deshabilitada).

C:\Program Files\Palo Alto Networks\Traps> cytool startup disable cyvrmtgn


Enter supervisor password: Service Startup cyverak System cyvrmtgn Disabled
cyvrfsfd System cyserver Automatic CyveraService Automatic

Mac:

PANM2637HQ:bin jdoe$ sudo ./cytool startup [enable|disable] <component|all>

Donde <component> es un proceso en el endpoint de Mac. De forma alternativa, puede indicar all
para cambiar el comportamiento de inicio para todos los procesos de inicio.
El ejemplo siguiente muestra el resultado para la deshabilitación del comportamiento de inicio del
proceso trapsd. La columna Startup status (Inicio) muestra el comportamiento revisado como
Disabled (Deshabilitada).

PANM2637HQ:bin jdoe$ sudo ./cytool startup disable trapsd Process name


Startup status traps_agent Enabled trapsd Disabled authorized Enabled pmd
Enabled kproc-ctrl Loaded

Ver componentes de tiempo de ejecución de Traps en el endpoint


Utilice el comando cytool runtime query para visualizar el estado de los componentes de Traps en el
endpoint. Cuando un servicio o controlador está activo, Cytool muestra el estado como Running. Cuando
no se está ejecutando un servicio o controlador, Cytool muestra el estado como Stopped.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 351


© 2017 Palo Alto Networks, Inc.
STEP 1 | Abra el símbolo del sistema (como administrador) o un terminal y vaya a la carpeta Traps
(consulte AccessCytool).

STEP 2 | Para ver el estado de tiempo de ejecución actual de controladores y servicios de Traps, utilice
el comando cytool runtime query:

Debe introducir la contraseña del administrador cuando así se le solicite.

Windows:

C:\Program Files\Palo Alto Networks\Traps>cytool runtime query Enter


supervisor password: Service Startup cyverak Running cyvrmtgn Running
cyvrfsfd Running cyserver Stopped CyveraService Running

Mac:

PANM2637HQ:bin jdoe$ sudo ./cytool runtime query Password: Name PID User
Status Command traps_agent 358 jdoe Running /Library/Application Support/
PaloAltoNetworks/Traps/bin/traps_agent.app/Contents/MacOS/traps_agent
trapsd 55 root Running /Library/Application Support/PaloAltoNetworks/
Traps/bin/trapsd authorized 82 root Running /Library/Application Support/
PaloAltoNetworks/Traps/bin/authorized pmd 78 root Running /Library/
Application Support/PaloAltoNetworks/Traps/bin/pmd kproc-ctrl 134 root
Loaded com.paloaltonetworks.driver.kproc-ctrl

Inicio o parada de los componentes de tiempo de ejecución de Traps en el


endpoint
Cuando el agente de Traps no pueda conectarse con el servidor ESM o usted no tenga permiso para
cambiar el comportamiento de Traps desde la consola ESM, pero se deba solucionar un problema urgente
relacionado con los controladores y servicios de Traps, puede usar el comando cytool runtime
[start|stop] para cancelar el comportamiento del tiempo de ejecución por defecto. El comando es útil
cuando se debe tomar una acción inmediata para iniciar o detener todos los componentes de Traps o iniciar
o detener un controlador o servicio específico de Traps.

Los cambios en el comportamiento de tiempo de ejecución de controladores y servicios


de Traps se ponen a cero cuando se reinicia el sistema. Para realizar cambios al
comportamiento de inicio de controladores y servicios de Traps, consulte Habilitación o
deshabilitación del inicio de los componentes de Traps en el endpoint.

La realización de cambios en el comportamiento de tiempo de ejecución requiere la introducción de la


contraseña de supervisor (desinstalación) cuando se le pida.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para iniciar o detener un controlador o servicio, utilice el comando siguiente: cytool runtime
start <component>
Windows:

352 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Traps> cytool
runtime start <component>

donde <component> es un controlador: cyverak, cyvrmtgn, cyvrfsfd; o un servicio: cyserver,


CyveraService.
O bien puede quitar <component> del comando para cambiar el comportamiento de tiempo de
ejecución de todos los controladores y servicios.
El ejemplo siguiente muestra el resultado para detener el servicio cyserver. La columna Startup
muestra el estado del componente revisado como Running o Stopped.

C:\Program Files\Palo Alto Networks\Traps> cytool runtime stop cyserver


Enter supervisor password: Service Startup cyverak Running cyvrmtgn Running
cyvrfsfd Running cyserver Stopped CyveraService Running

Habilitación o deshabilitación de servicios RPC


En los endpoints de Mac, puede habilitar o deshabilitar las llamadas a procedimiento remoto que usan los
agentes de Traps y daemons con el comando cytool rpc [enable|disable] <process_name|
all>. El agente de Traps y los daemons utilizan RPC para acceder a bases de datos persistentes, cambiar
los niveles de logs, y conectar o desconectar el servidor ESM.

STEP 1 | Abra un terminal como administrador y vaya a la carpeta Traps (consulte Acceder a Cytool).

STEP 2 | Para habilitar los servicios RPC para todos los daemons y el agente de Traps, use el comando
cytool rpc enable all:

PANM2637HQ:bin jdoe$ sudo ./cytool rpc enable all Password:

STEP 3 | Para habilitar los servicios RPC para un servicio específico, use el comando cytool rpc
enable <process_name>, por ejemplo:

PANM2637HQ:bin jdoe$ sudo ./cytool rpc enable trapsd Password:

STEP 4 | Para deshabilitar los servicios RPC para todos los daemons y el agente de Traps, use el
comando cytool rpc disable all:

PANM2637HQ:bin jdoe$ sudo ./cytool rpc disable all Password:

STEP 5 | Para deshabilitar los servicios RPC para un servicio específico, use el comando cytool rpc
disable <process_name>, por ejemplo:

PANM2637HQ:bin jdoe$ sudo ./cytool rpc disable trapsd Password:

Visualizar y comparar las políticas de seguridad en un endpoint


utilizando Cytool
Usando Cytool, puede mostrar detalles acerca de políticas de seguridad en el endpoint de Windows.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 353


© 2017 Palo Alto Networks, Inc.
• Ver detalles acerca de una política activa
• Comparar políticas

Ver detalles acerca de una política activa


Use el comando cytool policy query <process> para ver detalles acerca de políticas asociadas
con un proceso específico en los endpoinst de Windows. Al especificar el nombre del proceso se muestran
detalles sobre la política prevista, mientras que especificar la ID del proceso (PID) se muestran detalles
sobre la política activa que actualmente se aplica al proceso. El resultado es de utilidad cuando se desea
verificar que se implementa una política en el modo previsto.
Para ver los detalles de la política, debe introducir la contraseña de supervisor (desinstalación) cuando así se
solicita.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver la política activa para un proceso, use el siguiente comando:

C:\Program Files\Palo Alto Networks\Traps>cytool policy query <process>

donde <process> es el nombre de proceso o la ID de proceso. Por ejemplo, para ver detalles acerca de
una política para el bloc de notas, introduzca cytool policy query notepad. El ejemplo siguiente
muestra detallas de las políticas para un proceso con PID 1234.

C:\Program Files\Palo Alto Networks\Traps> cytool policy query 1234 Enter


supervisor password: Generic Enable 0x00000001 SuspendOnce 0x00000001
AdvancedHooks 0x00000001 [...]

Comparar políticas
En intervalos regulares, Traps solicita una política de seguridad actualizada del servidor ESM y la almacena
en el registro del sistema en endpoints de Windows. Cuando un usuario inicia un proceso, Traps determina
si protege o no el proceso según los ajustes de la política de seguridad.
En escenarios de solución de problemas en los que Traps no se comporta según lo previsto, utilice el
comando cytool policy compare para ver las diferencias en políticas que se aplican a procesos que se
ejecutan en el endpoint. Utilizando el comando, puede comparar una política para un proceso con la política
de seguridad por defecto o comparar una política para un proceso con una política para otro proceso.
En ambos casos, puede especificar el nombre del proceso o la ID del proceso (DIP). La especificación del
nombre del proceso simula la aplicación de la política para el proceso. Al especificar el PID se consulta la
política efectiva para el proceso en ejecución. Cytool muestra los ajustes de políticas punto por punto e
indica cualquier diferencia entre los políticas en rojo.
Para comparar políticas, debe introducir la contraseña del supervisor, cuando así se solicita.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Compare los detalles de dos políticas:


• Para comparar la política con la política por defecto, utilice el comando siguiente:

354 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Traps> cytool policy compare <process>
default

donde <process> es el nombre de proceso o la ID de proceso (process ID, PID).


El ejemplo siguiente muestra el resultado de la comparación de una política que se aplica al bloc de
notas con la política por defecto. Las diferencias entre las dos políticas se muestran en rojo.

C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad


default Enter supervisor password: Generic Enable 0x00000001 0x00000001
SuspendOnce 0x00000001 0x00000001 AdvancedHooks 0x00000001 0x00000001
[...] DllSec Enable 0x00000001 0x00000000 Optimize 0x00000001 0x000000011
[...]
• Para comparar las políticas para dos procesos, utilice el comando siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool policy


compare <process1> <process2>

donde <process1> y <process2> son el nombre de proceso o la ID de proceso (process ID,


PID). Por ejemplo, para comparar la política aplicada a iexplorer con la política aplicada a chrome,
introduzca cytool policy compare iexplorer chrome. También puede comparar las
políticas para dos PID o comparar la política de un proceso con una política de un PID.
El ejemplo siguiente muestra el resultado de la comparación de las políticas aplicadas a dos PID, 1592
y 1000. Las diferencias entre las dos políticas se muestran en rojo.

C:\Program Files\Palo Alto Networks\Traps> cytool policy compare 1592


1000 Enter supervisor password: Generic Enable 0x00000001 0x00000001
SuspendOnce 0x00000001 0x00000001 AdvancedHooks 0x00000001 0x00000001
[...] DllSec Enable 0x00000001 0x00000000 Optimize 0x00000001 0x000000011
[...]

Gestionar logs de componentes de Traps usando Cytool


Utilice cytool para iniciar, detener o purgar el logging de las unidades y los servicios de Traps. Esto le
permite solucionar los problemas de uno o más componentes y registrar errores, advertencias o información
a un archivo de log que luego puede visualizar con Windows Event Viewer. También puede especificar
el tamaño máximo de archivo de registro, en MB. En los endpoints de Windows, Cytool envía los logs de
seguimiento ETL a la carpeta C:\Program Files\Palo Alto Networks\Traps\. En los endpoints
de Mac bajo OS X 10.10 y OSX 10.11, Cytool envía los logs a /var/log/traps. En los endpoints de Mac
bajo macOS 10.12, puede ver los logs desde la aplicación de la consola. También puede habilitar el logging
de uno o todos los procesos en los endpoints de Mac.

STEP 1 | Abra un cuadro de comandos o terminal como administrador y vaya a la carpeta Traps
(consulte Acceder a Cytool).

STEP 2 | Para comenzar el logging de un componente de Traps, utilice el comando siguiente: cytool
log start:
Windows:

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 355


© 2017 Palo Alto Networks, Inc.
C:\Program Files\Palo Alto Networks\Traps> cytool log start <components>
[None | Critical | Error | Warning | Information | Verbose [log_size]]
<max_log_size>

donde <components> es un * para comenzar el logging en todos los servicios de Traps, o uno o
más servicios de Traps encerrados en comillas y separados por espacios, por ejemplo "cyverak
cyvrfsfd".
El siguiente ejemplo muestra el resultado cuando se usa cytool para registrar errores en los archivos
cyverak y cyvrmtgn en un archivo de log con un tamaño máximo de 20 MB.

C:\Program Files\Palo Alto Networks\Traps> cytool log start "cyverak


cyvrmtgn" Error 20 Log session started.

Mac:

PANM2637HQ:bin jdoe$ sudo ./cytool log <log_level> <process_name | all>

donde <log_level> es el valor entero del nivel de log:


• 1—Fatal error. La aplicación se cierra. Esta es la prioridad más alta.
• 2—Critical error. La aplicación no puede continuar ejecutándose correctamente.
• 3—Error. Un proceso no finalizó correctamente, pero la aplicación en general no se ha visto afectada.
• 4—Warning. Un proceso ha finalizado con un resultado inesperado.
• 5—Notice. Mensaje de información con mayor prioridad.
• 6—Info. Mensaje de información, normalmente indicando la finalización correcta de un proceso.
• 7—Debug. Mensaje de depuración.
• 8—Trace. Mensaje de seguimiento. Este es el mensaje con la prioridad más baja.
• 0—Turn off logging.
También puede configurar el logging para un proceso específico o indicar all para realizar un logging de
todos los procesos.

STEP 3 | Detener o purgar las sesiones de log activas en los endpoints de Windows:
• Para detener el logging de un componente de Traps, utilice el comando siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool log stop Log session


stopped.
• Para descargar las sesiones de log activas a un disco, use el comando siguiente:

C:\Program Files\Palo Alto Networks\Traps> cytool log flush Log session


flushed to directory C:\ProgramData\Cyvera\Logs.

Restauración de un archivo en cuarentena con Cytool


Si resulta que un archivo de la cuarentena no es malware, puede restaurarlo con la consola ESM o con
Cytool en un endpoint de Windows.
Utilice el comando cytool quarantine list para ver la información detallada de todos los archivos
de la cuarentena del endpoint. También puede restaurar un archivo a su ubicación original con el comando

356 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
cytool quarantine restore <guid>. Para restaurar un archivo a una ubicación distinta de la original,
utilice el comando cytool quarantine restore <guid> <filepath>.
Para ver y restaurar la información detallada de los archivos de la cuarentena, deberá introducir la
contraseña del supervisor (desinstalación) cuando se la soliciten.

Con Cytool, puede restaurar un archivo en cualquier sistema de archivos con permiso de
escritura y sin conexión a Internet como NTFS, ExFAT, FAT32, FAT16 y ReFS.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver todos los archivos que Traps ha puesto en cuarentena en el endpoint, escriba este
comando:

C:\Program Files\Palo Alto Networks\Traps> cytool quarantine list

El ejemplo siguiente muestra el resultado de una consulta de Cytool de todos los archivos de la
cuarentena.

c:\Program Files\Palo Alto Networks\Traps>cytool quarantine list Enter


supervisor password: Guid State Date/Time Path c92e84c0-1770-40d5-
b5b8-544d02381ea6 Quarantined Thursday, August 18, 2016, 14:40:21 PM C:
\Malware\malware1.exe

STEP 3 | Para restaurar un archivo de la cuarentena, escriba este comando:

C:\Program Files\Palo Alto Networks\Traps> cytool quarantine restore <guid>


<filepath>

y sustituya <guid> por el identificador único del archivo. Si quiere restaurar el archivo ejecutable a su
ubicación original, deje <filepath> en blanco. También puede indicar la ubicación —incluido el nombre
del archivo— al que quiere restaurar el archivo ejecutable.
El siguiente ejemplo muestra el resultado del proceso de restauración del archivo malware1.exe
mediante Cytool a una ubicación distinta de la original.

C:\Program Files\Palo Alto Networks\Traps> cytool quarantine restore


c92e84c0-1770-40d5-b5b8-544d02381ea6 C:\myfolder\not-malware.exe
Enter supervisor password: Restored prevention c92e84c0-1770-40d5-
b5b8-544d02381ea6 to C:\myfolder\not-malware.exe

Ver estadísticas de un proceso protegido con Cytool


Puede consultar Traps en cualquier momento sobre las estadísticas de infiltración de un proceso protegido
específico en ejecución en un endpoint utilizando Cytool. Utilice el comando cytool stat <pid> para
ver las estadísticas de infiltración del proceso.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 357


© 2017 Palo Alto Networks, Inc.
STEP 2 | Identificar el identificador de proceso (process identifier (PID)) del proceso en ejecución del
cual desea obtener las estadísticas. Para determinar qué procesos están siendo activamente
protegidos, consulte la pestaña Protection (Protección) en la consola de Traps.

STEP 3 | Para ver las estadísticas de un proceso en concreto, utilice el siguiente comando:

C:\Program Files\Palo Alto Networks\Traps> cytool stat <pid>

donde <pid> es la id del proceso específico.


El siguiente ejemplo muestra el resultado del uso de cytool para mostrar las estadísticas del proceso de
con el identificador de proceso (PID) 4080.

c:\Program Files\Palo Alto Networks\Traps> cytool stat 4080 DllSec


Invocations: 0 DllSec Time: 00:00:00.0 G01 Invocations: 0 G01 Time:
00:00:00.0 G01 Thunk 00 Resolution: 0 G01 Thunk 01 Resolution: 0 G01 Thunk
02 Resolution: 0 G01 Thunk 03 Resolution: 0 G01 Thunk 04 Resolution: 0 G01
Thunk 05 Resolution: 0 G01 Thunk 06 Resolution: 0 G01 Thunk 07 Resolution:
0 G01 Thunk 08 Resolution: 0 G01 Thunk 09 Resolution: 0 G01 Thunk 10
Resolution: 0 G01 Thunk 11 Resolution: 0 G01 Thunk 12 Resolution: 0 G01
Thunk 13 Resolution: 0 G01 Thunk 14 Resolution: 0 G01 Thunk 15 Resolution:
0 G01 Stack Walk Resolution: 0 J01 Minimum Stack Depth: 166 J01 Checks: 25
J01 Stack Walk Checks: 0

Ver detalles sobre el módulo de análisis local de Traps usando


Cytool
El uso de Cytool permite determinar la versión actual del módulo de análisis local de Traps.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver la versión de análisis local y la fecha de publicación asociada, utilice el siguiente
comando:

C:\Program Files\Palo Alto Networks\Traps> cytool tla query Build: 225


Timestamp: lunes, 18 de julio de 2016 6:55:34 AM

358 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Ver detalles hash de un archivo con Cytool
Con Cytool es posible identificar la información hash de archivos dentro de DLL, drivers y otros archivos
ejecutables portátiles (portable executable, PE). Para cada archivo, Cytool utiliza la codificación SHA256
para mostrar la ruta, el tamaño de archivo en bytes y el hash de archivo. Si el archivo es un archivo
ejecutable portátil, Cytool también muestra información acerca del PE de destino dentro del archivo e
incluye tamaño del archivo, tipo de arquitectura (i386 o x64), plataforma (por ejemplo, Win32 GUI, Win32
Console, o NT native) y el valor hash. Una vez que identifique el hash asociado al archivo de destino, puede
gestionar el Hash Control (control de hashes) desde la consola ESM o puede añadir el hash a una lista de
SFX permitidos en la base de datos.
Utilice el cytool image “<filepath>\<filename>” para identificar la información hash de un
archivo.

STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).

STEP 2 | Para ver los detalles de hash de un archivo, utilice el comando cytool image “<filepath>
\<filename>”. Por ejemplo, el resultado siguiente muestra información acerca de
iexplorer.exe.

C:\Program Files\Palo Alto Networks\Traps> cytool image “C:\Program Files


\Internet Explorer\iexplore.exe” Image Information Location: C:\Program
Files\Internet Explorer\iexplore.exe Size: 795.20 KB (814280 bytes) File
SHA256: 1130c581e0e88111ec02d09ab4fc1f6d532f762c9339c7d54abaf8f43c796fe5
Architecture: x86-64 Subsystem: Windows GUI
PE Size: 780.00 KB (798720 bytes) PE SHA256:
79dc738ce785befcc315d004e15f2748ffd967eede830c4f9f0a59a5f6902203

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 359


© 2017 Palo Alto Networks, Inc.
Solución de problemas de Traps
Este tema está dirigido a los siguientes problemas relacionados con Traps:
• ¿Por qué no puedo instalar Traps? on page 360
• ¿Por qué no puedo actualizar o desinstalar Traps? on page 361
• ¿Por qué no se puede conectar Traps con el servidor ESM? on page 361
• ¿Cómo soluciono un error de certificado de servidor de Traps? on page 363

¿Por qué no puedo instalar Traps?


Síntoma
Configuración de Traps informa del error siguiente: No se ha podido iniciar el servicio
“Traps” (CyveraService). Verifique que tiene los privilegios suficientes.

Causas posibles
• No tiene privilegios administrativos para iniciar servicios en el endpoint.
Solución
Después de cada paso del procedimiento siguiente, verifique si puede instalar Traps. Si Traps sigue
informando de un error, proceda con cada paso posterior hasta solucionar el problema.

STEP 1 | Verifique que tiene derechos administrativos en el endpoint:


• Windows 7: Haga clic en Start (Iniciar) > Control Panel (Panel de control) > User Accounts (Cuentas
de usuario) > Manage User Accounts (Administrar cuentas de usuario). En la pestaña de usuario,
verifique que su nombre de usuario está en el grupo Administradores.
• Windows 8: Haga clic en Start (Iniciar) > Control Panel (Panel de control) > User Accounts (Cuentas
de usuario) > Change User Accounts (Cambiar cuentas de usuario). Verifique que la cuenta aparece
como Administrador.
Inicie sesión en el endpoint como administrador válido.

STEP 2 | El archivo de log de servicio contiene información, advertencias y errores relacionados con
el servicio de Traps. Para la solución adicional de un problema relacionado con el servicio de
Traps, abra el archivo C:\ProgramData\Cyvera\Logs\Service.log en un editor de texto y revise
cualquier error en el archivo de log que ha ocurrido en el momento del evento.

Por defecto, la carpeta Datos de programa puede estar oculta. Para ver la carpeta
en Windows Explorer, seleccione Organize (Organizar) > Folder and Search Options
(Opciones de carpeta y búsqueda) > View (Ver) > Show hidden files and folders (Mostrar
archivos y carpetas ocultos).

STEP 3 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.

360 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
¿Por qué no puedo actualizar o desinstalar Traps?
Síntoma
Configuración de Traps informa del error siguiente: No se ha podido iniciar el servicio
“Traps” (CyveraService). Verifique que tiene los privilegios suficientes.

Causas posibles
En versiones anteriores de Traps, la función de protección de servicio evita la modificación o alteración de
los archivos de sistema de Traps.
Solución

STEP 1 | Cree una regla de acción para deshabilitar la protección de servicio (consulte Gestión de
protección contra la manipulación de agentes on page 220).

STEP 2 | Verifique que puede instalar o desinstalar Traps.

STEP 3 | Borre la regla de acción (consulte Guardar reglas on page 132).

STEP 4 | Intente actualizar Traps. Para la solución de un problema relacionado con el servicio de Traps,
visualice los logs para ver si Traps informa de un error específico:
• En la consola de Traps, seleccione Open Log File (Abrir archivo de log).
• Desde la consola de Traps, seleccione Send Support File (Enviar archivo de soporte) para enviar los
logs al servidor ESM
• Cree una regla de acción para recuperar los logs del endpoint (consulte Gestionar datos recopilados
por Traps on page 206).

STEP 5 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.

¿Por qué no se puede conectar Traps con el servidor ESM?


Síntoma
Traps no se puede comunicar con el servidor ESM para obtener la política de seguridad más reciente e
informa de une estado de No connection to server! (¡Sin conexión con el servidor!).
Causas posibles
• Las especificaciones del servidor o el endpoint no cumplen con los requisitos previos de instalación y
criterios.
• El servicio de Traps no está activo en el endpoint.
• El servicio básico del Administrador de seguridad de endpoints no está activo en el servidor ESM.
• El endpoint no está conectado a la red.
• No se permite tráfico entrante en el puerto para el servidor ESM (por defecto es 2125).
• Se habilita el cortafuegos de Windows en el servidor ESM y evita que el servidor se comunique con el
cliente.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 361


© 2017 Palo Alto Networks, Inc.
• El certificado del endpoint no coincide con el certificado del servidor ESM (consulte ¿Cómo soluciono un
error de certificado de servidor de Traps?)
Solución
Tras cada paso en el procedimiento siguiente, verifique si Traps puede conectarse con el servidor ESM
seleccionando Check-in now (Registrar ahora). Si Traps no puede conectarse con el servidor, proceda con
cada paso posterior hasta solucionar el problema.

STEP 1 | Verifique que el servidor y endpoint cumplen los requisitos previos.


Consulte Requisitos.

STEP 2 | Verifique que el servicio de Traps se está ejecutando en el endpoint.


1. Abra el administrador de servicios:
• Windows XP: En el menú de inicio, seleccione Control Panel (Panel de control) > Administrative
Tools (Herramientas administrativas) > Services (Servicios).
• Windows Vista y posterior: En el menú de inicio seleccione Control Panel (Panel de
control) > System and Security (Sistema y seguridad) > Administrative Tools (Herramientas
administrativas) > Services (Servicios).
2. Localice el servicio de Traps (denominado CyveraService en versiones anteriores de Traps) y verifique
que el estado de servicio sea Started (Iniciado).
3. Si el estado del servicio es Stopped (Detenido), haga doble clic en el servicio y seleccione Start
(Iniciar). Haga clic en Close (Cerrar).

STEP 3 | Verifique que el servicio básico de Endpoint Security Manager se esté ejecutando en el
servidor ESM.
1. Abra el administrador de servicios:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Administrative Tools (Herramientas administrativas) > Services (Servicios).
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) > System
and Security (Sistema y seguridad) > Administrative Tools (Herramientas administrativas) >
Services (Servicios).
2. Localice el servicio básico de Endpoint Security Manager (denominado CyveraServer en versiones
anteriores del Endpoint Security Manager) y verifique que el estado del servicio sea Started (Iniciado)
(Windows Server 2008) o Running (En ejecución) (Windows Server 2012).
3. Si el estado del servicio es Stopped (Detenido) o Paused (En pausa), haga doble clic en el servicio y
seleccione Start (Iniciar). Haga clic en Close (Cerrar).

STEP 4 | Verifique que puede llegar al servidor ESM desde el endpoint.


Desde el endpoint, abra una línea de comando y haga ping a la dirección IP o el nombre host del servidor
ESM. Si no se puede acceder al servidor ESM, examine los ajustes de conectividad de red entre los
dispositivos.

STEP 5 | Verifique que puede llegar al endpoint desde el servidor ESM.


Desde el servidor ESM, abra una línea de comando y haga ping a la dirección IP o el nombre host del
endpoint. Si no se puede acceder al endpoint, examine los ajustes de conectividad de red entre los
dispositivos.

STEP 6 | Verifique que el puerto del servidor ESM está abierto en el cortafuegos de Windows (por
defecto es 2125).
1. Para comprobar el acceso del puerto desde el endpoint:

362 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
1. Abra una línea de comando como administrador.
2. Introduzca el comando siguiente para telnet en el puerto 2125 en el servidor ESM:

C:\> telnet <esmServerName> 2125

donde <esmServerName> es el nombre de host o la dirección IP del servidor ESM.


2. Si no puede conectar a telnet en el puerto 2125, cree una regla entrante para abrir ese puerto:
1. Abra los ajustes avanzados del cortafuegos de Windows:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Windows Firewall > Advanced Settings (Configuración avanzada).
• Windows Server 2012: En el menú de inicio, seleccione Control Panel (Panel de control) >
System and Security (Sistema y seguridad) > Windows Firewall > Advanced Settings
(Configuración avanzada).
2. Seleccione Inbound Rules (Reglas entrantes).
3. Cree una nueva regla para permitir que Traps se comunique con Endpoint Security Manager en el
puerto 2125 al seleccionar el asistente de Nueva regla y siguiendo las instrucciones.
3. Verifique que puede conectarse ahora con telnet en el puerto 2125 en el servidor ESM desde el
endpoint.

STEP 7 | Deshabilite temporalmente el cortafuegos de Windows.


1. Abra los ajustes de Cambiar centro de acción:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control). Haga
doble clic en Control Panel (Panel de control) y seleccione Ajustes de Cambiar centro de acción.
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) >
System and Security (Sistema y seguridad). Haga doble clic en Control Panel (Panel de control) y
seleccione Change Action Center settings (Ajustes de Cambiar centro de acción).
2. Borre la opción Network firewall (Cortafuegos de red).
3. Haga clic en OK (Aceptar).

STEP 8 | Verifique que se recupera la conectividad entre Traps y el servidor ESM.


En la consola Traps, haga clic en Check In Now (Registrar ahora). Si se establece la conectividad, el
estado de conexión aparece como Successful (Conectado).

STEP 9 | Vea los logs para ver si Traps informa de un error específico:
• En la consola de Traps, seleccione Open Log File (Abrir archivo de log).
• Desde la consola de Traps, seleccione Send Support File (Enviar archivo de soporte) para enviar los
logs al servidor ESM
• Cree una regla de acción para recuperar los logs del endpoint (consulte Gestionar datos recopilados
por Traps).

STEP 10 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.

¿Cómo soluciono un error de certificado de servidor de Traps?


Síntoma
Aparece el siguiente error en services.log del endpoint:

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 363


© 2017 Palo Alto Networks, Inc.
“An error occurred while making the HTTP request to https://<hostname>:2125/CyveraServer/. Esto
puede deberse al hecho de que el certificado del servidor no se configura correctamente con HTTP.SYS en
el caso de HTTPS. Esto también puede deberse a una falta de coincidencia del enlace de seguridad entre el
cliente y el servidor”.
Causas posibles
Cuando se instala el software del servidor ESM, se dispone de los siguientes ajustes de configuración de
certificados: Sin certificado (No SSL) y certificado externo (SSL). Para instalar Traps, debe seleccionar SSL
si ha seleccionado Certificado externo durante la instalación del software del servidor ESM o No SSL si
ha seleccionado Sin certificado. Las falta de coincidencia en los ajustes causa el error del que se informa a
service.log.
Solución

STEP 1 | Reinstale el software Traps.


Verifique los ajustes SLL para el servidor ESM y reinstale Traps en el endpoint, teniendo cuidado de
seleccionar el ajuste de SLL apropiado durante la instalación (consulte Instalar Traps en endpoints de
Windows on page 56).

STEP 2 | Verifique que el error no aparece en el log.


En la consola de Traps, seleccione Open Log File (Abrir archivo de log), o abra services.log en el endpoint
y revise cualquier error reciente. Si el error de certificado de servidor persiste, póngase en contacto con
el equipo de soporte de Palo Alto Networks.

364 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
Solución de problemas de la consola ESM
Este tema está dirigido a los siguientes problemas relacionados con la consola del (ESM):
• ¿Por qué no puedo iniciar sesión en la consola ESM? on page 365
• ¿Por qué recibo un error de servidor cuando inicio la consola ESM? on page 366
• ¿Por qué aparecen todos los endpoints como desconectados en la consola ESM? on page 366

¿Por qué no puedo iniciar sesión en la consola ESM?


Síntoma
La consola de Endpoint Security Manager (ESM) muestra un mensaje de error en el que se indica que el
nombre de usuario o la contraseña no son válidos.

Causas posibles
• No se ha introducido correctamente el nombre de usuario o la contraseña.
• El usuario especificado durante la instalación inicial no tiene privilegios de propietario de DB.
• No se ha añadido el usuario como administrador.
• El usuario que instaló el servidor no era un administrador local en el servidor.
Solución

STEP 1 | Verifique que ha introducido el nombre de usuario y contraseña correctos.

STEP 2 | Verifique que el usuario tiene privilegios de propietario de DB (consulte Configurar la base de
datos del servidor MS-SQL on page 46).

STEP 3 | Inicie sesión como administrador y verifique que el modo de autenticación sea correcto y que
la cuenta de usuario aparezca en la página Administración de usuario. Para añadir un usuario
administrativo, consulte Configurar el modo de autenticación on page 99. Alternativamente,
puede añadir el administrador usando la herramienta de configuración de bases de datos
(consulte Configurar el acceso administrativo a la consola ESM utilizando la herramienta de
configuración de bases de datos (DB) on page 339).

STEP 4 | Si no puede iniciar sesión como administrador, reinstale Endpoint Security Manager como
administrador local.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 365


© 2017 Palo Alto Networks, Inc.
STEP 5 | Reinicie IIS: Haga clic en Start (Iniciar) > Run (Ejecutar), tipo IISReset (Reiniciar IIS), y haga clic
en OK (Aceptar).

STEP 6 | Verifique que puede iniciar sesión en la consola ESM usando la cuenta. Si el problema persiste,
póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.

¿Por qué recibo un error de servidor cuando inicio la consola ESM?


Síntoma
Cuando se abre la consola ESM, recibe un error en el navegador que indica un error de servidor en la
aplicación ‘/CyveraManagement’ o ‘/EndpointSecurityManager’.

Causas posibles
El servidor no cumple el requisito previo para .NET Framework 4.0 con la actualización KB2468871.
Solución
Instale .NET Framework 4.0 y el parche KB2468871.

¿Por qué aparecen todos los endpoints como desconectados en la


consola ESM?
Síntoma
La página de estado de la consola ESM informa de que todos los endpoints están desconectados, incluso
cuando el endpoint puede llegar al servidor ESM.
Causas posibles
• El servidor ESM no cumple los requisitos previos.
• Debe reiniciarse el servicio básico del Administrador de seguridad de endpoints. Esto ocurre si se espera
más de una hora para instalar la clave de licencia tras la instalación inicial del software de la consola ESM.
• No se permite tráfico entrante en el puerto asociado con el servidor ESM (por defecto es 2125).
Solución
Tras cada paso en el procedimiento siguiente, verifique si Traps puede conectarse con el servidor ESM
seleccionando Check-in now (Registrar ahora). Si Traps no puede conectarse con el servidor, proceda con
cada paso posterior hasta solucionar el problema.

366 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas


© 2017 Palo Alto Networks, Inc.
STEP 1 | Verifique que el servidor cumple los requisitos previos.
Consulte Requisitos de software del servidor ESM.

STEP 2 | Verifique que el servicio de Traps se está ejecutando en el endpoint.


1. Abra el administrador de servicios:
• Windows XP: En el menú de inicio, seleccione Control Panel (Panel de control) > Administrative
Tools (Herramientas administrativas) > Services (Servicios).
• Windows Vista y posterior: En el menú de inicio seleccione Control Panel (Panel de
control) > System and Security (Sistema y seguridad) > Administrative Tools (Herramientas
administrativas) > Services (Servicios).
2. Localice el servicio de Traps (denominado CyveraService en versiones anteriores de Traps) y verifique
que el estado de servicio sea Started (Iniciado).
3. Si el estado del servicio es Stopped (Detenido), haga doble clic en el servicio y seleccione Start
(Iniciar). Haga clic en Close (Cerrar).

STEP 3 | Verifique que el servicio básico de Endpoint Security Manager se esté ejecutando en el
servidor ESM.
1. Abra el administrador de servicios:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Administrative Tools (Herramientas administrativas) > Services (Servicios).
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) > System
and Security (Sistema y seguridad) > Administrative Tools (Herramientas administrativas) >
Services (Servicios).
2. Localice el servicio básico de Endpoint Security Manager (denominado CyveraServer en versiones
anteriores del Endpoint Security Manager) y verifique que el estado del servicio sea Started (Iniciado)
(Windows Server 2008) o Running (En ejecución) (Windows Server 2012).
3. Si el estado del servicio es Stopped (Detenido) o Paused (En pausa), haga doble clic en el servicio y
seleccione Start (Iniciar). Haga clic en Close (Cerrar).

STEP 4 | Verifique que el puerto del servidor ESM está abierto en el cortafuegos de Windows (por
defecto es 2125).
1. Para comprobar el acceso del puerto desde el endpoint:
1. Abra una línea de comando como administrador.
2. Introduzca el comando siguiente para telnet en el puerto 2125 en el servidor ESM:

C:\> telnet <esmServerName> 2125

donde <esmServerName> es el nombre de host o la dirección IP del servidor ESM.


2. Si no puede conectar a telnet en el puerto 2125, cree una regla entrante para abrir ese puerto:
1. Abra los ajustes avanzados del cortafuegos de Windows:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Windows Firewall > Advanced Settings (Configuración avanzada).
• Windows Server 2012: En el menú de inicio, seleccione Control Panel (Panel de control) >
System and Security (Sistema y seguridad) > Windows Firewall > Advanced Settings
(Configuración avanzada).
2. Seleccione Inbound Rules (Reglas entrantes).
3. Cree una nueva regla para permitir que Traps se comunique con Endpoint Security Manager en el
puerto 2125 al seleccionar el asistente de Nueva regla y siguiendo las instrucciones.

GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas 367


© 2017 Palo Alto Networks, Inc.
3. Verifique que puede conectarse ahora con telnet en el puerto 2125 en el servidor ESM desde el
endpoint.

STEP 5 | Deshabilite temporalmente el cortafuegos de Windows.


1. Abra los ajustes de Cambiar centro de acción:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control). Haga
doble clic en Control Panel (Panel de control) y seleccione Change Action Center settings (Ajustes
de Cambiar centro de acción).
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) >
System and Security (Sistema y seguridad). Haga doble clic en Control Panel (Panel de control) y
seleccione Change Action Center settings (Ajustes de Cambiar centro de acción).
2. Deseleccione la opción Network firewall (Cortafuegos de red).
3. Haga clic en OK (Aceptar).

STEP 6 | Verifique que se recupera la conectividad entre Traps y el servidor ESM.


En la consola Traps, haga clic en Check In Now (Registrar ahora). Si se establece la conectividad, el
estado de conexión aparece como Successful (Conectado). Si el problema persiste, póngase en contacto
con el equipo de asistencia técnica de Palo Alto Networks.

368 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas

You might also like