Professional Documents
Culture Documents
4.0
paloaltonetworks.com/documentation
Contact Information
Corporate Headquarters:
Palo Alto Networks
3000 Tannery Way
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-support
Copyright
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2017-2017 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo
Alto Networks. A list of our trademarks can be found at www.paloaltonetworks.com/company/
trademarks.html. All other marks mentioned herein may be trademarks of their respective companies.
Last Revised
November 27, 2017
Requisitos............................................................................................................29
Requisitos de hardware...........................................................................................................................31
Requisitos de hardware para un Endpoint Security Manager independiente................ 31
Requisitos de hardware para un Endpoint Security Manager distribuido.......................32
Requisitos de hardware de Traps.............................................................................................34
Requisitos de software............................................................................................................................ 35
Requisitos de software de la consola ESM............................................................................35
Requisitos de software del servidor ESM.............................................................................. 35
Requisitos de software de la base de datos..........................................................................36
Requisitos de software de Traps..............................................................................................37
VDI........................................................................................................................63
Descripción general de VDI................................................................................................................... 65
Aplicaciones y escritorios virtualizados.................................................................................. 65
Modos de VDI...............................................................................................................................65
Consideraciones de la instalación de VDI...........................................................................................68
Descripción general de la configuración de Traps en un entorno VDI........................................ 69
Configurar un VDI persistente.............................................................................................................. 70
Configurar un VDI no persistente........................................................................................................ 71
Requisitos para la configuración de la imagen maestra (Golden Image)......................... 71
Configuración de imagen maestra (golden image) para VDI no persistente...................72
CLI de la herramienta VDI de Traps........................................................................................74
Configurar Traps para una situación de almacenamiento persistente.............................76
Configurar Traps para una situación de almacenamiento no persistente....................... 77
Ajustar y probar la política de VDI.......................................................................................... 78
Supervisión....................................................................................................... 103
Mantenimiento de los endpoints y Traps.........................................................................................105
Uso del panel de Endpoint Security Manager.................................................................................106
Monitorización de eventos de seguridad......................................................................................... 107
Uso del panel de eventos de seguridad............................................................................... 107
Ver el historial de eventos de seguridad en un endpoint................................................ 110
Monitorización de endpoints...............................................................................................................111
Ver detalles de estado de los endpoints..............................................................................111
Ver notificaciones acerca de cambios en el estado del agente...................................... 111
iv TABLE OF CONTENTS
Ver el estado del agente desde la consola Traps...............................................................112
Ver el historial de reglas de un endpoint.............................................................................113
Ver cambios en la política de seguridad desde la consola Traps....................................113
Ver el historial de estado de servicio de un endpoint...................................................... 114
Eliminación de un endpoint de la consola ESM................................................................. 114
Monitorizar los servidores ESM..........................................................................................................116
Visualizar el estado de los servidores ESM......................................................................... 116
Ver notificaciones acerca del servidor ESM........................................................................116
Ver el resumen de reglas......................................................................................................................118
Monitorizar recuperación de informes forenses.............................................................................119
TABLE OF CONTENTS v
Administrar listas blancas globales........................................................................................ 161
Bloquear la ejecución desde carpetas locales y de red.................................................... 162
Colocar carpeta de red en una lista blanca......................................................................... 164
Definir restricciones de medios externos............................................................................ 165
Definir restricciones de procesos hijo.................................................................................. 166
Definir restricciones de Java...................................................................................................167
Integración WildFire.............................................................................................................................. 170
Conceptos de integración de WildFire.................................................................................170
Configuración de ESM para comunicarse con WildFire................................................... 172
Configuración de una nube privada de WildFire............................................................... 173
Configuración de una regla de WildFire.............................................................................. 175
Gestión de hashes para archivos........................................................................................................179
Visualizar y buscar hashes.......................................................................................................179
Ver un informe de WildFire.................................................................................................... 185
Ver el historial de un veredicto..............................................................................................185
Cancelación de un veredicto de WildFire............................................................................186
Revisar una decisión de WildFire.......................................................................................... 187
Informe de veredicto incorrecto............................................................................................ 188
Cargar un archivo en WildFire para su análisis.................................................................. 188
Gestionar configuración de cuarentena............................................................................... 189
Restauración de un archivo en cuarentena.........................................................................189
Administración de endpoints.......................................................................203
Administrar reglas de acción de Traps..............................................................................................205
Reglas de acción de Traps.......................................................................................................205
Añadir una nueva regla de acción......................................................................................... 205
Gestionar datos recopilados por Traps................................................................................ 206
Desinstalar o actualizar Traps en el endpoint.....................................................................208
Administrar las reglas de ajustes de agentes...................................................................................210
Reglas de ajustes de agentes de Traps................................................................................ 210
Añadir una nueva regla de ajustes de agentes................................................................... 211
Definir las preferencias de logging de eventos.................................................................. 213
Ocultar o restringir el acceso a la consola de Traps......................................................... 214
Definir ajustes de comunicación entre el endpoint y el servidor ESM..........................215
Recopilar información de nuevos procesos.........................................................................218
Gestión de protección contra la manipulación de agentes..............................................220
Cambiar la contraseña de desinstalación.............................................................................221
Crear un mensaje de alerta de usuario personalizado...................................................... 222
Eliminación de un endpoint de la consola ESM..............................................................................225
vi TABLE OF CONTENTS
Administrar reglas y ajustes forenses................................................................................................233
Reglas forenses...........................................................................................................................233
Cambio de la carpeta forense por defecto..........................................................................233
Crear una regla forense............................................................................................................235
Definición de las preferencias del volcado de memoria...................................................236
Definición de las preferencias de recopilaciones forenses.............................................. 237
Recuperar datos acerca de un evento de seguridad......................................................... 239
Consulta a agente...................................................................................................................................241
Flujo de consulta a agente...................................................................................................... 241
Buscar endpoints para un archivo, carpeta o clave de registro...................................... 241
Visualizar los resultados de una consulta de agente.........................................................242
Solución de problemas..................................................................................331
Recursos de solución de problemas de Traps................................................................................. 333
Procesos de Traps y Endpoint Security Manager.......................................................................... 335
Archivo de asistencia técnica del ESM............................................................................................. 337
Herramienta de configuración de bases de datos (DB).................................................................338
9
10 GUÍA DEL ADMINISTRADOR DE TRAPS | Descripción general de Traps
© 2017 Palo Alto Networks, Inc.
Acerca de Traps
Los ciberataques son ataques realizados en redes o endpoints para causar daños, robar información o
lograr otros objetivos que impliquen la toma de control de sistemas informáticos que pertenecen a otros.
Los adversarios perpetran los ciberataques haciendo que un usuario ejecute de forma no intencionada un
archivo ejecutable malicioso o aprovechando una debilidad en un archivo ejecutable legítimo para ejecutar
un código malicioso sin que el usuario tenga conocimiento de ello.
Una forma de evitar estos ataques es la identificación de los archivos ejecutables, bibliotecas de vínculos
dinámicos (dynamic-link libraries, DLL) u otras partes del código como malintencionadas para así evitar
su ejecución probando cada módulo de código potencialmente peligroso frente una lista de firmas de
amenazas conocidas y específicas. La debilidad de este método es que las soluciones antivirus (AV) basadas
en firmas necesitan tiempo para identificar las amenazas de creación reciente que son conocidas solo por el
atacante (también denominadas ataques de día cero o exploits) y añadirlas a la lista de amenazas conocidas,
lo que deja a los endpoint vulnerables hasta que se actualicen las firmas.
La solución Traps utiliza un enfoque más efectivo y eficiente para prevenir ataques por tanto elimina la
necesidad de usar antivirus (AV) tradicionales. En vez de intentar mantenernos actualizados ante la siempre
creciente lista de amenazas conocidas, Traps configura una serie de obstáculos que previenen los ataques
en sus puntos de entrada inicial, cuando los archivos ejecutables legítimos están a punto de permitir accesos
maliciosos al sistema sin saberlo.
Traps se centra en las vulnerabilidades del software en procesos que abren archivos no ejecutables
utilizando técnicas de prevención de exploits. Traps también utiliza técnicas de prevención de malware para
evitar la ejecución de archivos ejecutables maliciosos. Con este doble enfoque, la solución Traps puede
evitar todo tipo de ataques, ya sean amenazas conocidas o desconocidas.
Todos los aspectos de los ajustes de seguridad del endpoint son altamente configurables: los endpoints y
los grupos a los que se aplican los ajustes, las aplicaciones que protegen y las reglas, restricciones y acciones
definidas. Esto permite a cada organización configurar Traps a la medida de sus necesidades para obtener la
máxima protección con una mínima alteración de las actividades diarias.
• Descripción general de protección contra malware
• Descripción general de protección contra exploits
Para combatir estos tipos de ataques, Traps utiliza Protección contra exploits. Cuando un usuario abre
un archivo no ejecutable, tal como un PDF o un documento de Word, y el proceso que abrió el archivo
está protegido, el agente de Traps inyecta fácilmente código en el software. Esto ocurre en la etapa más
temprana posible, antes de que se cargue en la memoria cualquier archivo perteneciente al proceso. A
continuación el agente de Traps activa uno o más Módulos de protección de exploits (consulte Módulos de
protección de exploits (EPM) de Windows y Módulos de protección de exploits (EPM) de Mac) dentro del
proceso protegido. El EPM se dirige a una técnica de exploits específica y se ha diseñado para evitar ataques
a las vulnerabilidades de los programas basándose en daños de memoria o fallos lógicos.
Los ejemplos de ataques que pueden evitar los EPM incluyen el secuestro de librerías DLL (sustitución de
una DLL legítima por una malintencionada con el mismo nombre), suplantación del flujo de control de un
programa y la inserción de un código malicioso como controlador de excepciones.
Además de proteger automáticamente los procesos contra los citados ataques, Traps informa de cualquier
evento de prevención al Endpoint Security Manager, y realiza acciones adicionales según los ajustes de las
reglas de políticas de seguridad. Las acciones comunes que realiza Traps incluyen la recopilación de datos
forenses y la información al usuario en relación con el evento. Traps no realiza ninguna acción adicional de
exploración o monitorizado.
En los siguientes temas se describe Traps y los demás componentes en mayor detalle.
• Consola ESM on page 14
• Servidor ESM on page 15
• Base de datos on page 15
• PUNTOS TERMINALES on page 15
• Agente de Traps on page 15
• Plataforma de logging externa on page 16
• WildFire on page 16
• Carpeta forense on page 18
Consola ESM
La consola de Endpoint Security Manager (ESM) es una interfaz web que le perite gestionar eventos de
seguridad, monitorizar el estado de los endpoints y configurar reglas de políticas desde un navegador web.
La consola ESM se comunica con la base de datos de forma independiente del servidor ESM. Puede instalar
la consola ESM en el mismo servidor que el servidor ESM, en un servidor independiente o en un servidor
basado en la nube.
Como práctica recomendada, utilice una única consola ESM para gestionar el o los
servidores ESM en su implementación de Traps. El uso de múltiples consolas ESM no es
compatible.
Para obtener información sobre los requisitos de hardware y software para la consola ESM, consulte
Requisitos de software de la consola ESM.
Base de datos
La base de datos almacena información administrativa, reglas de las políticas de seguridad, historial de
los endpoints y otras informaciones sobre eventos de seguridad. La base de datos se gestiona mediante
la plataforma MS-SQL. Cada base de datos requiere una licencia y puede comunicarse con uno o más
servidores ESM. La base de datos puede instalarse en el mismo servidor que la consola ESM y el servidor
ESM, por ejemplo, en un entorno independiente o puede instalarse en un servidor dedicado. Para obtener
información sobre los requisitos de hardware y software para la base de datos, consulte Requisitos de
software de la consola ESM.
Durante la evaluación, recomendamos que utilice SQL Server Express, que le permite
migrar fácilmente la base de datos a SQL Server Standard o SQL Server Enterprise.
PUNTOS TERMINALES
Un endpoint es un ordenador, servidor, equipo virtual, tablet o dispositivo móvil basado en Windows o Mac
que ejecuta la aplicación de protección en el lado del cliente denominada Traps. Para conocer los requisitos
previos, consulte Traps Software Requirements.
Agente de Traps
El agente de Traps protege el endpoint mediante la aplicación de la política de seguridad de su organización
según se define en el Endpoint Security Manager. Según la configuración, Traps puede proteger contra
intentos de aprovechamiento de vulnerabilidades y errores de software, y puede prevenir la ejecución de
archivos ejecutables maliciosos en sus endpoints.
Cuando se produce un evento de seguridad en un endpoint, Traps recopila información forense sobre el
evento y, opcionalmente, también puede notificar al usuario sobre el evento e incluso mostrar un mensaje
de notificación personalizado. Periódicamente, Traps comunica el estado del endpoint y transmite los datos
relacionados con cualquier evento de seguridad al Endpoint Security Manager. La tabla siguiente describe
los tipos de mensajes que el agente de Traps envía al servidor ESM:
Estado de Traps El agente de Traps envía periódicamente mensajes al servidor ESM para
indicar que está operativo y para solicitar la política de seguridad más
reciente. Las páginas de notificaciones y estado del Endpoint Security
Manager muestran el estado de cada endpoint. La duración entre los
mensajes, conocida como periodo heartbeat, puede configurarse.
Notificaciones El agente de Traps envía mensajes de notificación sobre los cambios del
agente, como por ejemplo, cuándo se inicia o se detiene un servicio, al
servidor ESM. El servidor crea logs de estas notificaciones en la base de datos
y usted puede visualizar las notificaciones en la consola ESM.
Actualizaciones Un usuario final puede solicitar una actualización inmediata de las políticas al
hacer clic en Check-in now (Registrar ahora) en la consola de Traps. Esto hace
que el agente de Traps solicite la política de seguridad más reciente al servidor
ESM sin esperar a que transcurra el periodo heartbeat.
Traps también proporciona un interfaz de usuario que se puede utilizar para ver el estado de protección
del endpoint, historial de eventos de seguridad, procesos en ejecución y reglas de políticas de seguridad
actual. Normalmente, un usuario no necesita ejecutar la consola de Traps, pero la información puede ser
de utilidad cuando se investiga un evento relacionado con la seguridad. Si fuera necesario, se puede decidir
ocultar el icono de la consola que inicia la consola o evitar que los usuarios la inicien desde un endpoint. Si
proporciona acceso a la consola de Traps, puede acceder a la consola desde la área de notificación (bandeja
del sistema) del endpoint.
WildFire
El agente de Traps se ha diseñado para bloquear ataques antes de que se ejecute cualquier código malicioso
en el endpoint. Si bien este enfoque garantiza la seguridad de los datos y la infraestructura, tan solo permite
recopilar información forense en el momento de la prevención. Y aunque Traps puede evitar el ataque,
Traps por sí solo no puede revelar el objetivo del ataque o su flujo completo.
Para proporcionar más información sobre la actividad del malware, el Endpoint Security Manager admite
integración con WildFire. Esto permite que Endpoint Security Manager envíe archivos ejecutables
• WildFire private cloud (Nube privada de WildFire): una nube privada de WildFire le permite analizar
archivos ejecutables desconocidos descubiertos en los endpoints de Windows en un entorno aislado
local. Para implementar una nube privada de WildFire, debe instalar un dispositivo WF-500 local.
El dispositivo WF-500 local es perfecto para implementaciones con regulaciones legales y privadas
que limitan la transferencia de archivos fuera de la red. El dispositivo WF-500 de WildFire consulta la
nube pública de WildFire para obtener el veredicto y, si no se conoce, analizar el archivo ejecutable en
el entorno aislado de seguridad local. De forma predeterminada, el WF-500 no envía el malware que
descubre fuera de su red. Sin embargo, puede configurarlo para que lo reenvíe automáticamente a la
nube pública de WildFire con el fin de generar y distribuir firmas a todos los cortafuegos de Palo Alto
Networks con licencias de Threat Prevention y WildFire. De lo contrario, el WF-500 solo reenvía a la
nube pública de WildFire el informe de malware (no la muestra en sí misma).
Si se habilita la integración de WildFire en la consola ESM, la página Status (Estado) de la consola de Traps
muestra un junto a Forensic Data Collection (Recopilación de datos forenses). Si WildFire no está
habilitado, la consola de Traps muestra un junto a Forensic Data Collection (Recopilación de datos
forenses).
Para obtener más información, consulte Configurar el ESM para comunicarse con WildFire y Flujo de
protección contra malware.
Para conocer los requisitos previos y consideraciones en relación con la instalación, consulte
Requisitos on page 29.
19
20 GUÍA DEL ADMINISTRADOR DE TRAPS | Situaciones de implementación de Traps
© 2017 Palo Alto Networks, Inc.
Implementación independiente
Para una prueba de concepto (proof of concept, POC) inicial o un sitio pequeño con menos de 3000 agentes
de Traps, utilice una implementación independiente para instalar los siguientes componentes del Endpoint
Security Manager (ESM) en un solo servidor o equipo virtual:
• Servidor ESM
• Consola ESM
• Carpeta forense (cuarentena)
• Base de datos
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
Para las prácticas correctas en el uso de un enfoque en fases en la instalación de Traps en endpoints,
consulte Proceso de implementación de Traps recomendado on page 55.
Este escenario de implementación de sitio único admite hasta 16.000 agentes de Traps en Traps ESM 4.0.0
o hasta 30.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM para la administración de la política de seguridad y los agentes de Traps.
• Dos servidores ESM, uno principal y otro de respaldo, en el mismo segmento de red que el servidor de
base de datos y la consola ESM.
• Una carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los
detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este escenario de implementación, un solo sitio contiene la base de datos, la consola ESM para la
administración de las políticas locales y los endpoints y servidores ESM redundantes. Si no se puede acceder
al servidor ESM principal, los agentes de Traps se conectan al Endpoint Security Manager utilizando el
servidor de respaldo. Ambos servidores obtienen la política de seguridad de la base de datos y la distribuyen
a los agentes.
Este escenario de implementación de varios sitio admite hasta 32.000 agentes de Traps si se usa Traps
ESM 4.0.0 o hasta 30.000 agentes de Traps si se está usando Traps ESM 4.0.1 y consta de los siguientes
componentes:
• Un servidor de base de datos dedicado en uno de los sitios.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM por sitio o dos servidores ESM por sitio para la redundancia.
• Una carpeta forense a la que pueden acceder todos los endpoints para guardar en tiempo real los
detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este escenario de implementación, el Sitio A contiene un servidor ESM, la base de datos y una consola
ESM para la administración de políticas locales y endpoints. El Sitio B contiene un segundo servidor ESM
con capacidad para 16.000 agentes adicionales en Traps ESM 4.0.0 o 30.000 agentes de Traps adicionales
en Traps 4.0.1. Ambos servidores obtienen la política de seguridad de la base de datos localizada en el Sitio
A y la distribuyen a los agentes. Los agentes se conectan con el servidor ESM principal de su sitio, mientras
el servidor ESM del otro sitio actúa como servidor secundario de respaldo.
Este escenario de implementación de un único sitio admite hasta 80.000 agentes de Traps en Traps ESM
4.0.0 o hasta 150.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM 4.0.0 para cada 16.000 agentes de Traps (hasta un máximo de 80.000 agentes) o un
servidor ESM 4.0.1 para cada 30.000 agentes de Traps (hasta un máximo de 150.000 agentes).
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, se pueden conectar hasta 80.000 (4.0.0) o 130.000 (4.0.1) agentes de Traps al Endpoint
Security Manager. Para permitir este escenario, los endpoints se conectan a cinco servidores ESM a
través de un equilibrador de carga opcional. Cada servidor ESM se conecta a una base de datos central
administrada por una consola ESM dedicada.
Este escenario de implementación de varios sitios admite hasta 80.000 agentes de Traps en Traps ESM
4.0.0 o hasta 150.000 agentes de Traps en Traps ESM 4.0.1. y consta de los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM para cada 16.000 agentes de Traps (para un máximo de 80.000 agentes) en cada sitio
4.0.0 o 30.000 agentes de Traps (para un máximo de 150.000 agentes) en cada sitio 4.0.1
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, los sitios A, B, C, D y E necesitan poder admitir hasta 16.000 agentes de Traps cada uno
en Traps ESM 4.0.0 o 30.000 agentes de Traps en Traps ESM 4.0.1. Para permitir este escenario, debe
implementar un servidor ESM en cada sitio que recupera la política de seguridad de la base de datos ubicada
en el Sitio A. Los agentes se conectan al Endpoint Security Manager utilizando sus servidores ESM locales
como servidor principal y usan los servidores ESM de otros sitios como servidores secundarios.
• Una carpeta forense por cada servidor ESM a la que puedan acceder todos los endpoints para guardar en
tiempo real los detalles forenses relacionados con eventos de seguridad.
• (Recomendado) Integración de WildFire.
• (Opcional) Equilibrador de carga para la distribución del tráfico a través de los servidores ESM.
• (Opcional) Plataforma de logging externa, como un SIEM o syslog.
En este ejemplo, los sitios A, B, C y D necesitan poder admitir hasta 16.000 agentes de Traps cada uno en
Traps ESM 4.0.0 o 30.000 agentes de Traps en Traps ESM 4.0.1. Un sitio adicional admite agentes de Traps
que están en itinerancia. Para permitir este escenario, cada sitio contiene un servidor ESM que recupera
la política de seguridad de la base de datos ubicada en el Sitio A. Los endpoints internos se conectan al
Endpoint Security Manager utilizando sus servidores ESM locales. Los endpoints externos se conectan a
través de un servidor ESM público localizado en un DMZ o a través de un puerto que se configura para
permitir el tráfico de redes externas. Si un endpoint está en itinerancia y no se puede conectar al servidor
En Traps ESM 4.0.1, este escenario de implementación admite hasta 90.000 agentes de Traps que se
pueden conectar a través de sitios locales y desde ubicaciones remotas a través de un túnel VPN. Para
admitir hasta 150.000 agentes de Traps, puede implementar dos servidores ESM 4.0.1 adicionales.
En Traps ESM 4.0.0, este escenario de implementación admite hasta 48.000 agentes de Traps que se
pueden conectar a través de sitios locales y desde ubicaciones remotas a través de un túnel VPN. Para
admitir hasta 80.000 agentes de Traps, puede implementar dos servidores ESM 4.0.0 adicionales.
Este entorno de sitios múltiples está compuesto por los siguientes componentes:
• Un servidor de base de datos dedicado.
• Una consola ESM en la misma localización que la base de datos para administrar la política de seguridad
y los agentes de Traps.
• Un servidor ESM para cada 30.000 agentes de Traps (para un máximo de 150.000 agentes) en cada sitio
4.0.1 o 16.000 agentes de Traps (para un máximo de 80.000 agentes) en cada sitio 4.0.0
29
30 GUÍA DEL ADMINISTRADOR DE TRAPS | Requisitos
© 2017 Palo Alto Networks, Inc.
Requisitos de hardware
• Requisitos de hardware para un Endpoint Security Manager independiente on page 31
• Requisitos de hardware para un Endpoint Security Manager distribuido on page 32
• Requisitos de hardware de Traps on page 34
En un Implementación independiente on page 21, instala los componentes de Endpoint Security Manager
components, que están compuestos del servidor ESM, consola ESM y base de datos, en el mismo servidor.
La tabla siguiente muestra los requisitos de requisitos para un servidor independiente.
Para los requisitos de Traps, consulte Requisitos de hardware de Traps on page 34.
Para los requisitos de software, consulte Requisitos de software de Traps on page 37.
Consulte al equipo de soporte de Palo Alto Networks si necesita integración con una base
de datos existente.
Suministro de un servidor de base de datos que cumpla con los siguientes requisitos previos:
Aplicación de base de datos para utilizarla durante la evaluación o la producción. Utilice uno de los
siguientes:
39
40 GUÍA DEL ADMINISTRADOR DE TRAPS | Configurar la infraestructura de Traps
© 2017 Palo Alto Networks, Inc.
Configurar la infraestructura de endpoints
Use el siguiente flujo de trabajo para configurar la infraestructura de endpoints o, para actualizar la
infraestructura de endpoints existente, utilice el flujo de trabajo para Actualizar a Traps 4.0como se describe
en la Guía de nuevas funciones de Traps 4.0:
STEP 1 | Inicie sesión en el sitio web de soporte de Palo Alto Neworks tras recibir el correo electrónico
de procesamiento.
STEP 2 | (Solo licencias nuevas) Seleccione Assets (Activos) > Advanced Endpoint Protections (Protección
avanzada de endpoint) > Activate New Auth-Code (Activar nuevo código de autenticación).
STEP 3 | (Solo licencias nuevas) Introduzca en el campo Authorization Code (Código de autenticación) el
código de autorización de Traps que encontrará en el correo electrónico de procesamiento y
haga clic en Agree and Submit (Aceptar y enviar).
STEP 4 | En la columna License (Licencia), haga clic en el icono de descarga ( ) para descargar la clave
de licencia.
STEP 5 | Seleccione la versión de Traps en la que se utilizará esta clave de licencia (Pre 3.3, 3.3-3.4 o
4.0) y haga clic en Download (Descargar).
STEP 1 | Emita o solicite un certificado para cada componente de ESM —servidor y consola— con el
propósito de autentificar el servidor y el cliente. Este certificado debe ser de un tipo tal que le
permita exportarlo con una contraseña.
El nombre del certificado puede ser simple o incluir caracteres comodín. Un certificado con un nombre
simple requiere que el Nombre común, CN del certificado coincida con el nombre de dominio completo
(FQDN) del componente del ESM (por ejemplo, servidor.trapsserver.com). Un certificado con un
nombre con caracteres comodín le permite utilizar el mismo certificado con aquellos componentes
del ESM que compartan el mismo subdominio (por ejemplo, puede usar *.trapsserver.com tanto para
servidor.trapsserver.com como para consola.trapsserver.com). Este último tipo de certificado también
resulta útil en implementaciones con varios servidores ESM.
STEP 2 | Instale el software ESM y habilite el cifrado SSL; consulte todas las instrucciones de la
instalación en Instalar el software del servidor de Endpoint Security e Instalar el software de la
consola de Endpoint Security Manager.
1. Durante la instalación tanto del servidor como de la consola ESM, seleccione la opción External
Certificate (SSL) (Certificado externo [SSL]) y busque el archivo PKCS#12 o PFX que contiene el
certificado y la clave privada.
Si aún no dispone de un archivo PKCS#12 o PFX, siga el método que prefiera para
generarlo. Por ejemplo, en IIS puede usar la función Export (Exportar) de MMC
Console (Consola MMC) > Certificates snap-in (Complemento de certificados). Al
exportar el certificado y la clave privada, debe crear una contraseña para proteger la
clave.
2. Introduzca la contraseña del certificado.
El instalador vincula el certificado al puerto de comunicación entre el agente y el ESM.
Si instala Traps en el servidor ESM y la consola ESM, y utiliza un certificado autofirmado o uno de
CA de empresa, también deberá instalar el certificado en el servidor como se describe en el siguiente
paso.
3. Haga clic con el botón derecho en Databases (Bases de datos) y luego seleccione New Database
(Nueva base de datos).
STEP 2 | Inicie la instalación del software del servidor ESM También puede instalar el servidor ESM
usando Msiexec (consulte Instalar componentes de Traps usando Msiexec de Windows).
1. Haga doble clic en el archivo de instalación ESMCore.
2. Haga clic en Next (Siguiente) para comenzar el proceso de configuración.
3. En el diálogo del Contrato de licencia de usuario final, seleccione la casilla I accept the terms in the
License Agreement (Acepto los términos del contrato de licencia) y, a continuación, haga clic en Next
(Siguiente).
4. Deje la carpeta de instalación por defecto o haga clic en Change (Cambiar) para especificar una
carpeta de instalación diferente, y luego haga clic en Next (Siguiente).
STEP 3 | Especifique el nivel de seguridad para la comunicación entre el servidor ESM y los agentes de
Traps.
Para cifrar la comunicación en SSL, utilice un archivo de certificado de servidor-cliente (formato PFX) y
suministre la contraseña para descifrar la clave privada.
STEP 4 | Configure los ajustes que permiten la comunicación entre el servidor ESM y la base de datos.
Para establecer el acceso a la base de datos, debe especificar el método de autenticación y un
usuario que tenga privilegios administrativos para administrar a base de datos. El nombre de usuario
(y contraseña) que introduzca depende del tipo de método de autenticación que seleccione: la
autenticación de Windows (recomendada) o la autenticación de servidor SQL
1. Introduzca el nombre de dominio totalmente cualificado o la dirección IP del Server Name (Nombre
del servidor) de la base de datos. Si su servidor SQL utiliza una instancia que no sea el valor por
defecto, también debe incluir el nombre de la instancia en el formato <servername>\<instance>.
2. Introduzca el Database Name (Nombre de la base de datos).
3. Seleccione el método de autenticación e introduzca las credenciales de la cuenta. Esta cuenta
también se debe añadir como propietario de base de datos en el servidor de base de datos (para
obtener más información, consulte Configurar la base de datos del servidor MS-SQL).
• Use Windows Authentication (Use la autenticación de Windows) para autenticar usando una
cuenta de usuario del dominio de Windows que tenga privilegios para administrar el servidor
La comunicación segura entre el servidor ESM y la base de datos solo está admitida
por SQL Server Enterprise o SQL Server Standard.
5. Haga clic en Next (Siguiente).
1. Introduzca y luego confirme una contraseña inicial, que debe contener ocho caracteres o más.
Aparecerá un mensaje que le pedirá esta contraseña cada vez que usted o un usuario intente
desinstalar el software de Traps.
STEP 6 | Importar la licencia de Traps. Si prefiere no proporcionar una licencia de Traps durante la
instalación, solo tendrá acceso de solo lectura a la consola ESM hasta que añada una licencia de
Traps válida.
STEP 2 | Inicie la instalación del software de la consola ESM También puede instalar la consola ESM
usando Msiexec (consulte Instalar componentes de Traps usando Msiexec de Windows).
1. Haga doble clic en el archivo de instalación ESMConsole.
2. Haga clic en Next (Siguiente) para comenzar el proceso de configuración.
3. Seleccione la casilla I accept the terms of the License Agreement (Acepto los términos del contrato
de licencia) y, a continuación, haga clic en Next (Siguiente).
STEP 4 | Especifique el nivel de seguridad para la comunicación entre el administrador y la consola ESM.
Para cifrar la comunicación en SSL, utilice un archivo de certificado de servidor-cliente (formato PFX) y
suministre la contraseña para descifrar la clave privada.
STEP 5 | Configure los ajustes que permiten la comunicación entre la consola ESM y la base de datos.
Para establecer el acceso a la base de datos, debe especificar el método de autenticación y un
usuario que tenga privilegios administrativos para administrar a base de datos. El nombre de usuario
(y contraseña) que introduzca depende del tipo de método de autenticación que seleccione: la
autenticación de Windows (recomendada) o la autenticación de servidor SQL
Use los mismos ajustes de base de datos que introdujo durante la instalación del servidor
ESM.
1. Introduzca el nombre de dominio totalmente cualificado o la dirección IP del Server Name (Nombre
del servidor) de la base de datos. Si su servidor SQL utiliza una instancia que no sea el valor por
defecto, también debe incluir el nombre de la instancia en el formato <servername>\<instance>.
2. Introduzca el Database Name (Nombre de la base de datos).
3. Seleccione el método de autenticación e introduzca las credenciales de la cuenta. Esta cuenta
también se debe añadir como propietario de base de datos en el servidor de base de datos (para
obtener más información, consulte Configurar la base de datos del servidor MS-SQL).
• Use Windows Authentication (Use la autenticación de Windows) para autenticar usando una
cuenta de usuario del dominio de Windows que tenga privilegios para administrar el servidor
La comunicación segura entre la consola ESM y la base de datos solo está admitida
por SQL Server Enterprise o SQL Server Standard.
5. Haga clic en Next (Siguiente).
STEP 6 | Configure los ajustes para el usuario administrativo que acceda a la consola ESM.
1. Instale Traps en los Semana 1 Instale Endpoint Security Manager (ESM), junto con una
endpoints. base de datos MS SQL, la consola ESM y el servidor ESM, e
instale el agente de Traps en algunos (3-10) endpoints.
Compruebe el funcionamiento normal de los agentes de
Traps (inyección y política) y verifique que no haya cambios
en la experiencia del usuario.
STEP 1 | Inicie la instalación del software Traps. También puede instalar Traps usando Msiexec (consulte
Instalar componentes de Traps usando Msiexec de Windows).
Las versiones de Traps que instale en sus endpoints deben ser las mismas o anteriores a
la versión del servidor ESM y la consola ESM.
• Host Name (Nombre del host): introduzca el FQDN o la dirección IP del servidor ESM.
• Port (Puerto): si es necesario, cambie el número de puerto (por defecto es 2125).
• Seleccione SSL para cifrar la comunicación con el servidor (valor por defecto) o No SSL para no
cifrar la comunicación (no recomendado).
2. Haga clic en Next (Siguiente) > Install (Instalar).
STEP 2 | Ejecute el comando msiexec seguido de una o varias de estas opciones o propiedades:
Aunque Msiexec admite opciones adicionales, Traps y los instaladores de ESM admiten
solo las opciones indicadas en esta lista. Por ejemplo, con Msiexec, la opción para
instalar el software en un directorio no estándar no se admite puesto que se debe utilizar
la ruta predeterminada.
STEP 2 | Ejecute el comando msiexec seguido de una o varias de estas opciones o propiedades:
• Opciones de desinstalación y logging:
• /x <installpath>\<installerfilename>.msi—Desinstalar un paquete. Por ejemplo,
msiexec /x c:\install\traps.msi.
• /L*v <logpath>\<logfilename>.txt—Exporta información detallada de registro a un
archivo.. Por ejemplo, /L*v c:\logs\uninstall.txt.
Para ver la lista completa de los parámetros de Msiexec, consulte https://www.microsoft.com/
resources/documentation/windows/xp/all/proddocs/en-us/msiexec.mspx.
• Propiedades públicas:
• UNINSTALL_PASSWORD=<uninstallpassword>—Especificar la contraseña del administrador.
Para desinstalar Traps y una salida detallada del log a un archivo llamado uninstallLogFile.txt, introduzca
el siguiente comando:
STEP 2 | Compruebe el estado de la conexión del servidor. Si Traps está conectado al servidor, el estado
Conexión indica que la conexión se ha realizado con éxito. Si el agente de Traps no puede
establecer una conexión con el servidor principal o secundario, la consola de Traps indica el
estado desconectado.
STEP 2 | Encuentre el nombre del endpoint en la lista de ordenadores y verifique el estado. Un icono
indica que se está ejecutando Traps en el endpoint. Para ver detalles adicionales acerca del
endpoint, seleccione la fila de endpoints.
63
64 GUÍA DEL ADMINISTRADOR DE TRAPS | VDI
© 2017 Palo Alto Networks, Inc.
Descripción general de VDI
Su entorno comercial en constante cambio exige una infraestructura flexible para respaldar los requisitos
en desarrollo de escritorio, aplicación y acceso a datos de su personal. Al implementar una infraestructura
de escritorio virtual (virtual desktop infrastructure, VDI), puede dar atribuciones a sus empleados para que
trabajen independientemente de la ubicación, usando diferentes dispositivos.
La interfaz de usuario de un individuo en un entorno virtualizado se llama escritorio virtual. Normalmente,
el escritorio virtual se almacena en un servidor remoto y no de forma local. El software de virtualización de
escritorio separa el dispositivo físico del software y presenta un sistema operativo aislado para los usuarios.
Cuando un usuario accede a una infraestructura VDI, la infraestructura proporciona al usuario una imagen
del escritorio alojado.
Un entorno VDI normalmente supone ejecutar escritorios de usuarios dentro de máquinas virtuales que
están alojadas en servidores de centros de datos. En un entorno VDI, cada usuario recibe una máquina
virtual dedicada que ejecuta un sistema operativo independiente. Esto es diferente a una máquina virtual
específica a la cual se pueden conectar usuarios desde aplicaciones virtualizadas que se ejecutan en un
entorno normal.
Si bien una solución VDI presenta muchas ventajas de seguridad de escritorio (como el control centralizado,
una menor complejidad y una gestión eficiente del acceso y de los privilegios del usuario), es fundamental
para garantizar que toda la VDI sea segura. Garantizar este nuevo entorno centralizado es cada vez más
difícil. Una única dirección IP puede representar miles de usuarios diferentes que acceden a sus aplicaciones
y datos usando diferentes dispositivos. Los usuarios también pueden tener otras aplicaciones en su centro
de datos, además del escritorio virtual. Al usar Traps para asegurar su entorno VDI, puede aprovechar los
siguientes beneficios:
• Protección avanzada del endpoint como parte de la solución de Traps que previene los exploits de
vulnerabilidad sofisticados y los ataques desconocidos impulsados por malware.
• Esto se consigue mediante un agente de Traps ligero con gran escalabilidad que usa un nuevo e
innovador enfoque para rechazar los ataques sin necesidad de conocimiento previo sobre la amenaza.
• El software no depende de la exploración o el mantenimiento de bases de datos externas.
Los temas siguientes describen la implementación de VDI de forma más detallada:
• Aplicaciones y escritorios virtualizados
• Modos de VDI
Modos de VDI
Es posible ejecutar un entorno VDI en los siguientes modos:
• Modo VDI no persistente
• Modo VDI persistente
STEP 1 | Revise las consideraciones de instalación y los requisitos previos del software.
Consideraciones de instalación de la infraestructura de endpoints on page 44
Requisitos on page 29
Consideraciones de la instalación de VDI on page 68
STEP 5 | Adjudicar licencias adicionales al grupo general de licencias del agente, si es necesario.
Inclusión de una licencia de Traps usando la consola ESM on page 89
Esta tarea es necesaria solo para Traps 4.0.0 y Traps 4.0.1. En Traps 4.0.2, el agente
automáticamente asigna un ID único a todos las VDI. El ESM entonces utiliza este ID para
distinguir entre duplicados de VDI persistentes. Por tanto, para Traps 4.0.2 y versiones
posteriores, puede saltarse este paso.
STEP 1 | Instale el software adicional con el que tenga previsto contar en las instancias de VDI.
1. Instale Traps (consulte Instalar Traps en endpoints de Windows).
2. Instale el software adicional que necesite.
STEP 2 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).
STEP 4 | En el menú de acción , seleccione Set As Master Image (Establecer como imagen maestra).
La consola ESM actualiza el tipo de endpoint a Imagen maestra.
Esta opción está deshabilitada (en color gris) para VDI persistentes con Traps 4.0.2.
STEP 1 | Instale el software adicional con el que tenga previsto contar en las instancias de VDI.
Si tras finalizar el proceso para configurar la imagen maestra (golden image), tiene
que instalar más software, deberá volver a crear el archivo de caché de WildFire con la
herramienta VDI de Traps. De esta forma, se asegura de que Traps emite veredictos del
software nuevo.
1. Instale Traps en la imagen maestra (golden image) (consulte Instalar Traps en endpoints de Windows).
2. Instale el software adicional que necesite.
STEP 2 | Verifique que el agente de Traps en la imagen maestra (golden image) pueda acceder al
servidor ESM.
En el agente de Traps, haga clic en Check In Now (Registrar ahora) para obtener los veredictos más
recientes del servidor ESM. Si se puede acceder al servidor ESM, el estado de la consola será Connected
(Conectada).
STEP 3 | Use Cytool para detener los servicios de Traps (incluido el análisis local) en el endpoint.
Consulte Inicio o parada de los componentes de tiempo de ejecución de Traps en el endpoint. Tenga en
cuenta que el servicio de informes de Traps (Traps Reporting Service) continúa ejecutándose.
Los parámetros de Sigcheck están sujetos a cambios. Para ver las pautas de uso
disponibles, ejecute el comando sigcheck sin opciones.
Los siguientes ejemplos muestran los comandos que puede utilizar en dos versiones diferentes de
Sigcheck:
Sigcheck versión 2.54
Hay dos versiones de la herramienta VDI: 32-bit y 64-bit. Use la versión de la herramienta
VDI que coincide con su arquitectura VDI.
STEP 2 | Use la herramienta VDI de Traps para obtener veredictos para todos los archivos PE
(recopilados en 4 on page 72).
La herramienta VDI de Traps se comunica con el servidor ESM para solicitar cualquier veredicto que el
servidor ha almacenado en el caché del servidor. La herramienta VDI de Traps a continuación crea un
archivo de caché de WildFire que puede contener cualquiera de los siguientes veredictos para cada hash:
malicioso, benigno o desconocido. Un hash tiene un veredicto desconocido si el servidor ESM no ha
enviado una muestra a o ha recibido un veredicto actualizado de WildFire.
STEP 4 | Revise los archivos PE que WildFire determine que son maliciosos.
1. En la consola ESM, vaya a la página Policies (Políticas) > Malware > Hash Control (Control de
hashes).
2. Use las condiciones de búsqueda de Hash Control (Control de hashes) para identificar el malware
detectado en la imagen maestra (golden image).
STEP 5 | Configure la imagen maestra (golden image) como un VDI no persistente con la herramienta
VDI de Traps.
Esto garantiza que el agente en cada máquina generada se registra con el ESM como un nuevo agente.
Esto también garantiza que el ESM revoca licencias para la VDI cuando la sesión está inactiva o finaliza.
1. En la imagen maestra (golden image), abra la herramienta VDI de Traps.
2. Seleccione Menu (Menú) > Mark as VDI (Marcar como VDI).
3. Introduzca la contraseña de Traps y haga clic en Mark as VDI (Marcar como VDI).
La herramienta VDI de Traps identifica el equipo en el registro de Windows como un VDI no
persistente.
STEP 1 | Descargar y descomprimir la herramienta VDI de Traps en la imagen maestra (golden image).
C:\Users\Administrator>cd C:\TrapsVDItool
STEP 5 | Especifique los argumentos para crear un archivo de caché de WildFire o para marcar la imagen
maestra (golden image) como una instancia VDI. Por ejemplo:
• TrapsVdiTool -i:c:\temp\sig.csv -e:192.168.70.100 -ssl -to:1
La herramienta VDI de Traps solicita veredictos para los hashes en el archivo de entrada c:\temp
\sig.csv, al servidor ESM con la dirección IP 192.168.70.100, a través de una conexión segura y limita
el tiempo de ejecución a 1 hora.
Todos los otros argumentos se establecen con sus valores predeterminados.
• TrapsVdiTool "-i:c:\temp\sig file.csv" -v -w
La herramienta VDI de Traps solicita veredictos para los hashes en el archivo de entrada c:\temp
\sig file.csv, al servidor ESM predeterminado y crea el archivo de caché solo después de haber
recibido los veredictos de todos los hashes. Tenga en cuenta que la ruta del archivo está cerrada con
comillas porque el nombre de archivo contiene un espacio.
• TrapsVdiTool -m:password
La herramienta VDI de Traps identifica la imagen maestra (golden image) como una instancia de VDI
sin realizar las comprobaciones de hash.
STEP 1 | Cree un enlace simbólico desde la unidad estándar del equipo hacia el almacenamiento local del
equipo cada vez que la VDI se reinicie.
En la imagen maestra (golden image), ejecute el Script de puesta en marcha usando un GPO o
prográmelo para que se ejecute como una tarea o política local.
Para configurar el GPO para scripts de puesta en marcha:
1. Ejecute gpmc.msc (administrador de políticas de grupo) en su controlador de dominio y luego cree un
nuevo GPO.
2. Asigne al GPO un nombre significativo y haga clic en OK (Aceptar).
3. Haga clic con el botón derecho en el GPO creado recientemente y seleccione Edit (Editar).
4. En el panel izquierdo del editor del administrador de políticas de grupo, vaya a Scripts (Startup/
Shutdown) [Inicio/Apagado] y luego vaya al panel derecho y haga doble clic en Startup (Inicio).
5. Haga clic en Add (Añadir), busque su script, seleccione el script y haga clic en OK (Aceptar).
6. Cierre ambos complementos del administrador de política de grupo.
Script de apagado
::Stop Cyvera services net stop CyveraService net stop CyServer net stop
tlaservice rd c:\ProgramData\Cyvera /q ren c:\ProgramData\CyveraNotInUse
Cyvera net start CyveraService net start CyServer
STEP 1 | Afine las políticas de protección contra malware y exploits para su VDI.
Si su organización admite un entorno mixto de instancias de VDI y no VDI, puede aplicar la Condition
for VDI Machine (Condición para máquina de VDI) a cada regla que aplica a solo las instancias VDI. Por
ejemplo, puede configurar Traps para que:
STEP 2 | Utilice la imagen maestra (golden image) para diseminar un pequeño grupo de sesiones
persistentes (2 o 3). Implemente las sesiones en un entorno de producción e imite el
comportamiento diario previsto, tal como la exploración, desarrollo y uso de aplicación
exclusivo.
STEP 3 | Recopile información adicional durante este periodo para optimizar aún más la política de
sesión por defecto y pruebe las restricciones especiales que se aplican a las sesiones no
persistentes. En general, los clientes implementados en el modo persistente habilitan una mejor
recolección de datos forenses que los clientes implementados en el modo no persistente.
STEP 5 | Después de que el servidor de VDI disemine una sesión desde la imagen maestra (golden
image) y se conecte al servidor ESM, desconecte la imagen maestra. Luego revise la política
VDI de manera que la integración de WildFire esté habilitada, la inyección de EPM esté
establecida de acuerdo con la configuración evaluada en la imagen maestra (golden image), los
ajustes de heartbeat y creación de informes utilicen intervalos más prolongados (se recomienda
60 minutos) y los volcados de memoria se envíen automáticamente.
Traps reemplazará la imagen maestra (golden image) inicial por la política de VDI modificada. Cambiar la
política de VDI afecta toda la sesión diseminada en el siguiente reinicio.
STEP 7 | Inicie sesión en la consola ESM y verifique el estado de las instancias de VDI en la página
Monitor (Supervisar) > Agent (Agente) > Health (Estado). Si su organización utiliza un entorno
mixto, puede filtrar la columna de tipo del equipo para mostrar solo las instancias de VDI. La
consola ESM debería mostrar el estado de las instancias de VDI como conectado.
81
82 GUÍA DEL ADMINISTRADOR DE TRAPS | Administrar el servidor ESM
© 2017 Palo Alto Networks, Inc.
Gestionar ajustes del servidor ESM
El servidor ESM facilita la comunicación entre los agentes de Traps y WildFire.
El servidor ESM se comunica periódicamente con WildFire para:
• Enviar archivos desconocidos para el análisis
• Solicite veredictos asociados a archivos ejecutables y archivos que contienen macros
• Enviar solicitudes para volver a analizar un archivo
El ESM se comunica con los agentes de Traps para llevar a cabo tres tareas principales:
• Obtener el estado operativo del agente
• Obtener informes sobre los procesos que se están ejecutando en el endpoint
• Enviar la política de seguridad más reciente
Puede cambiar la frecuencia con la que se comunican el servidor y el endpoint con la herramienta
de configuración de bases de datos (DB) (consulte Configurar los ajustes del servidor ESM usando la
herramienta de configuración de DB) o la consola ESM.
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).
Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio
completo (FQDN) y especifique el puerto 443 (por ejemplo, HTTPS://
ESMserver.Domain.local:443/BitsUploads). Si no desea utilizar SSL,
especifique el puerto 80 (por ejemplo, http://ESMSERVER:80/BitsUploads).
• Keep-alive Timeout (Tiempo de conexión persistente): intervalo de tiempo (en minutos) después
del cual el ESM envía un mensaje de persistencia a una plataforma de logging externa (el intervalo
es 0 o superior; el valor por defecto es 0). El mensaje de keep-alive alerta a la plataforma de logging
externa de que el componente del ESM está activo y recopilando logs. La consola ESM indica la hora
a la que el servidor ESM envió el último mensaje de persistencia en el campo Last Heartbeat (Último
heartbeat) en la vista de detalles adicionales del servidor ESM en la página Settings (Ajustes) > ESM >
Multi ESM (Varios ESM).
• Update From Server Package Address (Actualizar desde una dirección de paquete de servidor): URL
de la consola ESM a la que se puede acceder externamente y que se emplea para alojar los paquetes
de actualización de los agentes de Traps. Por defecto, al configurar una regla de acción para actualizar
el software de Traps, la regla se configura para utilizar el nombre de host de la consola ESM. Si solo
se puede acceder a la consola ESM mediante el registro DNS y no con el nombre de host por defecto
de la consola ESM, utilice este campo para indicar una URL que empiece por el prefijo HTTP o HTTPS
seguido del registro DNS.
STEP 3 | (Opcional) En las implementaciones con varios servidores ESM, también puede configurar cada
servidor ESM para que se comunique con WildFire mediante un servidor proxy.
1. Seleccione Settings (Ajustes) > ESM > Multi ESM (Varios ESM).
2. Seleccione la fila del servidor ESM cuya comunicación con el proxy desea configurar. La consola ESM
muestra los ajustes del servidor.
3. Seleccione Edit (Editar).
4. Habilite la comunicación con el Proxy.
5. Indique la dirección FQDN o IP del servidor proxy en el campo Proxy Host/IP (Host proxy/IP) y
un número de Proxy Port (Puerto proxy) (8080, por defecto). De manera opcional, habilite Proxy
Authentication (Autenticación proxy) e introduzca el Username (Nombre de usuario) y la Password
(Contraseña)— solo con caracteres ISO-8859-1— que el servidor ESM utilizará para autenticarse en el
servidor proxy.
6. Haga clic en Save (Guardar) para guardar los cambios que realice en el servidor ESM.
7. Si lo desea, repita este proceso para configurar los ajustes de proxy del resto de servidores ESM.
Puede utilizar la misma configuración de proxy para varios servidores ESM o una distinta para cada
uno.
Si desea más información, consulte Gestionar múltiples servidores ESM.
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).
A 2 3
B 1 4
C 2 5
D (instalación por 2 5
defecto)
Después de evaluar el valor TTL de cada servidor ESM, Traps crea una lista ordenada:
Priority=1, TTL=1, Latency=10.00ms, Address=https://
esmserverB.example.com:2125/
Priority=1, TTL=2, Latency=20.00ms, Address=https://
esmserverA.example.com:2125/
Priority=1, TTL=2, Latency=20.00ms, Address=https://
esmserverC.example.com:2125/
Priority=2, TTL=3, Latency=30.00ms, Address=https://10.31.32.1:2125/
Priority=2, TTL=4, Latency=40.00ms, Address=https://10.31.32.2:2125/
Priority=2, TTL=5, Latency=50.00ms, Address=https://10.31.32.3:2125/
Priority=3, TTL=2, Latency=20.00ms, Address=https://
esmserverD.example.com:2125/
En este ejemplo, el servidor ESM B presenta el valor TTL más bajo (menor número de saltos) y la mayor
prioridad. Si Traps no puede establecer conexión con el servidor ESM B —el servidor ESM preferido—, se
desplaza por la lista hasta poder establecer una conexión con un servidor ESM.
Si se da un empate en el que dos servidores de ESM tienen la misma prioridad y el mismo valor TTL, el
agente de Traps selecciona aleatoriamente cualquiera de los dos.
Si no se puede acceder a ningún servidor ESM (porque la lista de servidores de ESM está vacía, por
ejemplo), el estado del agente cambia a No Connection (Sin conexión). Tras un periodo de inactividad, el
agente intenta establecer conexión de nuevo (por defecto, cada minuto o como indique alguna regla de
comunicación de los ajustes del agente). El agente de Traps también verifica periódicamente la integridad
de la lista de servidores ESM (por defecto, cada hora o como indique alguna regla de comunicación de los
ajustes del agente). El agente de Traps también puede validar inmediatamente la lista de servidores ESM si
se da alguno de estos casos:
• La dirección de red del endpoint cambia.
• El endpoint reanuda su actividad o se reinicia.
• La dirección IP de un servidor ESM cambia.
• Se ejecuta la acción Check-In Now (Registrar ahora) en la consola de Traps.
• No se logra establecer comunicación o se agota el tiempo máximo de espera de la solicitud desde el
agente.
Puede modificar los ajustes de configuración para los servidores ESM en cualquier momento. También
puede deshabilitar temporalmente, activar o quitar un servidor ESM, según fuera necesario.
Acción Pasos
Eliminar un servidor ESM Para quitar de servicio un servidor ESM, seleccione Delete Selected
(Eliminar seleccionados) en el menú de acción en la parte superior
de la página. Esta acción elimina de forma permanente el servidor ESM
de la consola ESM y de la lista de servidores ESM disponibles a los que se
pueden conectar los agentes de Traps; sin embargo, si el servidor ESM se
indicó durante la instalación de Traps, el agente retiene al servidor ESM
en su lista de servidores disponibles. No es posible volver a activar un
servidor ESM eliminado a no ser que lo vuelva a instalar primero.
STEP 2 | Seleccione Settings (Ajustes) > Licensing (Licencias) y a continuación Add (Añadir) para añadir
una nueva licencia.
STEP 3 | Vaya a Browse (Examinar) y seleccione Upload (Cargar) para el archivo de licencia. La consola
ESM muestra información sobre la nueva licencia, incluidas las características de la licencia, el
tamaño del grupo de licencias, la cantidad de endpoints para los cuales se emitió la licencia, la
fecha en que añadió la licencia y la fecha de vencimiento de la licencia.
STEP 4 | (Opcional) Para verificar la utilización de la licencia de Traps, seleccione Dashboard (Panel) y
acceda a License Capacity (Capacidad de licencias).
STEP 5 | (Opcional) Para exportar la información de la licencia a un archivo CSV, seleccione Settings
(Ajustes) > Licensing (Licencias) y haga clic en el menú de acción , y seleccione Export Logs
(Exportar logs).
STEP 1 | Antes de comenzar: Obtenga una licencia a través de su administrador de cuentas de Palo Alto
Networks o su distribuidor.
STEP 2 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios), haga clic
con el botón secundario del ratón en Command prompt (Símbolo del sistema), y seleccione Run as
administrator (Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún
no pulse Enter (Intro). A continuación, para abrir el símbolo del sistema como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).
La herramienta de configuración DB carga el archivo de licencia. Para comprobar la licencia que usa la
consola ESM, consulte Añadir una licencia de Traps usando la consola ESM.
Funciones administrativas
El control de acceso basado en rol (role-based access control, RBAC) le permite utilizar funciones
previamente configuradas o personalizadas para asignar derechos de acceso a usuarios administrativos.
Cada función extiende privilegios específicos a los usuarios que usted asignó a la función y cada privilegio
define el acceso a ajustes de configuración y páginas específicos en la consola ESM. Al personalizar una
función y asignar privilegios específicos, puede aplicar la separación de la información entre las áreas
funcionales o regionales de su organización para proteger la privacidad de los datos en la consola ESM.
Función Privilegios
Si bien no puede modificar los privilegios asociados con las funciones integradas, puede crear funciones
personalizadas que brindan un control de acceso más pormenorizado sobre las áreas funcionales de la
interfaz web. Para estas funciones, puede asignar acceso de lectura-escritura, acceso de solo lectura o
ningún tipo de acceso a todas las páginas y funciones de configuración de la consola ESM.
Un ejemplo de uso de función personalizada es los administradores de seguridad que deben poder visualizar
logs sobre el estado de los endpoints, pero que no necesitan configurar reglas de seguridad.
Privilegios administrativos
Para cada función administrativa personalizada que usted crea, puede seleccionar los privilegios y niveles de
acceso para cada privilegio. Los niveles de acceso para cada privilegio son:
• Enable (Habilitar): permite el acceso completo de lectura-escritura a una página en la consola ESM.
• Disable (Deshabilitar): oculta el acceso a una página.
• Read Only (Solo lectura): permite que un usuario visualice pero no modifique una página.
La siguiente tabla describe los privilegios que se pueden personalizar para cada función.
Privilegio Descripción
Esta activa Los usuarios a los que se les asigna esta función pueden
acceder a la consola ESM.
Deshabilitar toda la protección Acceso para detener todas las reglas de protección de
Traps.
Usuarios administrativos
Un usuario administrativo es una cuenta de usuario local o de dominio que posee acceso a funciones
administrativas de presentación de informes específicos en la consola ESM. Usando el control de acceso
basado en rol (role-based access control, RBAC), usted puede asignar privilegios y responsabilidades
específicos a una función y luego asignar esa función a uno o más usuarios que necesiten los mismos
permisos de acceso.
Es recomendable que cree una cuenta administrativa separada para cada persona que
necesite acceder a la consola ESM. Esto mejora la protección frente a la configuración (o
modificación) no autorizada y permite el logging de todas las acciones de cada uno de los
administradores.
Use la consola ESM para asignar acceso administrativo a cualquiera de los siguientes tipos de cuentas:
La consola ESM no retiene las credenciales para ninguna cuenta administrativa. Para
cambiar las credenciales de una cuenta administrativa, debe modificarlas en el equipo
local si utiliza la autenticación de equipo o en Active Directory si utiliza la autenticación de
dominio.
Autenticación administrativa
Cuando instala la consola ESM, usted especifica el usuario administrativo y el tipo de autenticación que
la consola ESM utiliza para autenticar a los usuarios administrativos. Puede cambiar estas preferencias
usando la Herramienta de configuración de bases de datos (DB) on page 338 (consulte Configurar el
acceso administrativo a la consola ESM utilizando la herramienta de configuración de bases de datos (DB)
on page 339) o usando la consola ESM (consulte Configurar el modo de autenticación on page 99).
También puede especificar el uso de un grupo de autenticación preexistente para el acceso administrativo.
Por defecto, no se especifica ningún grupo.
Puede configurar los siguientes tipos de autenticación de administrador:
Equipo Utiliza cuentas que son locales del servidor de la consola ESM para el
acceso administrativo.
En la página Administration (Administración) > Roles (Funciones) puede ver todas las funciones integradas
y personalizadas para su organización. La creación de funciones personalizadas le permite adaptar los
permisos de acceso en torno a los requisitos de seguridad para su organización.
Cada función muestra el nombre y la descripción, la cantidad de usuarios asignados a la función y la fecha
en que se creó la función. La selección de la fila de una función expande esa fila para mostrar detalles y
acciones adicionales. Las acciones que puede realizar sobre la función varían para las funciones integradas y
personalizadas.
Si bien no puede modificar ni eliminar ninguna de las funciones integradas, puede visualizar los privilegios de
acceso que están asociados con la función. No obstante, sí puede añadir, modificar o eliminar una función
personalizada. También puede bloquear una función para evitar que los usuarios asignados a esa función
inicien sesión en la consola ESM. De manera similar, la eliminación de una función elimina de la consola ESM
los privilegios de acceso asociados con esa función y evita que los usuarios inicien sesión en la consola ESM
si están asignados a esa función. La consola ESM muestra funciones bloqueadas con un icono rojo en la
columna de estado.
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > Administration (Administración) > Roles
(Funciones). La consola ESM muestra todas las funciones integradas y personalizadas para su
organización.
STEP 2 | Seleccione y luego haga clic en Edit (Editar) para editar una función existente o en Add (Añadir)
para añadir una nueva.
STEP 3 | Defina el Role Name (Nombre de función) e introduzca una Description (Descripción).
STEP 4 | Seleccione la opción Is Active (Está activa) para habilitar la función o elimine la selección de la
opción para deshabilitarla.
STEP 5 | Seleccione un privilegio para alternar a través de los diferentes niveles de acceso para ese
privilegio. Por defecto, todos los privilegios están deshabilitados. Al seleccionar el privilegio una
vez, el ajuste cambia a acceso Read Only (Solo lectura); al seleccionar el privilegio nuevamente,
el nivel de acceso cambia a acceso de lectura-escritura (Enable (Habilitar)); y al seleccionar el
privilegio del estado habilitado, se deshabilita el privilegio.
En la página Settings (Ajustes) > Administration (Administración) > Users (Usuarios), puede visualizar
todas las cuentas que proporcionan acceso administrativo a la consola ESM. Una cuenta puede ser un
usuario, un grupo o una unidad de la organización. Para brindar acceso administrativo a un grupo o unidad
de la organización, la cuenta debe existir en el dominio. Para brindar acceso administrativo a un usuario,
puede añadir un usuario al equipo local o un usuario en el dominio. La consola ESM utiliza el dominio o las
credenciales definidas en el equipo local para autenticar al usuario.
Es recomendable que cree una cuenta separada para cada usuario que necesite acceder a
la consola ESM.
Para cada cuenta, la consola ESM muestra el estado de la cuenta (Blocked [Bloqueada] o Unblocked
[Desbloqueda]), el Name (Nombre) de la cuenta, la Role (Función) asignada y la fecha en que se creó la
cuenta. Al seleccionar la fila de una cuenta, la fila se expandirá para mostrar detalles y acciones adicionales,
como por ejemplo, quién creó la función (System (Sistema), DbConfig o la cuenta administrativa que inició
sesión en la consola ESM). Las acciones que puede realizar en una función varían según dónde se creó la
función. Si tiene permiso para hacerlo, puede editar, bloquear, desbloquear o eliminar cualquiera de las
cuentas creadas por otros usuarios administrativos, pero no puede bloquear ni eliminar las cuentas que se
crearon desde DBconfig.
El bloqueo de una cuenta impide que la cuenta inicie sesión en la consola ESM. De manera similar, la
eliminación de una cuenta quita la cuenta y los ajustes de la consola ESM, e impide que la cuenta inicie
sesión en la consola ESM. Cuando una función que está asociada con una cuenta se bloquea, la consola ESM
muestra Role (Función) como <role name> (inactive). Cuando una función que está asociada con
una cuenta se elimina, la consola ESM muestra Role (Función) como N/A (inactive). La consola ESM
también muestra cuentas bloqueadas con un icono rojo en la columna de estado e indica una función
eliminada o bloqueada con un icono rojo junto al nombre de la Role (Función).
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > Administration (Administración) > Users
(Usuarios). La consola ESM muestra las cuentas de su organización, incluidos los usuarios,
grupos y unidades de la organización.
STEP 2 | Haga clic en Add User (Añadir usuario), Add Group (Añadir grupo) o Add Organizational Unit
(Añadir unidad de la organización) para crear una cuenta nueva. O bien, puede seleccionar la
fila de una cuenta existente y hacer clic en Edit (Editar) para modificar los ajustes de la cuenta.
Desde esta vista, también puede Block (Bloquear)Unblock (Desbloquear) o Delete (Eliminar)
una cuenta.
STEP 3 | Introduzca el Name (Nombre) de una cuenta existente. Si está usando autenticación de equipo,
solo puede añadir usuarios existentes en el equipo local. Si está usando la autenticación de
dominio, puede añadir un usuario de dominio, grupo o unidad organizativa existente.
STEP 4 | Seleccione la opción Is Active (Está activa) para habilitar la cuenta o elimine la selección de la
opción Is Active (Está activa) para deshabilitar la cuenta.
STEP 5 | Seleccione la función de la lista para asignar los privilegios de acceso a la cuenta. Para crear una
nueva función, consulte Configurar funciones administrativas.
STEP 6 | Save (Guardar) sus cambios. La consola ESM muestra la cuenta nueva o modificada en la tabla.
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > Settings (Ajustes).
Actualizaciones de contenido
Las actualizaciones de contenido le permiten actualizar fácilmente su política de seguridad por defecto y
ajustes. Las actualizaciones de contenido equipan a la consola ESM con las prácticas recomendadas más
actuales y la información sobre amenazas para una protección eficaz contra malware y exploits y pueden
incluir cambios y adiciones a:
• Reglas de compatibilidad para productos y plataformas de terceros
• Objetos de condiciones
• Procesos protegidos
• Ajustes de restricciones
• Firmante de confianza
• Lógica de análisis estático local
Estos archivos son empaquetados en un archivo ZIP y son alojados en el Portal de asistencia técnica
Para administrar las actualizaciones de contenido, use los siguientes flujos de trabajo:
• Instalación de actualizaciones de contenido on page 101
• Revertir a la actualización de contenido anterior on page 102
STEP 1 | Inicie sesión en la consola ESM y seleccione Settings (Ajustes) > ESMContent Updates
(Actualizaciones de contenido).
STEP 2 | Para abrir el Portal de asistencia técnica, siga uno de estos pasos:
• En la consola ESM, seleccione Support Site (Sitio web de asistencia).
• Abra una ventana nueva del navegador y vaya a la página DYNAMIC UPDATES (Actualizaciones
dinámicas) de Portal de asistencia técnica.
STEP 3 | Busque la actualización de contenido de su versión del ESM (por lo general, será la versión de
la actualización de contenido más reciente) y consulte las notas de la versión que se adjuntan.
STEP 4 | Descargue el paquete de actualización de contenido en una ubicación a la que la consola ESM
pueda acceder.
STEP 5 | En la consola ESM, seleccione Update Content (Actualización de contenido), pulse Browse
(Examinar) para ir al paquete y Apply (Aplicar) para aplicarlo.
Cuando la consola ESM instale la actualización de contenido, mostrará una serie de datos, como el
número de la versión, la fecha de publicación y la fecha en la que instaló el paquete. En la parte inferior
de todas las páginas de la consola ESM, también puede consultar la versión de la actualización de
contenido que hay instalada. Por ejemplo, si la consola ESM indica la versión v3.4.0.15481, 5-353,
la versión de la actualización de contenido será la 5-353.
STEP 1 | Inicie sesión en la consola ESM y seleccione Settings (Ajustes) > ESM > > Content Updates
(Actualizaciones de contenido).
103
104 GUÍA DEL ADMINISTRADOR DE TRAPS | Supervisión
© 2017 Palo Alto Networks, Inc.
Mantenimiento de los endpoints y Traps
De forma diaria o semanal, realice las siguientes acciones:
Examine el panel para verificar que el agente de Traps esté activo en todos los endpoints. Consulte Uso
del panel de Endpoint Security Manager.
Revise los Eventos de seguridad informados por Traps. Tras analizar un evento de seguridad, quizás
desee realizar cualquiera de las tareas siguientes:
• Investigue si los indicadores están relacionados con archivos ejecutables maliciosos y a continuación
use Consulta a agente para buscar artefactos en los endpoints.
• Deshabilite temporalmente reglas que interfieren en el trabajo diario. En casos en que un evento de
seguridad no indique un ataque y esté interfiriendo con el trabajo diario, puede deshabilitar una regla
de protección o restricción de exploits en un endpoint específico. Consulte Excluir un endpoint de
una regla de protección contra exploits.
• Aplicar un parche, actualizar o corregir un error del software que indique una conducta errónea o una
vulnerabilidad de seguridad. La aplicación de parches o la actualización de aplicaciones de terceros o
la corrección de errores en las aplicaciones que se desarrollan internamente puede reducir el número
de eventos de seguridad de los que se informa a la consola ESM.
• Activar la protección para una aplicación desprotegida. Consulte Ver, modificar o borrar un proceso.
• Revise los eventos posteriores a la detección y tome acciones adicionales para solucionar el endpoint.
Examine las páginas de Supervisión e investigue informes de bloqueos y eventos de seguridad.
Si configuró la consola ESM para Recopilar información de nuevos procesos, revise los procesos no
protegidos y decida si debe habilitar la protección en cada uno de ellos. Consulte Ver, modificar o borrar
un proceso.
Tras un cambio en la organización o en las versiones disponibles del software Traps, puede:
Añadir una aplicación de reciente instalación en la lista de procesos protegidos. Consulte Añadir un
nuevo proceso protegido.
Instalar Traps en un nuevo endpoint. Consulte Instalar Traps en endpoints de Windows e Instalar Traps
en endpoints de Mac.
Actualizar la versión del agente de Traps en los endpoints. Consulte Desinstalar o actualizar Traps en el
endpoint.
Adjudique licencias adicionales para agentes de Traps. Consulte Inclusión de una licencia de Traps
usando la consola ESM.
ESTADO DE SERVICIO Muestra el estado de las instancias de agentes de Traps instalados en los
endpoints por número y porcentaje. Los posibles estados son:
• Running (En ejecución): el agente se está ejecutando.
• Stopped (Detenido): se ha detenido el servicio del agente.
• Disconnected (Desconectado): el servidor no ha recibido un mensaje
heartbeat del agente durante un tiempo preconfigurado.
• Shutdown (Cierre): se ha cerrado el endpoint.
APLICACIONES MÁS Muestra las aplicaciones que tienen la cantidad más alta de prevenciones.
ATACADAS
ORDENADORES MÁS Muestra los endpoints que tienen la distribución más alta de
ATACADOS prevenciones.
USUARIOS MÁS Muestra las prevenciones que tienen la distribución más alta por usuario
ATACADOS final.
Utilice el panel Security Events [Eventos de seguridad] (Security Events [Eventos de seguridad] > Summary
[Resumen]) para monitorizar la información de alto nivel acerca de eventos de seguridad que ocurren en los
endpoints de su organización. Desde aquí puede ver el número de eventos que han ocurrido en el último
día, semana o mes. El panel de eventos de seguridad muestra los eventos en los que se han bloqueados
intentos de exploits y eventos que han activado solo notificaciones.
La siguiente tabla describe en detalle las diferentes áreas del panel.
AMENAZAS Muestra todas las amenazas en relación con procesos protegidos y archivos
ejecutables que se han producido en su red. Para mayor comodidad, puede
hacer clic en cualquier tipo de regla a fin de visualizar datos adicionales
sobre los eventos de ese tipo. También puede hacer clic en la cantidad de
eventos que se produjeron para visualizar solo esos eventos. Para obtener
más información, consulte Administración de eventos de seguridad.
LOG DE ERRORES DE Muestra todos los errores y problemas recientes que notifica Traps sobre
SEGURIDAD los endpoints de su organización. Haga clic en cualquier tipo de error o en la
cantidad de errores de seguridad para visualizar una lista filtrada de errores
en la página Monitor (Supervisar) > Security Errors Log (Log de errores de
seguridad). Para obtener más información, consulte Ver detalles de log de
errores de seguridad.
La vista de detalles estándar de la página Threats (Amenazas) presenta una tabla de eventos de seguridad
con campos que se muestran a lo largo de la parte superior. Al seleccionar un evento en la tabla Amenazas
se expande la hilera para mostrar detalles adicionales en relación con el evento de seguridad. Además de ver
detalles relacionados con eventos de amenazas, puede crear y ver notas acerca del evento, recuperar datos
de logs acerca del evento del endpoint o crear una regla de exclusión para permitir la ejecución del proceso
en un endpoint particular.
Para ampliar la información sobre los campos de la tabla de los eventos de seguridad,
consulte la ayuda en línea.
• Eliminar eventos
1. Seleccione las casillas de los eventos que desee exportar.
2. Haga clic en el menú de acción y seleccione Delete Selected (Eliminar seleccionados). La consola
ESM elimina los registros de todas las páginas de eventos de seguridad.
• (Eventos de exploit únicamente) Crear una regla para excluir un endpoint de la protección frente
a exploits
En la vista ampliada de un evento de seguridad, haga clic en Create Rule (Crear regla) para crear una
regla de protección frente a exploits que excluya el endpoint de la regla que evita que el proceso se
ejecute. La regla emplea los datos de un evento de seguridad para propagar una regla con ajustes que
permiten que un proceso se ejecute en un endpoint concreto.
Para obtener detalles sobre los campos en la tabla de log de errores de seguridad, consulte la ayuda en línea.
La vista de detalles estándar de la página de estado ofrece una tabla de endpoints con campos que se
muestran a lo largo de la parte superior. Al seleccionar un endpoint en la tabla Estado se expande la fila
para mostrar detalles adicionales acerca del endpoint y las acciones que se pueden realizar. También puede
exportar los logs a un archivo CSV haciendo clic en el icono del menú , y seleccionando Export Logs
(Exportar logs).
Para obtener detalles sobre los campos en la tabla Agent (Agente) > Health (Estado), consulte la ayuda en
línea.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Logs.
STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.
STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.
STEP 4 | (Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro
a la derecha de la
columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.
Protección contra el Indica si se activan o no los módulos de restricción y/o protección contra
malware malware en la política de seguridad de endpoints.
Pestaña Status (Estado) Muestra el estado de Conexión y el nivel de protección del endpoint. La
consola Traps abre la pestaña Status (Estado) por defecto.
Pestaña Protection Muestra los procesos que protege el agente de Traps que están en ejecución
(Protección) en el endpoint.
Pestaña Policy (Política) Muestra cambios en la política de seguridad de endpoints incluidas la fecha y
hora de la actualización.
Pestaña Verdict Updates Muestra los cambios en el veredicto para ejecutables que se han abierto en
(Actualizaciones de el endpoint.
veredictos)
Configuración Muestra las opciones de idioma que se pueden usar para cambiar el idioma
de la consola de Traps.
Último registro Muestra la fecha y la hora a las que Traps ha recibido por última vez un
mensaje heartbeat.
STEP 1 | Abra el Endpoint Security Manager y seleccione Monitor (Supervisar) > Agent (Agente) >
Health (Estado).
STEP 2 | Seleccione la fila del endpoint para el que desea visualizar el historial de reglas. La fila se
expande para mostrar detalles y acciones adicionales que se pueden realizar.
STEP 3 | Seleccione Agent Policy (Política de agentes) en la lista desplegable de la derecha. Aparece la
información de estado actual en el sección Política de agentes y logs de la página.
STEP 4 | Haga clic en Details (Detalles) para ver el registro del historial de reglas. El estado indica uno de
los siguientes:
• Active (Activa): la regla está activa en la política de seguridad del endpoint.
• Historic (Histórica): la regla es un versión anterior de una regla que está activa en la política de
seguridad del endpoint.
• Disabled (Deshabilitada): la regla estaba desactivada en la política de seguridad.
STEP 1 | Haga uno de los siguientes para activar la consola de Traps en el endpoint:
• En la bandeja de Windows, haga clic con el botón derecho en el icono de Traps y seleccione
Console (Consola), o haga doble clic en el icono.
• Ejecute CyveraConsole.exe desde la carpeta de instalación de la consola de Traps.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).
STEP 2 | Seleccione la fila del endpoint para el que desea visualizar el historial de reglas. La fila se
expande para mostrar detalles y acciones adicionales que se pueden realizar.
STEP 4 | Haga clic en Details (Detalles) para ver el log del historial completo del estado de servicio.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).
STEP 2 | En la tabla de estado del agente, seleccione la casilla de verificación de uno o varios endpoints
que desee eliminar.
Para encontrar rápidamente un endpoint, utilice los controles de filtro de la parte superior
de las columnas.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > ESM > Health (Estado)
STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.
STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.
STEP 4 |
(Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de
la columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.
STEP 5 | (Opcional) Para exportar los logs a un archivo CSV, haga clic en el icono de menú y, a
continuación, seleccione Export Logs (Exportar logs).
STEP 6 | (Opcional) Para visualizar una lista de agentes que están conectados al servidor ESM, expanda
la fila del servidor y luego haga clic en Agent List (Lista de agentes) junto al campo conectado o
desconectado. Si no hay agentes, esta opción aparece atenuada.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > ESM > Logs.
STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.
STEP 4 |
(Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de
la columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.
STEP 5 | (Opcional) Para exportar los logs a un archivo CSV, haga clic en el icono de menú y, a
continuación, seleccione Export Logs (Exportar logs).
STEP 1 | En la consola ESM, seleccione la página de administración de reglas para ese tipo de regla, por
ejemplo, Policies (Políticas) > Exploit > Protection Modules (Módulos de protección).
STEP 2 | Para visualizar las entrada de la tabla, utilice los controles de paginado de la parte superior
derecha de cada página para ver diferentes partes de la tabla.
STEP 3 | (Opcional) Para ordenar las entradas de las tablas, seleccione el encabezado de la columna para
ordenar de forma ascendente. Seleccione el encabezado de la columna de nuevo para aplicar
un orden descendente.
STEP 4 | (Opcional) Para filtrar las entradas de la tabla, haga clic en el icono del filtro a la derecha de la
columna para especificar hasta dos conjuntos de criterios para la filtración de los resultados.
STEP 5 | (Opcional) Para expandir una entrada de regla, haga clic en la flecha de expansión del lado
derecho de la regla. En la vista expandida puede ver los detalles de las reglas adicionales o
realizar cualquier acción para administrar una regla. Consulte Guardar reglas on page 132.
limitar los resultados, haga clic en el icono de filtro a la derecha de la columna y especifique hasta dos
conjuntos de criterios. También puede exportar los logs a un archivo CSV haciendo clic en el icono del menú
, y seleccionando Export Logs (Exportar logs). Para ampliar la información sobre los campos de la página
Forensics Retrieval (Recuperación de informes forenses), consulte la ayuda en línea.
121
122 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Conceptos de las reglas de políticas de
endpoints
• Tipos de reglas de políticas
• Aplicación de las políticas
• Política de protección predeterminada
Política DESCRIPTION
Protección contra Las reglas de prevención de exploits determinan el método de protección para
exploits los procesos que se ejecutan en los endpoints. Cada regla de la política de
prevención de exploits especifica el tipo de módulos de protección utilizados
para proteger los procesos. Para obtener más información, consulte Reglas de
protección contra exploits.
Datos forenses Las reglas forenses permiten definir preferencias acerca del volcado de
memoria y la recopilación de archivos forenses. Para obtener más información,
consulte Reglas forenses.
Ajustes de agentes Las reglas de ajustes de agentes le permiten cambiar los valores de los ajustes
de agentes de Traps relacionados con el logging, frecuencia de heartbeat y
accesibilidad a la consola. Para obtener más información, consulte Reglas de
ajustes de agentes de Traps.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 123
© 2017 Palo Alto Networks, Inc.
Política DESCRIPTION
• Fecha de modificación: cuando las reglas presentan el mismo nivel de especificidad, en el que la
configuración principal es la misma en dos o varias reglas, Traps determina qué regla ha de tener
prioridad para evitar conflictos entre las reglas. Por ejemplo, piense en dos reglas de protección
contra exploits que emplean el mismo módulo para proteger el mismo proceso, pero presentan
configuraciones conflictivas: una regla habilita el módulo y la otra lo deshabilita. En ese caso, la regla
creada o editada más recientemente tiene prioridad sobre una regla más antigua. Una manera sencilla
de identificar cuál es la regla más reciente es fijarse en el número de ID que se asigna a cada regla. La
consola ESM asigna un ID a cada regla de forma secuencial cada vez que añade reglas a una política
de seguridad o las modifica, por lo que a mayor ID, más reciente será la creación de la regla.
• Objetos de destino: un objeto de destino puede ser cualquier usuario, grupo, unidad de una organización
y equipo que aparezca en Active Directory o cualquier endpoint en el que se haya instalado Traps. Para
que una regla se aplique, debe especificar el endpoint como objeto de destino o no especificar ningún
objeto de destino, lo que significa que la regla se aplica a todos los objetos. Además, la regla no debe
especificar el endpoint como objetivo de destino del que excluir la regla.
• Condiciones: una condición es una característica de identificación en el endpoint que puede usar para
aplicar o excluir una regla de un endpoint. Para que una regla se aplique, el endpoint debe cumplir todas
las condiciones especificadas en ella. Por ejemplo, las reglas con condiciones para endpoints de Windows
7 se aplicarán solo a dichos endpoints. De igual modo, la regla no debe especificar una condición que
coincida con el endpoint en una condición de exclusión.
124 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Política de protección predeterminada
El Endpoint Security Manager está preconfigurado con una política de seguridad que contiene un conjunto
organizado de Reglas de protección contra malware y Reglas de protección contra exploits. Esta política de
seguridad predeterminada automáticamente protege los endpoints contra las vulnerabilidades de software,
exploits y técnicas de malware más comunes sin necesidad de una configuración adicional.
La tabla siguiente describe los módulos de protección y la configuración predeterminada proporcionada
en la versión 13 de la actualización de contenido. Al configurar nuevas reglas, puede heredar el
comportamiento por defecto o puede anular los ajustes para satisfacer los requisitos de la política de
seguridad de su organización.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 125
© 2017 Palo Alto Networks, Inc.
Módulo OS ¿Habilitado por Modo Alerta de
defecto? usuario
126 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Componentes y acciones comunes de las reglas
Cada tipo de regla tiene un conjunto específico de campos obligatorios y opcionales que se pueden
personalizar para cumplir con las necesidades de la política de seguridad de la organización.
La tabla siguiente describe los pasos comunes para la creación de una regla de política de seguridad.
Definir los ajustes o acciones específicos para el tipo de Para más detalles sobre los ajustes
regla. específicos necesarios para cada regla,
consulte:
• Gestionar reglas de protección contra
malware
• Creación de una regla de protección
contra exploits
• Integración WildFire
• Administrar restricciones en archivos
ejecutables
• Administrar reglas de acción de Traps
• Administrar las reglas de ajustes de
agentes
• Administrar reglas y ajustes forenses
Hacer copia de seguridad o restaurar las reglas. Exportar e importar archivos de políticas
Ver las reglas de políticas por defecto. Mostrar u ocultar las reglas de políticas por
defecto
Deshabilitar o habilitar todas las reglas de protección. Deshabilitar o habilitar todas las reglas de
protección
Condiciones
Una condición es una característica de identificación en el endpoint que puede definir para aplicar o excluir
una regla de un endpoint.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 127
© 2017 Palo Alto Networks, Inc.
Para los endpoints de Windows, puede definir una condición para que coincida con un nombre y versión
de archivo o una ruta de registro. También se puede definir una condición para una versión específica de
un archivo ejecutable definido en la ruta del archivo. A continuación puede usar la condición para aplicar o
excluir una regla en un endpoint de Windows.
Para los endpoints de Mac, puede configurar una condición para que coincida con la ruta o ID del lote y, a
continuación, usar la condición para aplicar o excluir una regla en un endpoint de Mac.
• Definir condiciones de activación para una regla en endpoints de Windows
• Definir condiciones de activación para una regla en endpoints de Mac
• Incluir o excluir endpoints usando condiciones
• Borrar o modificar una condición de regla
STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones) > Windows. La página Conditions
muestra el número de ID único, el Name (Nombre), la Description (Descripción) y la Path
(Ruta) (si corresponde) para cada condición.
STEP 2 | Click the action menu and then Add (Haga clic en el menú de acción y en Añadir) una
nueva condición.
STEP 3 | Introduzca un Name (Nombre) y una Description (Descripción) para identificar la condición.
STEP 4 | Seleccione el tipo de condición, Path (Ruta) para que coincida con la ruta de un archivo
ejecutable específico, y, de manera opcional, para que coincida con una versión específica o
con una variedad de versiones para un archivo ejecutable específico, o Registry (Registro) para
que coincida con una clave de registro específica:
• Para encontrar un archivo ejecutable específico (o encontrar la versión específica de un archivo
ejecutable), especifique la Path (Ruta) completa de un archivo ejecutable que exista en el endpoint.
Opcionalmente, puede usar variables del sistema en la ruta. Por ejemplo, especifique %windir%
\system32\calc.exe para aplicar la regla si el archivo ejecutable de la calculadora se ejecuta
desde esta ubicación.
• Si usted especificó un archivo ejecutable en el campo Path (Ruta), también puede establecer
una condición de coincidencia para una Version (Versión) de archivo (como se muestra en las
propiedades del archivo) o rango de versiones de ese archivo ejecutable. Si usted especifica un valor
de Version (Versión), Traps solo aplicará la regla si el archivo ejecutable se ejecuta desde la ubicación
especificada en el campo Path (Ruta) y si también coincide con el valor Version (Versión). Por
defecto, la condición coincide con cualquier versión del archivo. Para reducir la cantidad de versiones,
seleccione una de las siguientes opciones de Version Comparison (Comparación de versiones) y
luego introduzca el número de Versión (Versión).
Cuando configura una condición para que coincida con una Version (Versión), Traps
evalúa el valor de la versión almacenado en las propiedades del archivo. Dado que
este número puede ser diferente al número de versión publicado, recomendamos que
compruebe el número de versión en las propiedades del archivo antes de crear su
condición.
128 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
La Version (Versión) debe seguir la convención de nomenclatura de versión
de Windows estándar y no debe tener más de cuatro segmentos (por ejemplo,
4.30.200.100). Para que las versiones de más de cuatro segmentos coincidan, use
Regex.
Traps solo aplicará la regla si el endpoint contiene la ruta especificada en su registro. También puede
configurar un valor de registro específico Key (Clave) o Data (Datos) (String y DWord únicamente)
como condición de coincidencia.
Por ejemplo, para aplicar una regla en endpoints que tienen IPv6 habilitado, configure una condición
que coincida con los siguientes ajustes de registro.
• Registry Path (Ruta de registro): LocalMachine\SYSTEM\CurrentControlSet\services
\TCPIP6\Parameters\EnableICSIPv6
• Key (Clave): DisabledComponents
• Data (Datos): 0
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 129
© 2017 Palo Alto Networks, Inc.
Use el siguiente flujo de trabajo para crear una nueva condición de activación para una regla en los
endpoints de Mac.
STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones) > macOS. La página Conditions
muestra el número de ID único, el Name (Nombre), la Description (Descripción) y la Path
(Ruta) o Bundle ID (ID de lote), (si corresponde), para cada condición.
STEP 2 | Click the action menu and then Add (Haga clic en el menú de acción y en Añadir) una
nueva condición.
STEP 3 | Seleccione el tipo de condición de la lista desplegable, bien Path (Ruta) o Bundle ID (ID de
lote).
STEP 4 | Introduzca un Name (Nombre) y una Description (Descripción) para identificar la condición.
• Bundle ID (ID de lote): especifica el ID numérico de lote. Para especificar el ID de lote como una
condición de inclusión o exclusión, introduzca el número de ID único. Opcionalmente puede
especificar las condiciones de coincidencia para la versión del lote.
STEP 2 | Seleccione una condición y seleccione Add (Añadir) para añadirla a la lista de inclusión o
exclusión. Para seleccionar varias condiciones, pulse y sostenga la tecla Ctrl mientras está
seleccionando.
STEP 3 | Configure los ajustes de regla y luego seleccione Save (Guardar) para guardar o Apply (Aplicar)
para aplicar la regla (consulte Guardar reglas on page 132).
130 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Borrar o modificar una condición de regla
Las condiciones de activación de reglas son condiciones que el endpoint debe cumplir para la aplicación de
una regla en ese endpoint. Tras crear una condición, puede borrarla o modificarla en la página Conditions
(Condiciones).
STEP 1 | Seleccione Settings (Ajustes) > Conditions (Condiciones). La página Condiciones muestra el
número de ID único, Name (Nombre), y Description (Descripción) para cada condición.
Objetos de destino
Los objetos de destino definen el alcance de una regla y los endpoints a los cuales se aplican una regla. Un
objeto puede ser una de las siguientes opciones:
Unidad organizativa Una subdivisión en Active Directory en la que se pueden colocar usuarios,
grupos, equipos y otras unidades de la organización.
Para los objetos definidos en Active Directory, la consola ESM proporciona la función autocompletar a
medida que introduce la información.
Puede aplicar reglas a todos los objetos, a objetos seleccionados o a todos los objetos excepto aquellos de
la lista de excluidos.
Las reglas que usted define para usuarios y grupos se aplicarán a aquellos usuarios y grupos,
independientemente del endpoint en el que inicien sesión.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 131
© 2017 Palo Alto Networks, Inc.
Nombrar o renombrar una regla
La consola ESM genera automáticamente el nombre de la regla y la descripción de acuerdo con los detalles
de la regla y la hora de creación. Para cancelar el nombre generado automáticamente, seleccione la pestaña
Name (Nombre), borre la opción Activate automatic description (Activar descripción automática) y, a
continuación, introduzca su propio nombre de regla y descripción.
La regla que se modificó o editó más recientemente tiene prioridad sobre las reglas más
antiguas del mismo tipo. Como resultado, el cambio de nombre de una regla cambia la fecha
de modificación de la regla y puede hacer que la regla editada cancele las reglas anteriores.
La descripción de regla es un buen lugar para registrar los motivos comerciales para la
creación de una regla. Por ejemplo, puede incluir un número de identificación de incidente o
un enlace a un ticket del servicio de asistencia.
Guardar reglas
Para guardar una regla, debe rellenar todos los campos necesarios para ese tipo de regla. Las pestañas con
campos obligatorios se indican con un fondo de pestaña rojo.
Rellene los campos obligatorios antes de intentar guardar o modificar una regla.
Tras especificar los campos necesarios para una regla, puede seleccionar una de las acciones siguientes:
Acción DESCRIPTION
Guardar Seleccione Save (Guardar) para guardar la regla sin activarla. El estado de la
regla se muestra como Inactiva y puede activarse más adelante. Esta opción
está disponible únicamente para reglas por defecto inactivas, clonadas o
nuevas.
Acción DESCRIPTION
Duplicar (Solo reglas de acción) Crea una nueva regla a partir de una regla existente.
132 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Acción DESCRIPTION
Para borrar varias reglas al mismo tiempo, seleccione las reglas y luego
seleccione Delete Selected (non-Default) [Eliminar seleccionadas (no
predeterminadas)] en el menú de acción en la parte superior de la tabla.
Import Rules (Importar En el menú de acción de la parte superior de la tabla, puede importar
reglas)/Export reglas o exportar reglas seleccionadas. La exportación de reglas guarda las
Selected (Exportar reglas seleccionadas en un archivo XML. Para obtener más información,
seleccionadas) consulte Exportar e importar archivos de políticas.
Show Default Rules En el menú de acción de la parte superior de la tabla, puede expandir las
(Mostrar reglas por reglas por defecto u ocultar las reglas por defecto. Seleccione la regla para
defecto)/Hide Default ver la información adicional acerca de la regla. Para más información, consulte
Rules (Ocultar reglas Mostrar u ocultar las reglas de políticas por defecto.
por defecto)
Duplicar Cuando muestra reglas por defecto y a continuación selecciona una regla, la
consola ESM muestra detalles adicionales acerca de los ajustes de la regla y
una opción para Clone (Duplicar) la regla. La clonación le permite crear una
nueva regla que sobrescribe los ajustes de política por defecto. Para más
información, consulte Mostrar u ocultar las reglas de políticas por defecto.
Filtrar reglas
Cada resumen de regla y página de administración de la consola ESM muestra detalles acerca de las reglas
que definen la política de seguridad de su organización. Para reducir la cantidad de reglas que muestra la
consola ESM, puede filtrar las reglas usando el control de filtro en la parte superior de cada columna. Use
el control de filtro para definir uno o ambos valores para filtrar en el estado de la regla, nombre de la regla,
descripción de la regla o fecha de modificación.
Los operadores que están disponibles para cada columna dependen del tipo de columna. Por ejemplo, puede
filtrar las columnas que muestran texto usando cualquiera de los siguientes operadores para buscar un valor
de cadena: Is equal to (Es igual que), Is not equal to (No es igual que), Starts with (Empieza con), Contains
(Contiene), Does not contain (No contiene) o Ends with (Termina con). Para las columnas que muestran
una fecha, puede filtrar una fecha específica o un intervalo de fechas usando cualquiera de los siguientes
operadores: Is equal to (Es igual que), Is not equal to (No es igual que), Is after or equal to (Es posterior o
igual que), Is after (Es posterior a), Is before or equal to (Es anterior o igual que) o Is (Es)Before (Anterior a).
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 133
© 2017 Palo Alto Networks, Inc.
La consola ESM identifica las columnas que contienen filtros activos con un icono de filtro aplicado y un
fondo azul. Para quitar el filtro, haga clic en el icono y luego seleccione Clear (Borrar).
La siguiente tabla muestra las columnas, los operadores y los valores que puede usar para filtrar las reglas.
134 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Tras deshabilitar la protección y resolver los problemas, puede volver a activar todas las reglas de políticas al
mismo tiempo habilitando toda la protección. (La habilitación de la protección no activa las reglas que se han
desactivado anteriormente).
En situaciones en las que se necesita deshabilitar solo una regla o un pequeño grupo de reglas, las puede
seleccionar individualmente y desactivarlas desde la página de administración de reglas específica para ese
tipo de regla.
STEP 1 | En la consola ESM, seleccione cualquier página de administración de reglas, por ejemplo
Policies (Políticas) > Malware > Restrictions (Restricciones).
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 135
© 2017 Palo Alto Networks, Inc.
Comodines y variables en reglas de políticas
Para facilitar la configuración, puede utilizar comodines o variables para representar el nombre completo o
parcial, ruta de la carpeta o nombre del proceso en las reglas de políticas.
Las reglas de políticas compatibles con comodines y variables son:
• Reglas de restricción de la ejecución
• Configuraciones de restricciones globales
• Reglas de procesos hijo
La consola ESM admite muchas reglas de políticas donde podría especificar el nombre de una ruta o proceso
de archivo o carpeta. Por ejemplo, cuando configura restricciones de carpetas locales o de red, puede añadir
uno o más archivos y carpetas usando comodines o variables de entorno a una lista blanca o lista negra.
• Comodines en reglas de políticas
• Variables de entorno en reglas de políticas
• Ejemplo: Uso de comodines y variables en reglas de políticas
Valor Propósito
136 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Compatibilidad de variable de entorno para Windows Vista y
ediciones posteriores
La siguiente tabla muestra variables de entorno y valores de destino admitidos en los endpoints que
ejecutan Windows Vista y ediciones posteriores.
%ALLUSERSPROFILE% C:\ProgramData
%ProgramData% C:\ProgramData
%SystemDrive% C:
%SystemRoot% C:\Windows
%USERPROFILE% C:\Users\<username>
%windir% C:\Windows
%COMPUTERNAME% <computername>
%ComSpec% %SystemRoot%\system32\cmd.exe
%FP_NO_HOST_NAME% NO
%NUMBER_OF_PROCESSORS% 1
%OS% Windows_NT
%PATH% %SystemRoot%\system32;%SystemRoot%...
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 137
© 2017 Palo Alto Networks, Inc.
Variable de entorno Ejemplo de valor
%PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
%PROCESSSOR_ARCHITECTURE AMD64
%
%PROCESSOR_LEVEL% 6
%PROCESSOR_REVISION% 4501
%SystemDrive% C:
%SystemRoot% C:\Windows
%windir% C:\Windows
%COMPUTERNAME% <computername>
%ComSpec% %SystemRoot%\system32\cmd.exe
%FP_NO_HOST_NAME% NO
%NUMBER_OF_PROCESSORS% 1
%OS% Windows_NT
%PATH% %SystemRoot%\system32;%SystemRoot%
%PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
138 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Variable de entorno Ejemplo de valor
%PROCESSSOR_ARCHITECTURE x86
%
%PROCESSOR_LEVEL% 6
%PROCESSOR_REVISION% 3a09
Ejemplo Resultado
C:\temp* Encuentra todos los archivos que se han abierto en la carpeta C:\temp, o
en cualquier carpeta o subcarpeta de rutas de archivos que empiecen por
C:\temp (por ejemplo, C:\temp\folder\a.exe, C:\temp1\a.scr y
C:\temporary\folder\b.exe).
C:\temp\* Encuentra todos los archivos que se han abierto en la carpeta o subcarpeta
C:\temp\ (por ejemplo: C:\temp\a.scr and C:\temp\temp2\b.exe)
C:\temp\a?.exe Encuentra todos los archivos que empiecen por "a" y un segundo carácter
que se han abierto en la carpeta C:\temp\ (por ejemplo: C:\temp
\a1.exe and C:\temp\az.exe)
C:\temp*.exe Encuentra todos los archivos ejecutables con una extensión de archivo .exe,
un nombre de archivo que comience por temp y que se abren en la unidad
C:\ (por ejemplo, C:\temp1.exe y C:\temporary.exe); y los archivos
ejecutables con una extensión de archivo .exe que se abren en cualquier
carpeta o subcarpeta de rutas de archivo que comiencen por C:\temp (por
ejemplo, C:\temp\folder\a.exe, C:\temp1\b.exe y C:\temporary
\folder\c.exe)
C:\temp\*.exe Encuentra todos los archivos ejecutables con una extensión de archivo .exe
que se abren en C:\temp\ (o una carpeta equivalente a %SystemDrive
%SystemDrive%\temp
%\temp\), o en cualquier carpeta o subcarpeta de rutas de archivo que
\*.exe
comiencen por C:\temp\
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 139
© 2017 Palo Alto Networks, Inc.
Ejemplo Resultado
C:\temp No encuentra ningún archivo ejecutable ya que la ruta no está completa (las
rutas parciales deben contener al menos un comodín para que sean útiles).
C:\temp\
140 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Administración de procesos
• Tipos de protección de procesos
• Procesos protegidos por la política por defecto
• Añadir un nuevo proceso protegido
• Importación o exportación de un proceso
• Ver, modificar o borrar un proceso
• Ver procesos actualmente protegidos por Traps
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 141
© 2017 Palo Alto Networks, Inc.
La consola ESM está preconfigurada con una Política de protección predeterminada que protege los
procesos más vulnerables y los más utilizados en los endpoints de Windows y Mac. Puede proteger otros
procesos de propiedad exclusiva y de terceros poco frecuentes al añadir sus nombres a la lista de procesos
protegidos. Cada regla de la política de protección contra exploits protege uno o más procesos de un tipo
específico de exploit o vulnerabilidad usando módulos de protección contra exploits (exploit protection
modules, EPM). Según la configuración, Traps puede activar los EPM en todos los procesos o en nombres
de proceso específicos. El añadir un nuevo proceso a la lista de procesos protegidos le permite proteger
automáticamente el proceso, sin ninguna configuración adicional, usando reglas de protección contra exploit
que se aplican a todos los procesos.
Para garantizar que la protección de procesos continúe, recomendamos que no cambie los
nombres de los procesos utilizados con frecuencia en el sistema. Si se necesita cambiar
el nombre de un proceso, asegúrese de añadir el proceso con nombre modificado como
proceso protegido y reproducir las reglas de protección del nombre de proceso anterior. Si
fuera necesario, también puede configurar reglas de protección contra exploits adicionales
para proteger el proceso.
Ampliando la protección a las aplicaciones que son importantes para su organización, puede facilitar la
máxima protección con la mínima alteración de las actividades diarias. Añada procesos como protegidos,
provisionales o desprotegidos y configúrelos utilizando la página Process Management (Administración de
procesos).
142 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
STEP 4 | Guarde los cambios en el proceso.
Haga clic en Create (Crear).
STEP 5 | Para cada nuevo proceso protegido, configure una regla de protección contra exploits
para activar el EPM de mitigación de ROP en el proceso y otra regla de protección
contra exploits para activar el EPM de mitigación de JIT en el proceso. Estas reglas de
protección contra exploits proporcionan la mejor protección con la tasa más baja de
falsos positivos.
1. Para cada EPM, debe Crear una regla de protección contra exploits con la siguiente configuración:
EPM:
• Activation (Activación): activado
• Action (Acción): notificación
• User Alert (Alerta de usuario): desactivado
Procesos:
Seleccione el nuevo proceso protegido.
Objetos:
Para identificar cualquier consecuencia no intencionada que resulta del nuevo proceso de protección,
seleccione un pequeño número de endpoints. Si tiene diferentes entornos dentro de la misma
organización (por ejemplo, sistemas operativos diferentes), recomendamos que seleccione unos
cuantos endpoints de cada entorno.
2. Apply (Aplicar) la regla y a continuación repita el proceso para el segundo EPM.
3. Después de un periodo en el que las nuevas reglas no generan problemas, actualice y aplique los
ajustes de reglas.
EPM:
• Action (Acción): prevención
• User Alert (Alertas de usuario): activado
Objetos:
Expanda la implementación de la regla. Añada objetos adicionales o elimine todos los objetos En el
caso del último, si no se especifican objetos, la regla se aplica a todos los endpoints.
STEP 2 | Seleccione el tipo de sistema operativo para el que desea gestionar procesos, ya sea Windows
o macOS.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 143
© 2017 Palo Alto Networks, Inc.
STEP 3 | Importe o exporte uno o más procesos.
• Para importar procesos, haga clic en el menú de acción y, a continuación, seleccione Import
Processes (Importar procesos). Seleccione Browse (Examinar) y luego Upload (Cargar) para cargar el
archivo que contiene los detalles sobre los procesos que desea importar. Los procesos aparecen en la
tabla tras finalizar la carga.
• Para exportar procesos, seleccione uno o más procesos que desee exportar. En el menú de acción
, seleccione Export Selected (Exportar seleccionados). La consola ESM guarda los procesos en un
archivo XML.
STEP 2 | Seleccione el tipo de sistema operativo para el que desea gestionar procesos, ya sea Windows
o macOS.
Una vez que el proceso está desvinculado, puede seleccionar el nombre del proceso y optar por una de
las siguientes opciones:
• Delete (Eliminar) el proceso.
• Cambie el Process Name (Nombre de proceso) y, a continuación seleccione Save (Guardar) los
cambios.
• Cambie el Protection Type (Tipo de protección) y, a continuación seleccione Save (Guardar) los
cambios. Para más información, consulte Tipos de protección de procesos.
144 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
© 2017 Palo Alto Networks, Inc.
Ver procesos actualmente protegidos por Traps
La pestaña Protection (Protección) de la consola de Traps muestra los procesos ejecutados por el usuario
actual que actualmente están protegidos por Traps. La lista de procesos refleja los procesos que ejecutó el
actual usuario.
Para ver todos los procesos protegidos por Traps, incluidos aquellos ejecutados por otros usuarios o por
el sistema operativo, use la consola de Traps o una interfaz de línea de comandos (CLI) llamada Cytool
(consulte Ver procesos actualmente protegidos por Traps usando Cytool).
En los endpoints de Windows, Traps muestra el nombre, la descripción, el número de ID único del proceso,
la hora a la que se inició el proceso y el registro de asignación de memoria.
En los endpoints de Mac, Traps muestra el nombre y el número de ID único del proceso.
STEP 2 | Seleccione la pestaña Advanced (Avanzado) > Protection (Protección) para ver los procesos
protegidos.
GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas 145
© 2017 Palo Alto Networks, Inc.
146 GUÍA DEL ADMINISTRADOR DE TRAPS | Primeros pasos con las reglas
Protección de malware
> Prácticas recomendadas de la política de protección de malware
> Flujo de protección contra malware
> Gestionar reglas de protección contra malware
> Administrar restricciones en archivos ejecutables
> Integración WildFire
> Administrar hashes para archivos ejecutables
147
148 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección de malware
© 2017 Palo Alto Networks, Inc.
Prácticas recomendadas de la política de
protección de malware
La clave a la hora de definir una política de prevención de malware es minimizar la probabilidad de infección
del malware conocido y desconocido. Para lograrlo, la práctica recomendada para la política de prevención
de malware consiste en recurrir a las reglas de WildFire que permiten a Traps identificar y bloquear todas
las amenazas conocidas y enviar los archivos desconocidos a WildFire para que los analice y los identifique.
Además, esta práctica recomendada permite a Traps aprovechar los mecanismos integrados para analizar
los archivos ejecutables desconocidos y determinar la probabilidad de que contengan malware. Tenga en
cuenta las siguientes recomendaciones para crear una política de prevención de malware:
Habilite la integración con WildFire para permitir que Traps evalúe los archivos ejecutables basándose
en los veredictos de WildFire. La integración con WildFire se habilita automáticamente en la política por
defecto. Por tanto, si necesita crear nuevas reglas de WildFire, asegúrese de que WildFire Activation
(Activación de WildFire) está en On (Activado). Consulte Configuración de una regla de WildFire.
Bloquee la ejecución de malware. La forma más sencilla de evitar que el malware cause daño en los
endpoints es impedir que se ejecute. Para hacer esto, la Action (Acción) en la política de WildFire para
archivos ejecutables y de Microsoft Office (que contienen macros) debe establecerse como Prevention
(Prevención). Dado que es la política por defecto la que configura este ajuste, le recomendamos que
deje la opción por defecto o bien, si tiene que crear reglas nuevas, que herede la acción de esta política
predeterminada. Consulte Configuración de una regla de WildFire.
Permita que Traps envíe archivos ejecutables desconocidos al servidor ESM y que este envíe muestras
a WildFire para que las analice. Gracias al envío de muestras, puede aprovechar la avanzada información
de amenazas de WildFire, que permite analizar e identificar malware de día cero. Además, WildFire pone
la información acerca de los archivos ejecutables recién descubiertos a disposición de otros ESM (previa
consulta) y de los cortafuegos de Palo Alto Networks —en cuestión de minutos— de forma global. De
esta forma, tanto usted como otros clientes de Palo Alto Networks pueden convertir en conocidas las
muestras desconocidas y ahorrar tiempo a la hora de determinar la naturaleza de los archivos ejecutables
desconocidos. Dado que es la política por defecto la que configura este ajuste, no hace falta hacer nada
para activar esta funcionalidad. Sin embrago, si necesita crear nuevas reglas, asegúrese de configurar
la Unknown Verdict Configuration (Configuración de veredicto no conocido) para bloquear archivos
ejecutables no conocidos y habilitar a los agentes de Traps para Upload Files for WildFire Analysis
(Cargar archivos para que WildFire los analice). Consulte Configurar el ESM para comunicarse con
WildFire.
Permita que Traps realice análisis locales de archivos ejecutables desconocidos para determinar
la posibilidad de que contengan malware. Los análisis locales siguen un modelo estadístico que se
desarrolló mediante aprendizaje automático con la información de amenazas de WildFire. Cuando está
habilitado, los análisis locales siguen dicho modelo para emitir un veredicto local del archivo en cuestión.
Al mismo tiempo, Traps pide un veredicto al servidor ESM del archivo ejecutable desconocido, pero
puede servirse del veredicto del análisis local hasta que el servidor ESM responda bien con un veredicto
de WildFire oficial o bien con una política administrativa de control de hash. Dado que es la política
por defecto la que configura este ajuste, no hace falta hacer nada para activar esta funcionalidad. No
obstante, si tiene que crear reglas nuevas, asegúrese de habilitar la opción Local Analysis (Análisis local).
Consulte Análisis estático local.
Instale la última actualización de contenido. Cada actualización de contenido incluye la información
de amenazas de Palo Alto Networks más reciente en un archivo de política de seguridad por defecto.
La actualización de contenido puede incluir cambios de la lista de firmantes de confianza, el modelo
de análisis locales, las reglas de compatibilidad y la configuración de la regla por defecto. Al instalar la
actualización de contenido más reciente, se asegura de que los endpoints utilizan esta información de
amenazas. Consulte Actualizaciones de contenido.
Firmantes de confianza
El software legal incluye con frecuencia una firma de confianza que indica que el producto no está
manipulado ni se ha falsificado. Palo Alto Networks revisa periódicamente la lista de firmantes de confianza,
realiza en ella los cambios pertinentes y la pone a su disposición junto con la política de seguridad por
defecto. Puede conseguir todas las actualizaciones de la lista de firmantes de confianza junto con las
actualizaciones de contenido en el Portal de asistencia técnica (para obtener más información, consulte
Actualizaciones de contenido on page 101).
Cuando un usuario trata de abrir un archivo ejecutable desconocido para el que no existe ninguna
política de control de hashes, el módulo WildFire comienza el proceso de determinación de veredictos
comprobando la firma de confianza de un archivo ejecutable.
En muy pocas ocasiones, puede que WildFire emita un veredicto de archivo malicioso de
un archivo ejecutable con una firma de confianza. Si se diese el caso, la consola ESM
informará de un evento posterior al proceso de detecciones. Puede consultar estos eventos
en la sección Post Detections (Posteriores a las detecciones) de la página Security Events
(Eventos de seguridad). Para anular el comportamiento por defecto que permite abrir el
archivo ejecutable, configure una política administrativa de control de hash para bloquear el
archivo.
Veredictos WildFire
Si un archivo ejecutable no está firmado por un Firmante de confianza, el agente de Traps realiza una
búsqueda de veredictos de hash para determinar si ya existe un veredicto en su caché local.
Si el archivo ejecutable tiene un veredicto de malware, Traps informa del evento de seguridad al Endpoint
Security Manager y, según el comportamiento configurado para archivos maliciosos, Traps realiza una de las
siguientes acciones:
• Bloquea el archivo ejecutable malicioso.
• Informa al usuario acerca del archivo, pero sigue permitiendo la ejecución del archivo
• Realiza un log del problema sin notificarlo al usuario y permite la ejecución del archivo.
Si el veredicto de un hash indica que el archivo asociado es benigno, Traps pasa a la siguiente etapa de
evaluación (consulte Fase 2: Evaluación de la política de restricción).
Si el hash no existe en la caché local o no hay un veredicto conocido, Traps realiza un Análisis estático local.
Protección de proceso (Solo Windows) El MPM de protección de proceso hijo impide los ataques
hijo basados en secuencias de comandos usadas para entregar malware tales como
ransomware mediante el bloqueo de procesos de destino conocidos al impedir
que inicien procesos hijo comúnmente usados para .eludir las medidas de
seguridad tradicionales. Para obtener más información, consulte Configuración
de Protección de procesos hijo.
Mejora del (Solo Mac) La mejora del MPM del Gatekeeper es una mejora de la
Gatekeeper funcionalidad del gatekeeper de macOS que permite que las aplicaciones se
ejecuten según su firma digital. El MPM proporciona una capa adicional de
protección al extender la funcionalidad del gatekeeper a procesos hijo para
establecer el nivel de firma de su elección. Para obtener más información,
consulte Configuración de mejoras del MPM del Gatekeeper.
El MPM de protección de proceso hijo para endpoints de Windows evita ataques basados en secuencias de
comandos (scripts) que se utilizan para enviar malware tales como ramsomware. Para evitar estos ataques,
el MPM se habilita por defecto y bloquea procesos de destino conocidos para evitar que inicien procesos
hijo generalmente usados para eludir las medidas de seguridad tradicionales.
Para mayor flexibilidad, puede configurar el módulo para que funcione de una de las dos siguientes maneras:
• Use una lista blanca para bloquear todos los procesos hijo iniciados por un proceso excepto aquellos
indicados en la lista blanca.
• Utilice una lista negra para permitir que un proceso ejecute todos los procesos hijo excepto aquellos
incluidos en la lista negra.
Para controlar la forma en que las nuevas reglas interoperan con reglas existentes, también puede elegir
fusionar o anular los ajustes en reglas que relacionadas con el mismo proceso padre.
Use el siguiente flujo de trabajo para configurar la protección mejorada de procesos hijo:
STEP 2 | Seleccione Windows como el sistema operativo (la protección de proceso hijo no es
compatible con los endpoints de Mac).
STEP 4 | Seleccione Child Process Protection (Protección de procesos hijo) y configure los ajustes de la
regla:
• Activation (Activación): seleccione On (Activado) para habilitar la protección de procesos hijo o Off
(Desactivado) para deshabilitar la protección de procesos hijo.
• Action (Acción): seleccione la acción que se ha de tomar cuando un cuando un proceso intenta llamar
a un proceso hijo: Impida que el proceso hijo se ejecute (Prevention [Prevención]), o permita que
el proceso hijo se ejecute y registre el problema (Notification (Notificación)). Si selecciona Inherit
(Heredar) el comportamiento, Traps defiere a la política por defecto para la acción.
Para ver detalles adicionales acerca de la política por defecto, seleccione Policies
(Políticas)> Malware > Protection Modules (Módulos de protección) y a continuación
seleccione Show Default Rules (Mostrar reglas por defecto) del menú de acción.
• User Alert (Alerta de usuario): seleccione el comportamiento de notificación cuando un proceso
intenta llamar a un proceso hijo, bien On (Activada) para notificar al usuario, o Off (Desactivada) para
omitir las notificaciones. Si selecciona Inherit (Heredar) el comportamiento, Traps defiere a la política
por defecto para el comportamiento de notificación.
STEP 5 | Configuración de una lista blanca o una lista negra para un proceso hijo:
Si existen varias reglas para el mismo proceso padre que especifica List Action
(Acción de lista): Merge (Fusionar), Traps combina la Child Process List (Lista de
procesos hijo) (ya sea la lista blanca o la lista negra). Si existen varias reglas para el
mismo proceso padre que especifica List Action (Acción de lista): Override (Anular),
solo la regla más reciente (con el número de ID más alto) prevalece.
Si existen varias reglas para el mismo proceso padre pero este usa diferentes conductas de lista (por
ejemplo, una como una lista blanca y otra como una lista negra), solo la regla más reciente (con el
número de ID más alto) prevalece.
STEP 6 | Seleccione la pestaña Processes (Procesos) y luego Add (Añadir) uno o más procesos de origen
(principal) a los cuales Traps aplicará la protección de procesos hijo. Conforme escriba, la
consola ESM le proporcionará finalización automática basada en la lista de procesos definidos
en la consola ESM.
STEP 7 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 8 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational Unit
(unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include o Exclude. El
Endpoint Security Manager consulta a Active Directory para verificar los usuarios, ordenadores, grupos
o unidades de la organización, o identifica los endpoints existentes de los mensajes de comunicación
anteriores.
STEP 2 | Seleccione macOS como el sistema operativo (la mejora del MPM del Gatekeeper no es
compatible con los endpoints de Windows).
STEP 6 | (Opcional) Coloque en la lista blanca los procesos hijo ejecutados desde ubicaciones específicas:
1. Seleccione el icono añadir carpeta .
2. Introduzca la ruta completa del proceso hijo, por ejemplo:
/Applications/myapp1.app/Contents
3. Repita el proceso para añadir procesos hijo adicionales, si así lo desea.
4. Seleccione Whitelist Action (Acción de lista blanca) para Merge (Fusionar) o Override (Anular) la lista
de procesos hijo con listas definidas en otras reglas de políticas por defecto o definidas por el usuario
para el proceso padre.
Si existen varias reglas para el mismo proceso padre que especifica Whitelist Action:
(Acción de lista blanca:) Merge (Fusionar), Traps combina la Whitelist (Lista blanca).
Si existen varias reglas para el mismo proceso padre que especifica Whitelist Action:
(Acción de lista blanca:) Override (Anular), solo la regla más reciente (con el número
de ID más alto) prevalece.
Si existen varias reglas para el mismo proceso padre pero este usa diferentes conductas de lista (por
ejemplo, una como una lista blanca y otra como una lista negra), solo la regla más reciente (con el
número de ID más alto) prevalece.
STEP 7 | Seleccione la pestaña Processes (Procesos) y luego Add (Añadir) uno o más procesos de origen
(padre) a los cuales Traps aplicará la mejora MPM del Gatekeeper. Conforme escriba, la consola
ESM le proporcionará finalización automática basada en la lista de procesos definidos en la
consola ESM.
STEP 8 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 9 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.
Reglas de restricción
Una regla de restricción limita la superficie de un ataque en un endpoint de Windows al definir dónde y
cómo sus usuarios pueden ejecutar archivos ejecutables. La siguiente tabla muestra los diferentes tipos de
restricciones que usted puede configurar.
Procesos que (Traps 3.4 y versiones anteriores) Un código malicioso se puede activar al
diseminan procesos hacer que un proceso legítimo disemine procesos hijo maliciosos. Puede
hijo bloquear el código malicioso definiendo una regla de restricción apropiada.
Para obtener más información, consulte Definir restricciones de procesos hijo.
Procesos de Java que (Traps 3.4 y versiones anteriores) Un punto de entrada común para códigos
se ejecutan desde los maliciosos son los procesos de Java importados desde un host remoto e
navegadores iniciados a través de navegadores de Internet. Como protección contra estos
exploits, debe evitar que un applet de Java que no sea de confianza ejecute
objetos usando los navegadores, al tiempo que puede añadir a la lista blanca
los procesos de confianza, a fin de poder ejecutarlos en los endpoints según
fuera necesario. Puede elegir de forma selectiva las acciones permitidas
(lectura, escritura o ejecución) en función de los tipos de archivos de proceso,
STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 1 | Seleccione Policies (Políticas) > Malware > Restriction Settings (Ajustes de restricciones).
STEP 2 | Para especificar si Traps debe bloquear un archivo ejecutable que se abrió desde una ubicación
no incluida en la lista blanca o que es posterior al periodo de boqueo, configure la Acción en
una de las siguientes opciones:
STEP 3 | Para especificar si Traps debe o no informar al usuario cuando un archivo ejecutable se abre
desde una ubicación no incluida en la lista blanca, configure la alerta de usuario en una de las
siguientes opciones:
• On (Activar): se notifica al usuario.
o
• Off (Desactivar): no se notifica al usuario.
STEP 4 | Haga clic en el icono de añadir carpeta situado junto a las áreas de listas de permitidos
de Local Folder, Child Process o Media Control e introduzca la ruta completa o parcial de la
carpeta. Por ejemplo, C:\Windows\filename.exe.
Las listas de permitidos también admiten comodines y variables ambientales, tales como
%windir% (para obtener más información, consulte Comodines y variables en reglas de
políticas).
%MySystemDrive%\myfolder\temp\malware.exe
• Cualquier archivo ejecutable ejecutado desde una carpeta o subcarpeta local específica, por ejemplo:
C:\temp\*
• Archivos ejecutables específicos ejecutados desde una ubicación remota, por ejemplo:
\\remoteserver\folder\malware.exe
\\remoteserver\*
STEP 2 | Evitar que un archivo o varios archivos ejecutables se ejecuten desde una carpeta local.
1. Seleccione Local Folder Behavior (Conducta de carpeta local).
2. Seleccione la opción para Restrict file execution from the locations (Restringir la ejecución de
archivos desde las ubicaciones).
3. Haga clic en el icono para añadir carpeta y en Add (Añadir) para añadir la ruta del archivo ejecutable
o carpeta a la sección de lista negra.
Para colocar una carpeta en la lista negra, debe terminar la ruta con un comodín. (Por
ejemplo, C:\temp\* encuentra cualquier archivo que se ha iniciado desde la carpeta
o subcarpeta C:\temp\).
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Seleccione la opción para Restrict file execution from all network folders except the locations
listed below (Restringir la ejecución de archivos desde todas las carpetas de red a excepción
de las ubicaciones indicadas a continuación).
STEP 3 | Haga clic en el icono de adición a continuación , para Add (Añadir) el archivo o la ruta de la
carpeta siguiendo el formato de convención universal de nombres (UNC).
Para colocar una carpeta en la lista blanca, debe terminar la ruta con un comodín. (Por
ejemplo, \\networkpath\temp\* encuentra cualquier archivo que se ha iniciado
desde la carpeta o subcarpeta \\networkpath\temp\).
STEP 4 | Repita el paso anterior para añadir varias rutas según fuera necesario.
STEP 5 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
STEP 6 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Seleccione el tipo de soporte externo del cual desea restringir la ejecución de archivos
ejecutables, ya sea Removable Drives (Unidades extraíbles) o Optical Drives (Unidades
ópticas). Por defecto, se permite la ejecución de aplicaciones no malintencionadas y
desconocidas de discos extraíbles y ópticos.
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 7 | (Opcional) Para colocar ubicaciones de soportes externos específicas de su regla de restricción
de soportes externos en la lista blanca. Para obtener más información, consulte Administrar
listas blancas globales.
En un intento de controlar un endpoint, un atacante puede hacer que un proceso legítimo genere un
proceso hijo malicioso. Defina una regla de restricción para evitar que procesos hijo sean activados desde
uno o más procesos.
2. Repita los pasos a para añadir nombres de proceso adicionales, según proceda.
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Configure la regla de restricción de Java para colocar en la lista blanca un proceso ejecutado
por Java en un navegador específico en agentes de Traps que se ejecutan en la versión 3.4 o
anteriores.
1. En la lista desplegable Java Activation (Activación Java), seleccione On (Activar) para habilitar la regla
u Off (Desactivar) para deshabilitar la regla.
2. Configure la Action (Acción) que se aplicará cuando un proceso de Java intente ejecutarse y el
proceso no está en la lista blanca:
• Inherit (Heredar): hereda el comportamiento de la política por defecto.
• Prevention (Prevención): finaliza todos los procesos de Java excepto aquellos indicados de forma
específica en la lista blanca.
• Notification Notificación): crea un log del problema y permite que el proceso de Java continúe.
3. Configure el comportamiento de User Alert (Alerta de usuario) cuando un proceso Java intenta
ejecutarse desde un navegador web.
• Inherit (Heredar): hereda el comportamiento de la política por defecto.
• On (Activar): se notifica al usuario.
• Off (Desactivar): no se notifica al usuario.
4. En la sección Java Whitelisted Processes (Procesos de Java incluidos en la lista blanca), haga clic
en el botón de añadir proceso para especificar los procesos de Java cuya ejecución se permitirá
desde los navegadores web (por ejemplo, AcroRd32.exe). Repita este paso para añadir procesos
adicionales.
5. En la lista Browsers (Navegadores), seleccione los navegadores web en los cuales se debe
implementar la protección de Java.
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 4 | (Opcional) Defina los a los objetos de destino que se aplica la regla de restricción. Por defecto,
una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Envío de ESM
El Endpoint Security Manager (ESM) envía muestras desconocidas para un análisis más profundo a WildFire.
Puede integrar su entorno ESM con la nube pública de WildFire o con un dispositivo WF-500 local que
actúa como un espacio aislado local. El tipo de muestras que ESM envía y la frecuencia con la que se
comunica con WildFire se determinan en la configuración de WildFire y las reglas que se configuren
(consulte Configuración de ESM para comunicarse con WildFire y Configuración de una regla de WildFire).
Para las muestras que Traps notifica, el agente primero comprueba so caché local de hashes para determinar
si ya tiene un veredicto para la muestra. Si Traps no tiene un veredicto local, esta envía una consulta al
servidor ESM para determinar si WildFire ha analizado previamente la muestra. Si la muestra es identificada
como malware, se bloquea. Si la muestra continúa siendo desconocida después de compararla con las firmas
existentes de WildFire, el ESM envía la muestra a WildFire para su análisis Para obtener más información,
consulte Flujo de protección contra malware.
Veredictos
WildFire entrega veredictos para identificar las muestras que analiza como seguras, malintencionadas o no
deseadas (grayware se considera agresivo pero no malicioso).
• Benign (Benigno): la muestra es seguro y no da signos de comportamiento malicioso.
• Malware: la muestra es malware y supone una amenaza de seguridad. El malware puede incluir virus,
gusanos, troyanos, herramientas de acceso remoto (RAT), rootkits, botnets y macros maliciosos. Para
los archivos identificados como malware, WildFire genera y distribuye una firma para evitar futuras
exposiciones a la amenaza.
• Grayware: La muestra clasificada como grayware no supone una amenaza de seguridad directa, pero
puede mostrar un comportamiento agresivo de algún tipo. Grayware normalmente incluye adware,
spyware y objetos de ayuda del explorador (BHO).
Cuando WildFire no está disponible o la integración está deshabilitada, Traps también puede asignar un
veredicto local para la muestra usando métodos adicionales de evaluación: Cuando Traps realiza un Análisis
Caché de veredicto
Traps almacena hashes y los correspondientes Veredictos para todos los archivos ejecutables que abre
en el endpoint en su caché local. El caché local se almacena en la carpeta C:\ProgramData\Cyvera
\LocalSystem en el endpoint y varía en tamaño para albergar el número de archivos ejecutables únicos
que se abren en el endpoint. Cuando se habilita la protección del servicio (consulte Gestionar protección de
servicios), el caché local es accesible a través del agente de Traps y no se puede cambiar.
Cada vez que un archivo ejecutable se intenta ejecutar, el agente de Traps realiza una búsqueda en su caché
local para determinar si ya existe un veredicto. Si es así, el veredicto es un veredicto oficial de WildFire o
uno establecido manualmente como una política administrativa de control de hash. Los veredictos con una
política administrativa de control de hash tienen prioridad sobre cualquier análisis de veredicto adicional.
Si el caché local no identifica al archivo ejecutable, el agente de Traps solicita al servidor ESM que imita
un veredicto. El Endpoint Security Manager almacena veredictos para todos los archivos ejecutables que
ha abierto en los endpoints en todo la organización en su caché de servidor, que está almacenado en la
base de datos ESM. Cuando el servidor ESM recibe una solicitud de veredicto, realiza una búsqueda en la
caché de su servidor para determinar el veredicto. El servidor ESM responde con el veredicto en la siguiente
comunicación heartbeat con el agente de Traps que solicitó el veredicto.
Si el archivo ejecutable no está identificado en la caché del servidor, el servidor ESM envía una solicitud a
WildFire y de forma opcional, envía el archivo para su análisis.
STEP 1 | En la consola ESM, seleccione Settings (Ajustes) > ESM > WildFire.
La WildFire API Key (Clave API de WildFire) será necesaria solo una nube privada de
WildFire.
STEP 7 | Por defecto, el servidor ESM envía archivos de hasta 100 MB a WildFire para su análisis. Para
cambiar el Maximal File Size (MB) [Tamaño máximo de archivo (MB)], introduzca un valor
entre 1 y 100 MB. Los archivos que exceden el tamaño máximo no se envían a WildFire ni
automáticamente ni manualmente.
Cuando un archivo desconocido trata de ejecutarse en sus endpoints, el WF-500 consulta a la nube pública
de WildFire para recibir el veredicto y analiza el archivo ejecutable en el espacio aislado privado local.
De forma predeterminada, el WF-500 no envía el malware que descubre fuera de su red. Sin embargo,
puede configurarlo para que lo reenvíe automáticamente a la nube pública de WildFire con el fin de generar
y distribuir firmas a todos los cortafuegos de Palo Alto Networks con licencias de Threat Prevention y
WildFire. De lo contrario, el WF-500 solo reenvía a la nube pública de WildFire el informe de malware (no la
muestra en sí misma).
Para permitir que el servidor ESM verifique y confíe en la identidad del WF-500, ha de solicitar el certificado
de CA raíz WF-500, que deberá importar en cada servidor ESM, al equipo de asistencia técnica.
Para integrar una aplicación WF-500 en su implementación de ESM, siga estos pasos:
STEP 1 | Verifique que los componentes del ESM se han configurado correctamente para comunicarse
con WildFire.
Consulte Configurar el ESM para comunicarse con WildFire.
STEP 3 | Para activar el módulo de WildFire para permitir que Traps pueda calcular y comprobar
los veredictos de hash y compararlos con su caché local de hashes, establezca Activation
(Activación) en On (Activado).
STEP 4 | Configure en Action (Acción) el comportamiento que Traps debe adoptar al detectar malware.
• Seleccione Inherit (Heredar) para usar el comportamiento que establece la política por defecto
(Prevention).
• Seleccione Prevention (Prevención) para bloquear el archivo ejecutable.
• Seleccione Notification (Notificación) para permitir que el usuario abra el archivo, cree un log del
problema e informe al usuario del archivo malicioso.
STEP 6 | (ESM 4.0.1 y posterior) Para eximir un archivo de la supervisión de WildFire, añada el archivo a la
lista blanca.
La colocación de archivos en la lista blanca o lista de permitidos puede ser útil si el valor de hash
asociado cambia pero el nombre de archivo se mantiene igual. Por ejemplo, veamos una aplicación como
GoToMeeting, que crea un archivo ejecutable nuevo con el mismo nombre de archivo y un valor de
hash único cada vez que inicia la aplicación. En este caso, para eximir GoToMeeting de la supervisión de
WildFire, debe añadir a la lista blanca la ruta completa para GoToMeeting.exe.
La lista blanca también admite las mismas variables de entorno y comodines que
puede usar en reglas de restricción. Por ejemplo, para permitir que un archivo en
la ruta C:\temp\myfilename.exe se ejecute, añada la ruta a la lista blanca.
O para permitir que myfilename.exe se ejecute, independientemente de dónde
está almacenado myfilename.exe, puede utilizar comodines para definir la ruta
completa como *\myfilename.exe.
3. Repita este proceso para especificar archivos adicionales.
4. Seleccione la opción Whitelist Action (acción de lista blanca) para Merge (Fusionar) o Override
(Anular) la lista blanca con listas definidas en otras reglas de políticas por defecto o definidas por el
usuario.
• Cuando son varias reglas, especifique List Action: (Acción de lista:) Merge (Fusionar), Traps
combina la Whitelist (Lista blanca).
• Cuando son varias reglas, especifique List Action: (Acción de lista:) Override (Anular), solo la regla
más reciente (con el número de ID más alto) prevalece.
Archivos ejecutables:
• Upload Files for WildFire Analysis (Cargar archivos para que WildFire los analice): establezca este
valor como On (Activado) para permitir que Traps envíe archivos ejecutables desconocidos al ESM,
que a su vez envía los archivos a WildFire para su correspondiente análisis.
• Apply Malware Verdict on Grayware (Aplicar veredictos de malware a grayware): establezca esta
opción en On (Activada) para considerar todo el grayware como malware. De lo contrario, si esta
opción está Off (Desactivada), el sistema considerará que el grayware es benigno y no lo bloqueará.
Traps permite abrir por defecto este tipo de archivos; no obstante, si se ha habilitado
el análisis local, Traps siempre emitirá un veredicto de cualquier archivo ejecutable
desconocido. Por lo tanto, cuando se habilitan, estas opciones solo se aplican a los
agentes para los que no se ha habilitado el análisis local o que utilizan Traps 3.3.
• ESM Unreachable (ESM inaccesible): establezca esta opción en Block Unknowns (Bloquear
desconocidos) o Allow Unknowns (Permitir desconocidos) cuando Traps no puede acceder al
servidor ESM para consultar un veredicto o enviar el archivo para su análisis.
Archivos de Office:
• Upload Files with Macros for WildFire Analysis (Cargar archivos con macros para que WildFire los
analice): establezca esta opción en On (Activada) para permitir que el servidor ESM envíe archivos
que ha recibido de los agentes de Traps y que contienen macros desconocidas a WildFire para su
análisis.
STEP 8 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 9 | (Opcional) Indique en Objetos de destino los objetos de destino a los que se debe aplicar la regla
de WildFire. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).
STEP 2 | Filtre los resultados que se muestran en la página Hash Control de una de estas maneras:
Importar y ejecutar una consulta de búsqueda previamente guardada
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione Import Search (Importar búsqueda).
3. Haga clic en Browse (Examinar), navegue a un archivo XML que contenga una consulta de búsqueda
previamente guardada y haga clic en Upload (Cargar) para cargarlo. La página Hash Control (Control
de hashes) aplica automáticamente la consulta de búsqueda importada.
Usar una consulta de búsqueda predefinida
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione una de las siguientes consultas de búsqueda predefinidas:
1. Indique si desea aplicar Any (Cualquiera) de las condiciones que especifique (parecida a una
operación de OR) o All (Todas) ellas (parecida a una operación AND).
2. Para borrar todas las condiciones de búsqueda anteriores, haga clic en . O bien, para borrar solo un
término de búsqueda, haga clic en junto a la condición que desee eliminar.
3. Seleccione una condición de búsqueda, un operador y un valor. Si desea conocer de qué opciones
dispone, consulte Condiciones de búsqueda de archivos hash.
4. Para añadir más condiciones de búsqueda, haga clic en junto a la condición. La página Hash
Control (Control de hashes) añadirá una condición de búsqueda adicional para que la configure.
5. Cuando acabe de añadir condiciones, haga clic en Search (Buscar). La página Hash Control (Control
de hashes) muestra hasta 1000 registros que coinciden con sus condiciones de búsqueda.
STEP 3 | (Opcional) Para ejecutar su consulta de búsqueda en otro momento, expórtela a un archivo.
1. Haga clic en el botón para expandir la lista de consultas de búsqueda y acciones disponibles.
2. Seleccione Export Search (Exportar búsqueda). La consola ESM guarda los parámetros de su
búsqueda en un archivo XML.
Puede emplear
esta condición
de búsqueda
para localizar
hashes con
veredictos
distintos del
de WildFire.
Por ejemplo,
establezca estas
condiciones
de búsqueda
para identificar
archivos
bloqueados por
una cancelación
administrativa
(Hash Control),
pero que
WildFire
considera
benignos:
(WildFire Verdict
is Benign [El
veredicto de
WildFire es
benigno]) y
(Verdict is
Malware [El
veredicto es
malware]).
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes)
STEP 3 | Haga clic en Informe de WildFire. La consola ESM muestra el informe de caché.
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).
STEP 2 | Seleccione el registro de un hash. Si lo necesita, filtre los registros de Hash Control para acotar
los registros que se muestran en la consola ESM.
STEP 4 | Para consultar información detallada de los endpoints que han abierto el archivo asociado con
el hash, seleccione Agent List (Lista de agentes).
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).
STEP 3 | Para visualizar los endpoints en los cuales un usuario ha intentado abrir el archivo ejecutable,
seleccione Agent List (Lista de agentes) (disponible únicamente cuando hay cinco instancias o
más de un hash de proceso).
STEP 4 | Revise el informe de WildFire del archivo ejecutable para validar su decisión de cancelar el
veredicto. Consulte Visualizar informes de WildFire.
STEP 5 | Seleccione un registro de hash y a continuación haga clic en Treat as Benign (Tratar como
benigno) para permitir que el archivo ejecutable se ejecute o haga clic en Treat as Malware
(Tratar como malware) para bloquear la ejecución del archivo. Esta cancelación no afecta el
veredicto oficial de WildFire, pero sí cambia el veredicto en la política de seguridad local para
su organización. Si sospecha que un veredicto de WildFire es incorrecto, considere informar el
problema a Palo Alto Networks. Consulte Informe de veredicto incorrecto.
STEP 6 | Revise periódicamente todos los errores de coincidencia entre el veredicto oficial de WildFire y
su acción de política local.
STEP 7 | Cuando la anulación ya no sea necesaria, elimínela. En el menú de acción , seleccione Revert
to WildFire Verdict (Revertir a veredicto de WildFire). La consola ESM revierte el veredicto al
último estado conocido por el servidor ESM.
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes).
STEP 2 | Para visualizar el veredicto de WildFire para un hash específico, proceda con una de las
opciones siguientes:
• Utilice la búsqueda de la parte superior de la página para buscar un valor de hash o nombre de
proceso.
• Utilice los controles de paginado de la parte superior derecha de cada página para ver diferentes
partes de la tabla.
STEP 3 | Seleccione el registro de hash para visualizar detalles adicionales sobre el hash de proceso y
luego haga clic en Recheck (Volver a comprobar). Para volver a comprobar varios registros
al mismo tiempo, seleccione la casilla de verificación para cada registro de hash y luego
seleccione Recheck with WildFire (Volver a comprobar con WildFire) en el menú de acción
. Estas acciones inician una consulta inmediata a WildFire.
STEP 2 | Complete el informe con detalles que indiquen por qué el veredicto es incorrecto.
1. Revise la información de la muestra y verifique el veredicto que está informando.
2. (Opcional) Introduzca una dirección de correo electrónico para recibir una notificación de correo
electrónico después de que Palo Alto Networks complete el análisis adicional.
3. (Opcional pero recomendado) Introduzca los detalles que puedan ayudarnos a comprender mejor por
qué no está de acuerdo con el veredicto.
4. Haga clic en Submit (Enviar).
STEP 1 | En la consola ESM, seleccione Policies (Políticas) > Malware > Hash Control (Control de
hashes)
STEP 3 | Seleccione la fila para ver detalles adicionales acerca del hash del proceso y seleccione Cargar
para cargar el archivo en WildFire.
Cada vez que restaura un archivo ejecutable, la consola ESM envía una regla de acción de una sola vez al
agente para que restaure el archivo. También puede usar Cytool para ver y restaurar archivos que se han
puesto en cuarentena (consulte Restauración de un archivo en cuarentena con Cytool). Para ver los estados
de cuarentena y restauración, consulte los logs o configure el ESM para que los envíe a un servidor de logs
externo.
STEP 2 | Configure una política administrativa de control de hash para el archivo ejecutable. Cada vez
que un usuario trate de iniciar un archivo ejecutable, Traps determinará si es malware y si
debe ponerlo en cuarentena. Si decide restaurar un archivo ejecutable y no cambia la política
de control de hashes, la siguiente vez que un usuario trate de iniciar el archivo, Traps volverá
a bloquearlo y a ponerlo en cuarentena. Por tanto, para evitar que Traps siga bloqueando y
poniendo un determinado archivo en cuarentena, debe configurar una política administrativa
de control de hash para que trate al archivo como benigno con la opción Treat as Benign
(Tratar como benigno).
En la vista de información ampliada del registro de hash, seleccione Treat as Benign (Tratar como
benigno). También puede marcar la casilla de la fila o las filas correspondientes y seleccionar Treat as
Benign (Tratar como benigno) en el menú de acción . De esta forma, el veredicto de la caché del
servidor pasará de Malware a Benign (Benigno).
También puede enviar los informes de estos eventos a un servidor de logs externo o a
una dirección de correo electrónico. Consulte Informes y logs.
Seleccione Monitor (Supervisar) > Agent (Agente) > Logs y filtre Report Type (Tipo de informe) por
cualquiera de estos eventos:
• File Restore Succeeded (Restauración de archivo correcta): Traps restauró correctamente un archivo
ejecutable a su ubicación original en un endpoint.
• File Restore Failed (Restauración de archivo fallida): Traps no pudo restaurar un archivo ejecutable a
su ubicación original en un endpoint.
193
194 GUÍA DEL ADMINISTRADOR DE TRAPS | Protección contra exploits
© 2017 Palo Alto Networks, Inc.
Reglas de protección de exploits
Una regla de protección contra exploits utiliza módulos de protección contra exploits (EPM) para proteger
los procesos de su organización contra técnicas de exploit específicas. Un EPM es un módulo de código que
usted activa para uno o más procesos, a fin de evitar ataques en vulnerabilidades de programa relacionadas
con un daño de la memoria o fallos lógicos.
La política de seguridad predeterminada contiene un conjunto preconfigurado de reglas de protección
contra exploits que se activan para los procesos protegidos utilizados con frecuencia. Para proteger los
procesos y aplicaciones adicionales que son importantes para su organización, puede añadirlos a la lista de
procesos protegidos o provisionales, y luego configurar reglas de protección contra exploits adicionales. Por
ejemplo, para proteger dos procesos que su organización utilice (por ejemplo, ProcessA.exe y ProcessB.exe)
contra un tipo específico de ataque de daño de la memoria denominado return oriented programming
(ROP), puede añadir los procesos a la lista de procesos protegidos y luego crear una regla de protección
contra exploit que active el EPM de mitigación de ROP. Cuando un usuario abre un archivo o URL, el agente
de Traps inyecta el código en el proceso o procesos relacionados con la apertura del archivo y activa el
EPM. Si el archivo contiene código designado para las API de exploit utilizadas en cadenas ROP, Traps
bloquea el ataque de daño a la memoria. Cuando un evento de seguridad activa una prevención, el agente
de Traps también toma una instantánea de la memoria para la posterior investigación forense.
El agente de Traps recupera periódicamente la política de seguridad más reciente desde el servidor ESM. La
política de seguridad determina qué procesos protege Traps y el tipo de EPM que Traps activa para proteger
los procesos.
Encontrará un resumen de las reglas de prevención de exploits en la página Policies (Políticas) > Exploit >
Protection Modules (Módulos de protección). La selección de una regla en la página muestra información
adicional acerca de la regla y otras acciones que se pueden tomar con respecto a la regla (Delete [Eliminar],
Activate [Activar]/Deactivate [Desactivar] o Edit [Editar]).
Consulte al soporte de Palo Alto Networks antes de hacer ningún cambio en los EPM en las
reglas de políticas de seguridad.
DEP Protección Prevención de ejecución de datos (DEP). Evita que las áreas de
de aplicación memoria que contienen datos se ejecuten como código ejecutable.
Protección Protección Evita ataques de secuestro de DLL en los que el atacante intenta
contra de aplicación cargar DLL de localizaciones no seguras para obtener el control de un
secuestro de proceso.
DLL
Protección para Protección Protege contra la técnica de fingerprinting usada por kits de
la identificación de aplicación vulnerabilidades de navegadores para identificar información, como
de Exploit kits puede ser el SO o las aplicaciones que se ejecutan en el endpoint,
que los atacantes pueden usar para aprovechar un ataque o evadir las
capacidades de protección.
Protección de Protección Evita el uso de funciones del sistema para evitar la DEP y la selección
parches activos de aplicación aleatoria del diseño del espacio de direcciones (Address Space Layout
Randomization, ASLR).
Mitigación de Protección Evita que un atacante omita las mitigaciones de memoria del sistema
JIT de aplicación operativo utilizando motores de compilación just-in-time (JIT). En el
modo ninja, también puede configurar enlaces avanzados y listas de
permitidos para este módulo.
Protección Protección Evita que un atacante use información privilegiada de otro proceso
contra escalado del kernel con mayores privilegios para ejecutar un proceso con permisos del
de privilegios en sistema.
el kernel
Asignación Protección Aplica la reubicación de módulos específicos que suelen utilizar los
previa de de aplicación intentos de exploit.
biblioteca
Protección de Protección Evita que el código malicioso mapee la dirección cero en el espacio
desreferencia de aplicación de memoria, haciendo que no se puedan atacar las vulnerabilidades
nula de desreferencia nula.
Asignación Protección Reserva y protege ciertas áreas de memoria de uso común para
previa de código de aplicación cargas útiles utilizando técnicas de heap spray.
shell
Protección Protección Evita ataques de Dylib-Hijacking en los que el atacante intenta cargar
contra Dylib- de aplicación bibliotecas dinámicas desde ubicaciones no seguras para obtener el
Hijacking control de un proceso.
Mitigación de Protección Evita que un atacante omita las mitigaciones de memoria del sistema
JIT de aplicación operativo utilizando motores de compilación just-in-time (JIT). En el
modo ninja, también puede configurar enlaces avanzados y listas de
permitidos para este módulo.
Protección Protección Evita que un atacante use información privilegiada de otro proceso
contra escalado del kernel con mayores privilegios para ejecutar un proceso con permisos del
de privilegios en sistema.
el kernel
Al igual que con otros tipos de reglas, usted puede reducir el alcance de una regla de protección contra
exploit al especificar Objetos de destino y Condiciones que deben satisfacerse para que se aplique la regla.
Un objeto de destino puede ser cualquier usuario, grupo, unidad de una organización o equipo que aparezca
en Active Directory o cualquier endpoint existente en el cual se ha instalado el agente de Traps. Una
condición puede hacer referencia a un archivo específico, la versión o intervalo de versiones del archivo, o
una ruta de registro que debe existir en el endpoint.
Los EMP adicionales y ajustes avanzados están ocultos y solo se puede acceder a ellos en el modo ninja .
Para configurar estos EPM y ajustes, deberá introducir una contraseña administrativa.
STEP 3 | Desde el menú acción , seleccione Add (Añadir) para añadir una nueva regla que se aplique
al sistema operativo que seleccionó anteriormente.
Al cambiar las definiciones de EPM cambia el orden en el que las reglas se evalúan y
esto puede afectar el nivel de protección (consulte Aplicación de las políticas). Para no
comprometer la seguridad de su organización, consulte al equipo de soporte de Palo
Alto Networks.
STEP 7 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
STEP 8 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
Para evitar la exposición de forma innecesaria de su organización a los ataques, cree reglas
de exclusión solo cuando sea necesario.
También puede crear reglas de exclusión desde cero si añade Objects (Objetos) a la sección Excluir de la
regla (consulte Crear una regla de protección contra exploits).
STEP 3 | Haga clic en Create rule (Crear regla) para poblar la regla con detalles relacionados con el
EPM y el endpoint específicos. Esta función solo está disponible para reglas de prevención de
exploits.
1. Revise los detalles en las pestañas Processes (Procesos), Conditions (Condiciones), Objects (Objetos)
y Name (Nombre).
2. De forma predeterminada la regla de exclusión solo se aplica al endpoint en el que tuvo lugar el
evento de seguridad. Si desea excluir múltiples objetos o endpoints de la regla, añádalos a la sección
Excluir en la pestaña Objects (Objetos).
3. Seleccione Apply (Aplicar) para aplicar la regla inmediatamente o Save (Guardar) para guardar la regla
y activarla más adelante.
STEP 4 | Verifique que la regla de exclusión permita la ejecución del proceso en el endpoint.
1. Abra la consola de Traps.
2. Seleccione Check-in now (Registrar ahora) para obtener la política de seguridad más reciente.
3. Seleccione Advanced (Avanzado) > Policy (Política) y verifique que aparece la regla.
4. Inicie la aplicación en el endpoint para verificar que el usuario pueda ejecutar el proceso
correctamente.
203
204 GUÍA DEL ADMINISTRADOR DE TRAPS | Administración de endpoints
© 2017 Palo Alto Networks, Inc.
Administrar reglas de acción de Traps
Use reglas de acción para realizar acciones de una vez en el agente de Traps que se ejecuta en cada
endpoint.
• Reglas de acción de Traps
• Añadir una nueva regla de acción
• Gestionar datos recopilados por Traps
• Desinstalar o actualizar Traps en el endpoint
Gestionar archivos Cada endpoint almacena información de prevención y seguridad que incluye
de datos que crea el datos históricos, volcados de memoria y archivos en cuarentena. Utilizando
agente de Traps este tipo de acción, se pueden borrar u obtener archivos de datos que el
agente de Traps crea en el endpoint. Para obtener más información, consulte
Gestionar datos recopilados por Traps.
Desinstalar o actualizar Cree una regla de acción para desinstalar o actualizar Traps desde Endpoint
el software Traps Security Manager. Para actualizar el software Traps en un endpoint, cargue
el archivo ZIP de software en el servidor ESM y especifique la ruta cuando
configure la regla de acción. Para obtener más información, consulte
Desinstalar o actualizar Traps en el endpoint.
Traps no aplica reglas de acción hasta que el agente recibe la política de seguridad
actualizada, generalmente con la siguiente comunicación heartbeat con el servidor. Para
recuperar manualmente la política de seguridad más reciente del servidor ESM, seleccione
Check-in now (Registrar ahora) en la consola de Traps.
Puede crear o editar reglas de acción en el resumen Actions (Acciones) y la página de administración
[Settings (Ajustes) > Agent (Agente) > Actions (Acciones)]. La selección de una regla muestra información
adicional acerca de la regla y otras acciones que se pueden aplicar con la regla [Duplicate (Duplicar),
Delete (Eliminar) o Activate (Activar)/Deactivate (Desactivar)]. Para obtener más información, consulte
Administrar reglas de acción de Traps.
STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir una
condición a la lista de condiciones, consulte Definir condiciones de activación para una regla.
STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Configure las tareas que desea que se realicen en los datos de Traps almacenados en los
endpoints.
Seleccione Agent Data (Datos de agentes) y luego seleccione cualquiera de las siguientes opciones para
gestionar los datos del agente de Traps.
• Clear history (Borrar historial): cada endpoint guarda un historial de los eventos de prevención de
seguridad. Seleccione esta opción para borrar los archivos de datos históricos de la consola de Traps.
• Erase memory dumps (Eliminar volcados de memoria): los volcados de memoria son registros de los
contenidos de la memoria del sistema cuando se produce un evento de prevención. Seleccione esta
opción para borrar los registros de la memoria del sistema en los objetos de destino.
• Erase quarantined files (Eliminar archivos en cuarentena): cuando se produce un evento de seguridad
en un endpoint, Traps captura volcados de memoria y archivos recientes asociados con el evento y
los almacena (coloca en cuarentena) en la carpeta forense del endpoint. Seleccione esta opción para
borrar los archivos asociados con el evento de seguridad de los objetos de destino.
• Retrieve collected data from the agent (Recuperar datos recopilados de los agentes): Traps recopila
el historial de eventos de seguridad, volcados de memoria y otras informaciones asociadas con un
evento de seguridad. Seleccione esta opción para recopilar toda la información guardada de todos
los eventos ocurridos en el endpoint. Tras ejecutar esta regla, los agentes de Traps envían todos
los datos relacionados con el evento de prevención, incluido un volcado de memoria del proceso
protegido, a la carpeta forense designada.
• Retrieve collected logs from the agent (Recuperar logs recopilados de los agentes):Traps recopila logs
detallados de rastros de las aplicaciones y guarda información acerca de los procesos y aplicaciones
que se ejecutan en el endpoint. Utilice el archivo de logs para depurar un problema con una aplicación
o investigar un problema específico capturado en el log. La selección de esta opción crea una regla de
acción que recupera toda la información de rastros de aplicación para un endpoint. Tras ejecutarse
esta regla, el agente de Traps envía todos los logs a la carpeta forense.
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir una
condición a la lista de condiciones, consulte Definir condiciones de activación para una regla.
STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Defina las tareas que desea que se realicen en el agente de Traps en los endpoints.
1. Seleccione Agent Installation (Instalación de agentes) y luego seleccione Uninstall (Desinstalar)
para desinstalar el software de Traps o Upgrade from path (Actualizar desde ruta) para buscar y
seleccionar el archivo de instalación que debe usarse para actualizar el software de Traps.
2. Introduzca la Uninstall Password (Contraseña de desinstalación).
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de acción. Por
defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
Logging de eventos) Configure una un tamaño de cuota para los logs del endpoint Para obtener
más información, consulte Definir las preferencias de logging de eventos.
Ajustes de Heartbeat Determine la frecuencia con la que el agente de Traps envía un mensaje
heartbeat al servidor ESM. La frecuencia óptima se determina según el
número de endpoints de la organización y la carga típica de red. Para obtener
más información, consulte Definir ajustes de heartbeat entre el agente y el
servidor ESM.
Administración de Configure los agentes Traps para recopilar nuevos procesos de los endpoints.
procesos Cuando esta opción está habilitada, Traps informa al servidor ESM cada nuevo
proceso que se ejecuta en un endpoint. Puede ver los procesos en la vista
de Administración de procesos de la consola ESM y decidir si crear reglas
de seguridad relacionadas con los procesos. Para obtener más información,
consulte Recopilar información de nuevos procesos.
Alertas de usuario Personalice los ajustes generales para todas las alertas de usuario, incluida la
imagen para mostrar y pie de página. También puede configurar el título que
aparece en las alertas de usuario en relación con los módulos de protección,
restricciones y archivos desconocidos. Para obtener más información,
consulte Crear un mensaje de alerta de usuario personalizado.
Protección de servicio ((Solo Windows) Evita los intentos de deshabilitar o hacer cambios en los
valores de registro y archivos de Traps. Cuando esta opción está habilitada,
(ESM 4.0.0 y ESM
los usuarios no pueden manipular los componentes de Traps. Para obtener
4.0.1)
más información, consulte Gestionar la protección contra la manipulación de
agentes.
Protección contra (Solo Windows) Proporciona un control granular de los ajustes de protección
la manipulación de del servicio. Evita los intentos de deshabilitar o hacer cambios en los procesos,
agentes servicios, valores y claves de registro y archivos de Traps. Cuando está
habilitado, los usuarios no pueden manipular o modificar los componentes
(ESM 4.0.2)
de Traps para los cuales ha activado la protección contra manipulación.
Para obtener más información, consulte Gestionar la protección contra la
manipulación de agentes.
Seguridad de agentes (Solo Windows) Por defecto, los usuarios y administradores deben introducir
una contraseña para desinstalar la aplicación de Traps. Utilice esta opción
para cambiar la contraseña. Para obtener más información, consulte Cambiar
la contraseña de desinstalación.
Traps no aplica reglas de ajustes de agentes hasta que el agente de Traps recibe la política
de seguridad actualizada, generalmente con la siguiente comunicación heartbeat con el
servidor. Para recuperar manualmente la política de seguridad más reciente del servidor
ESM, seleccione Check-in now (Registrar ahora) en la consola de Traps.
Seleccione una regla en la página de ajustes para mostrar información adicional acerca de la regla y otras
acciones que se pueden aplicar para gestionar la regla [Delete (Eliminar), Activate (Activar)/Deactivate
(Desactivar) o Edit (Editar)]. Para obtener más información, consulte Administrar las reglas de ajustes de
agentes.
STEP 2 | Seleccione el tipo de sistema operativo (Windows o macOS) y a continuación seleccione Add
(Añadir) una nueva regla.
STEP 3 | Seleccione el tipo de ajuste que desea cambiar y configure sus preferencias.
Seleccione uno de los siguientes y configure los ajustes según el tipo de preferencia:
STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
Puede crear una regla de ajustes de agentes para cambiar la accesibilidad de la consola y especificar si se
ocultan o no las notificaciones del usuario.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 2 | Defina los ajustes de comunicación entre el agente de Traps y el servidor ESM.
Seleccione Communication Settings (Ajustes de comunicación) y luego seleccione una o más de las
siguientes opciones:
• Set Agent-WildFire Process Verdict Timeout (Establecer tiempo de espera para proceso de veredicto
de Agent-WildFire): especifique la cantidad de tiempo (en segundos) que Traps esperará que el
servidor ESM responda a una solicitud de veredicto (el valor por defecto es 10). Después de que
finaliza el periodo de tiempo de espera, Traps asigna al proceso el veredicto No Connection (Sin
conexión). Traps intentará restablecer la comunicación únicamente si un usuario hace clic en Check-
In Now (Registrar ahora) en la consola de Traps o si Traps necesita consultar al servidor ESM por
veredictos de hash desconocidos.
Si sus endpoints con frecuencia pierden la conexión con el servidor, considere aumentar
el valor del tiempo de espera.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 7 | Periódicamente, revise la lista de procesos no protegidos y evalúe si debe añadirlos a las reglas
de seguridad existentes o si debe crear nuevas reglas para protegerlos.
1. Seleccione Policies (Políticas) > Exploit > Process Management (Administración de procesos).
2. Filtre u ordene la tabla según el tipo de protección Unprotected (No protegido).
3. Revise cada proceso y decida si cambiará el tipo de protección.
• Cambie el tipo de protección a Provisional, si desea usar el proceso en una regla de seguridad
ejecutada como prueba.
• Cambie el tipo de protección a Protected (Protegido) para aprovechar las reglas existentes que se
aplican a todos los procesos. Consulte Ver, modificar o borrar un proceso on page 144. También
puede añadir el proceso a las reglas que se aplican a procesos específicos, según fuera necesario.
STEP 3 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 4 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de ajustes de
agentes. Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Units
(Unidades de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
Traps muestra mensajes de prevención y notificación cuando un archivo o proceso incumple una política de
seguridad y el comportamiento de terminación se configura para bloquear el archivo y notificar al usuario o
crear un log del problema y notificar al usuario. Use una regla de configuración de ajustes para personalizar
los ajustes generales para todas las alertas de usuario, incluida la imagen para mostrar y pie de página.
También puede configurar el título que aparece en las alertas de usuario en relación con los módulos de
protección, restricciones o archivos desconocidos.
STEP 2 | (Opcional) Personalice el icono y el pie de página utilizado para todos los mensajes de alerta de
usuario.
1. Seleccione User Alerts (Alertas de usuario) y luego seleccione General Settings (icon and footer)
[Configuración general (icono y el pie de página)].
2. Personalice una de las opciones siguientes o ambas:
• Icon (Icono): para seleccionar una imagen que aparecerá en lugar del icono de Traps en los
mensajes de alerta de usuario, seleccione Browse (Examinar) para buscar y luego Cargar una
STEP 3 | (Opcional) Personalice el texto del título para las alertas de usuario.
1. En la lista desplegable User Alert Window (Ventana de alerta de usuario), seleccione el tipo de alerta
de usuario:
• Protection Modules (Módulos de protección): una alerta de usuario que Traps muestra cuando
activa un módulo de protección contra exploits o malware para proteger un proceso o bloquear
una conducta sospechosa.
• Execution Restrictions (Restricciones de ejecución): alerta de usuario que Traps muestra cuando
un usuario abre un archivo ejecutable desde una ubicación que está limitada por una regla de
restricción.
• WildFire Unknowns-Terminate (Archivos desconocidos de WildFire-Finalizar)(Traps 4.0.2 y
versiones anteriores): alerta de usuario que Traps muestra cuando un usuario abre un archivo
ejecutable y el comportamiento de WildFire para archivos desconocidos se configura para finalizar
el proceso.
2. Introduzca el texto del título para mostrar en el tipo de alerta de usuario específico.
3. Seleccione la acción desencadenante: Prevention Mode (Modo de prevención) o Notification Mode
(Modo de notificación).
STEP 4 | (Opcional) Añada Condiciones a la regla. Por defecto, una regla nueva no contiene ninguna
condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows.
STEP 5 | (Opcional) Defina los Objetos de destino a los que se debe aplicar la regla de ajustes de agentes.
Por defecto, una regla nueva se aplica a todos los objetos de su organización.
Para definir un subconjunto de objetos de destino, seleccione la pestaña Objects (Objetos) e introduzca
uno o más Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit
(Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include (Incluir) o
Exclude (Excluir). El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 1 | En la consola ESM, seleccione Monitor (Supervisar) > Agent (Agente) > Health (Estado).
STEP 2 | En la tabla de estado del agente, seleccione la casilla de verificación de uno o varios endpoints
que desee eliminar.
Para encontrar rápidamente un endpoint, utilice los controles de filtro de la parte superior
de las columnas.
227
228 GUÍA DEL ADMINISTRADOR DE TRAPS | Datos forenses
© 2017 Palo Alto Networks, Inc.
Descripción general de datos forenses
• Flujo de datos forenses on page 229
• Tipos de datos forenses on page 230
Archivos accedidos Archivos que se cargan en la memoria bajo el proceso atacado para la
inspección detallada del evento, incluidos los siguientes:
• Obtención de DLL relevantes, incluida su ruta.
• Archivos relevantes de la carpeta de archivos temporales de Internet.
URI accedido Recursos de red a los que se ha accedido en el momento del evento de
seguridad e información del identificador de recursos uniforme (uniform
resource identifier, URI).
El agente de Traps puede recopilar URI a los que se accedió desde los
navegadores Internet Explorer y Firefox únicamente. Cuando un evento tiene
lugar y este está relacionado con otros navegadores (por ejemplo, Microsoft
Edge), no será posible acceder los datos de URI para un análisis más detallado.
La información recopilada incluye:
• Los URI, incluidos enlaces ocultos y tramas de los subprocesos atacados
relevantes.
• Los URI fuente de applets de Java, nombres y rutas de archivos, incluidos
procesos padre, padre primario e hijo.
• La recopilación de llamadas de URI de complementos del navegador,
reproductores multimedia y software de clientes de correo
Para personalizar qué tipos de archivos se recopilan, Crear una regla forense on page 235.
Reglas forenses
Las reglas forenses le permiten obtener datos forenses capturados por Traps desde una localización central.
En la página Policies (Políticas) > Forensics (Datos forenses) > Management (Administración), puede crear
reglas para administrar los siguientes ajustes forenses:
Ajustes de volcado de Especifique los ajustes de volcado, incluido el tamaño para el volcado
memoria de memoria y habilite Traps para el envío automático del volcado
de memoria al servidor. Esta configuración solo se aplica a los datos
recopilados de los eventos de prevención relacionados con los procesos
protegidos. Para obtener más información, consulte Definición de las
preferencias del volcado de memoria on page 236.
Recopilación forense Habilite Traps para la recopilación de datos forenses de cada evento de
seguridad, incluidos los archivos a los que se ha accedido, los módulos
cargados en la memoria, los URI a los que se ha accedido y los procesos
antecesores del proceso que han activado el evento de seguridad. Para
obtener más información, consulte Definición de las preferencias de
recopilaciones forenses on page 237.
STEP 2 | En el área de configuración del servidor, introduzca la URL basada en la web en el campo
Forensic Folder URL (URL de la carpeta forense) a fin de utilizar BITS para cargar los datos
forenses.
Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio totalmente
cualificado (fully qualified domain name, FQDN) y especifique el puerto 443, por ejemplo,
HTTPS://ESMserver.Domain.local:443/BitsUploads. Si no está utilizando SSL,
especifique el puerto 80, por ejemplo http://ESMSERVER:80/BitsUploads.
C:\Users\Administrator> cd
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server
Para cifrar los datos forenses, recomendamos que utilice SSL para comunicarse
con la carpeta forense. Para utilizar SSL, incluya el nombre de dominio totalmente
cualificado (fully qualified domain name, FQDN) y especifique el puerto 443, por ejemplo,
HTTPS://ESMserver.Domain.local:443/BitsUploads. Si no está utilizando SSL,
especifique el puerto 80, por ejemplo http://ESMSERVER:80/BitsUploads.
STEP 5 | (Opcional) Para verificar la ruta de la carpeta forense, ejecute el comando dbconfig server
show:
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 2 | Defina las preferencias del volcado de memoria cuando se produzca un evento de prevención
en el endpoint.
1. Seleccione Memory Dump (Volcado de memoria) y luego seleccione cualquiera de las siguientes
preferencias:
• Envíe automáticamente los volcados de memoria al servidor seleccionando Send the memory
dumps automatically (Enviar automáticamente volcados de memoria).
• Especifique el tamaño del volcado de memoria seleccionando la opción Memory dump size
(Tamaño de volcado de memoria) y, a continuación, seleccionando Small (Pequeño), Medium
(Mediano), o Full (Completo) en la lista desplegable.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla de restricción.
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 3 | (Opcional) Añada Condiciones on page 127 a la regla. Por defecto, una regla nueva no contiene
ninguna condición.
Para especificar una condición, seleccione la pestaña Conditions (Condiciones), seleccione la condición
en la lista de condiciones y luego seleccione Add (Añadir) para añadirla a la lista de condiciones
seleccionadas. Repita este paso para añadir más condiciones según fuera necesario. Para añadir
una condición a la lista de condiciones, consulte Definir condiciones de activación para una regla en
endpoints de Windows on page 128.
STEP 4 | (Opcional) Defina los Objetos de destino on page 131 a los que se aplica la regla forense. Por
defecto, una regla nueva se aplica a todos los objetos de su organización. Para definir un
subconjunto más pequeño de objetos de destino,
Para definir un subconjunto más pequeño de objetos de destino, seleccione la pestaña Objects (Objetos)
e introduzca uno o más Users (Usuarios), Computers (Equipos), Groups (Grupos), Organizational
Unit (Unidad de la organización) o Existing Endpoints (Endpoints existentes) en las áreas Include
o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
Para crear una regla general y obtener datos desde un endpoint o más, consulte Gestionar datos recopilados
por Traps on page 206.
STEP 1 | En la consola ESM, seleccione Security Events (Eventos de seguridad) > Threats (Amenazas)
para visualizar eventos de seguridad relacionados con procesos protegidos, o Monitor
(Supervisar) > Provisional Mode (Modo provisional) para visualizar eventos de seguridad
relacionados con procesos provisionales.
STEP 2 | Seleccione el evento de seguridad para el que desea obtener datos. El evento se expande para
mostrar detalles y acciones adicionales en relación con el evento de seguridad.
STEP 3 | Haga clic en Retrieve Data (Recuperar datos). La consola ESM rellena los ajustes para una regla
de configuración de agentes.
STEP 4 | Revise los detalles de la regla y haga clic en Apply (Aplicar) para activar la regla inmediatamente
o Save (Guardar) para activar la regla más tarde. En la siguiente comunicación de heartbeat
con el servidor ESM, el agente de Traps recibe la nueva regla y envía datos de prevención a la
carpeta forense.
STEP 5 | Para ver el estado de la carga forense, seleccione Monitor (Supervisar) > Data Retrieval
(Recuperación de datos).
STEP 6 | Una vez completada la carga, haga clic en Download (Descargar) para guardar los datos de
prevención a nivel local o navegar hasta la carpeta forense. Si ya no necesita los datos de
STEP 2 | Configure uno o más parámetros de búsqueda para la consulta. Cuando se especifiquen varios
parámetros de búsqueda, Traps devolverá un resultado si la búsqueda coincide con alguno de
los parámetros.
1. Seleccione los parámetros de búsqueda, ya sea File name (Nombre de archivo), Folder name
(Nombre de carpeta) o Registry Key (Clave de registro).
2. Introduzca el valor de búsqueda de coincidencia y luego haga clic en Add (Añadir).
O bien, puede usar comodines en la última parte de la ruta del nombre de archivo o
carpeta, por ejemplo: C:\Temp\*.txt
3. Repita según fuera necesario para introducir varios criterios de búsqueda.
STEP 4 | (Opcional) Defina los objetos de destino a los que se aplica la consulta. Por defecto, el servidor
ESM aplica la consulta a todos los endpoints de la organización.
Al igual que las condiciones, los objetos de destino pueden reducir el alcance de una consulta al apuntar
a Users (Usuarios), Computers (Ordenadores), Groups (Grupos), Organizational Unit (Unidad de la
organización) o Existing Endpoints (Endpoints existentes) específicos.
Seleccione la pestaña Objects (Objetos) y luego introduzca uno o más objetos de destino en las áreas
Include o Exclude. El Endpoint Security Manager consulta a Active Directory para verificar los usuarios,
ordenadores, grupos o unidades de la organización, o identifica los endpoints existentes de los mensajes
de comunicación anteriores.
STEP 1 | En la página Policies (Políticas) > Forensics (Datos forenses) > Agent Query (Consulta a
agente), seleccione la fila para la consulta aplicada. La fila se expande para mostrar información
adicional sobre la consulta e incluye las coincidencias para la consulta en la sección Agent
Query, Found matches (Consulta a agente, Coincidencias encontradas).
STEP 2 | (Opcional) Para ver la información detallada sobre la coincidencia, haga clic en Details (Detalles).
STEP 3 | (Opcional) Para visualizar el texto completo, desplace el puntero del ratón por el campo Result
(Resultado) o Metadata (Metadatos).
STEP 4 | (Opcional) Para guardar los resultados en un archivo delimitado por comas (CSV) que pueda
analizar, haga clic en el menú de acción en la parte superior de la página y seleccione
Export Logs (Exportar logs).
STEP 5 | (Opcional) Existen tareas adicionales que puede realizar después de revisar los resultados de la
consulta:
• Solucionar cualquier problema con archivos maliciosos en el endpoint.
• Duplicate (Duplicar) la consulta, realizar cambios según fuera necesario y seleccione Apply (Aplicar
para ejecutarla nuevamente.
• Delete (Eliminar) la consulta y los resultados de la consola ESM.
245
246 GUÍA DEL ADMINISTRADOR DE TRAPS | Informes y logs
© 2017 Palo Alto Networks, Inc.
Tipos de log de eventos
La consola ESM muestra información sobre eventos que se producen en los componentes de Traps en las
páginas Logs y Security Events (Eventos de seguridad). Los eventos pueden incluir eventos de seguridad,
cambios de política, cambios del estado del agente y el servidor ESM, y cambios en los ajustes. Cuando
usted habilita el envío de logs a un SIEM o dispositivo syslog, o a un correo electrónico, puede personalizar
el tipo de eventos que envía la consola ESM. Los eventos están agrupados en las siguientes categorías
según el tipo de evento:
• Eventos de seguridad on page 247
• Políticas - General on page 248
• Políticas - Reglas on page 249
• Políticas: Gestión de procesos on page 249
• Políticas: Ajustes de restricción on page 249
• Políticas - Controles de hash on page 250
• Supervisar - Agente on page 251
• Supervisión de ESM on page 255
• Ajustes: Administración on page 256
• Ajustes - Agente on page 257
• Ajustes - ESM on page 258
• Ajustes: Condiciones on page 258
• Ajustes - Licencias on page 259
Eventos de seguridad
La tabla siguiente muestra los logs de eventos de seguridad que puede enviar a una plataforma de logging
externa o correo electrónico.
Políticas - General
La tabla siguiente muestra los logs de política general que puede enviar a una plataforma de logging externa
o correo electrónico.
Políticas - Reglas
La tabla siguiente muestra los logs de reglas de políticas que puede enviar a una plataforma de logging
externa o correo electrónico.
Regla añadida/editada Un administrador añadió una nueva regla o editó una regla existente.
• CEF—RuleEdited
• LEEF—RuleEdited
• Syslog—RuleEdited
• Email—RuleEdited
Hashes importados Un administrador importó uno o más hashes en el caché del servidor.
• CEF—HashesImport
• LEEF—HashesImport
• Syslog—HashesImport
• Email—HashesImport
Supervisar - Agente
La tabla siguiente muestra los logs de agente que puede enviar a una plataforma de logging externa o correo
electrónico.
Error al iniciar el Fallo de inicio del servicio de generación de informes del agente.
servicio de generación
• CEF—ReportingServiceStartFailed
de informes del agente
• LEEF—ReportingServiceStartFailed
• Syslog—ReportingServiceStartFailed
• Email—ReportingServiceStartFailed
Error de extracción de El archivo que el análisis local intentó examinar estaba dañado y no se pudo
la función de análisis examinar con el análisis local. Cuando esto ocurre, Traps identifica el archivo
local como malware hasta que recibe un veredicto (ya sea de WildFire o de la
política administrativa de control de hash).
• CEF—LocalAnalysisFeatureExtractionFailed
• LEEF—LocalAnalysisFeatureExtractionFailed
• Syslog—LocalAnalysisFeatureExtractionFailed
• Email—LocalAnalysisFeatureExtractionFailed
Modelo de análisis local El modelo de análisis local faltaba en el endpoint y por lo tanto se desactivo.
no disponible
• CEF—LocalAnalysisModelUnavailable
• LEEF—LocalAnalysisModelUnavailable
• Syslog—LocalAnalysisModelUnavailable
• Email—LocalAnalysisModelUnavailable
Módulo de análisis local El modelo de análisis local analizó correctamente un archivo ejecutable
correcto desconocido y emitió un veredicto.
• CEF—LocalAnalysisModuleSucceeded
• LEEF—LocalAnalysisModuleSucceeded
• Syslog—LocalAnalysisModuleSucceeded
• Email—LocalAnalysisModuleSucceeded
Fallo del módulo de El modelo de análisis local no pudo realizar un análisis de un archivo
análisis local ejecutable desconocido y emitió un veredicto.
• CEF—LocalAnalysisModuleFailed
• LEEF—LocalAnalysisModuleFailed
• Syslog—LocalAnalysisModuleFailed
• Email—LocalAnalysisModuleFailed
Se ha cambiado el La decisión local de un firmante fiable acerca del agente ha cambiado. Esto
firmante fiable se debe a un cambio en el almacén local de certificados en el endpoint, una
actualización de contenido que incluye cambios en una lista de firmantes de
confianza o una actualización manual de una lista de firmantes de confianza.
• CEF—PublisherChanged
• LEEF—PublisherChanged
• Syslog—PublisherChanged
• Email—PublisherChanged
Supervisión de ESM
La tabla siguiente muestra los logs de ESM que puede enviar a una plataforma de logging externa o correo
electrónico.
Estado del archivo de El estado del archivo de asistencia técnica de ESM se ha modificado.
asistencia técnica
• CEF—TechSupportFileStatus
• LEEF—TechSupportFileStatus
• Syslog—TechSupportFileStatus
• Email—TechSupportFileStatus
Comprobación de Un evento de comunicación proxy ocurrió entre los componentes del ESM y
comunicación con el servidor proxy. Los eventos de comunicación proxy pueden interrumpir la
proxy comunicación con WildFire.
• CEF—CommunicationsCheckWithProxy
Ajustes: Administración
La tabla siguiente muestra los logs de administración que puede enviar a una plataforma de logging externa
o correo electrónico.
Ajustes - Agente
La tabla siguiente muestra los logs de ajustes de agente que puede enviar a una plataforma de logging
externa o correo electrónico.
Acción de una vez de Un agente finalizó la ejecución de una regla de acción en un endpoint.
agente completada
• CEF—OneTimeActionComplete
• LEEF—OneTimeActionComplete
• Syslog—OneTimeActionComplete
• Email—OneTimeActionComplete
Ajustes - ESM
La tabla siguiente muestra los logs de ajustes de ESM que puede enviar a una plataforma de logging externa
o correo electrónico.
Ajustes: Condiciones
La tabla siguiente muestra los logs de gestión de condiciones que puede enviar a una plataforma de logging
externa o correo electrónico.
Ajustes - Licencias
La tabla siguiente muestra los logs de gestión de licencias que puede enviar a una plataforma de logging
externa o correo electrónico.
Nombre Significado
Por ejemplo, considere el resultado de un evento de Agent Service Start (Inicio del servicio del agente) en
formato CEF:
Observe que este evento utiliza varias variables comunes, en particular: dhost, duser y msg.
Nombre Significado
Observe que este evento utiliza varias variables comunes, en particular: shost, suser y msg.
Nombre Significado
Por ejemplo, considere el resultado de un evento de Hash Added (Hash añadido) en formato CEF:
Observe que este evento utiliza varias variables comunes, en particular: shost, suser, fileHash, y msg.
Nombre Significado
Por ejemplo, observe el siguiente resultado de un evento Communication Check With Proxy (Prueba de
comunicación con el proxy) en formato CEF:
Nombre Significado
Por ejemplo, considere el resultado de un Prevention Event (Evento de prevención) en formato CEF:
Observe que este evento utiliza varias variables comunes, en particular: dhost, duser,
deviceProcessName, fileHash, dvc y msg.
STEP 2 | Configure los ajustes para el envío de logs desde los componentes ESM a una plataforma de
logging externa. Para enviar logs a una dirección de correo electrónico, consulte Enviar logs a
correo electrónico on page 314.
Configure los siguientes ajustes:
• Syslog Server (Servidor de Syslog): nombre de host o dirección IP de la plataforma de logging externa.
• Syslog Port (Puerto de Syslog): puerto de comunicación de la plataforma de logging externa (por
ejemplo, 514).
• Syslog Protocol (Protocolo de Syslog): el formato que utiliza la consola ESM para enviar informes
(CEF, LEEF o Syslog).
STEP 3 | Seleccione los eventos que desea enviar a la plataforma de logging externa.
En el área de Logging Events, seleccione uno o más eventos. Desplácese por la lista para ver tipos
adicionales de eventos que puede enviar.
C:\Users\Administrator> cd
C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server
STEP 4 | Habilite el reenvío de logs a una plataforma de logging externo como por ejemplo un servidor
syslog:
STEP 6 | Especifique el puerto de comunicación para la plataforma de logging externo, un valor entre 1 y
65535 (por defecto es 514):
STEP 7 | Especifique el protocolo que la consola de ESM usará para enviar informes, Cef, Leef, o
Rfc5424 (syslog).
STEP 8 | (Opcional) Introduzca un intervalo (en minutos) durante el cual el endpoint envía un mensaje de
conexión persistente al log o informe, un valor de 0 o superior (el valor por defecto es 0):
STEP 9 | (Opcional) Especifique el número máximo de notificaciones para almacenar en la base de datos,
un valor de 0 o superior (el valor por defecto es 4000):
Por ejemplo, la especificación de un recuento máximo de informes de 5000 notificaciones significa que
el Endpoint Security Manager desechará las notificaciones más antiguas superiores a 5000.
Formato CEF
La siguiente tabla enumera los eventos en formato CEF.
Formato LEEF
La siguiente tabla enumera los eventos en formato LEEF.
LocalAnalysisFeatureExtractionFailed
LEEF:1.0|Palo Alto Networks|Traps Agent|
@Model["ProductVersion"]|Local Analysis Extraction
Failed|cat=Agent subtype=Local Analysis Extraction
Failed devTimeFormat=MMM dd yyyy HH:mm:ss
VerdictChangeNoconnectionToAny
LEEF:1.0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Verdict Change No
Connection To Any|cat=Policy subtype=Verdict
Change No Connection To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash verdict
changed from No Connection. @Model["OldVerdict"] ->
@Model["NewVerdict"] sev=@Model.ExternalSeverity
VerdictChangeAwaitingAnalysisToAny
LEEF:1.0|Palo Alto Networks|Traps ESM|
@Model["ProductVersion"]|Verdict Change Awaiting
Analysis To Any|cat=Policy subtype=Verdict
Change Awaiting Analysis To Any devTimeFormat=MMM
dd yyyy HH:mm:ss devTime=@Model["Time"]
src=@Model["EsmIp"] shost=@Model["esmHost"]
suser=@Model["user"] fileHash=@Model["Hash"]
NewVerdict=@Model["NewVerdict"] msg=Hash
verdict changed from Awaiting Analysis.
@Model["OldVerdict"] -> @Model["NewVerdict"]
sev=@Model.ExternalSeverity
LocalAnalysisFeatureExtractionFailed
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
Agent,@Model["ProductVersion"],Agent,Local
Analysis Extraction
Failed,@Model["host"],@Model["user"],Local
Analysis Feature Extraction
Failed,@Model.ExternalSeverity,,@Model["ContentVersion"],,,,
VerdictChangeNoconnectionToAny
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Change No Connection To
Any,@Model["esmHost"],@Model["user"],Hash verdict
changed from No Connection. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M
VerdictChangeAwaitingAnalysisToAny
<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],Policy,Verdict
Change Awaiting Analysis To
Any,@Model["esmHost"],@Model["user"],Hash
verdict changed from Awaiting
Analysis. @Model["OldVerdict"] ->
@Model["NewVerdict"],@Model.ExternalSeverity,@Model["Hash"],,@M
WfCommunicationsStatusChanged<134>1 @Model["Rfc5424Time"]
@Model["EsmIp"] - - - @Model["Time"],Traps
ESM,@Model["ProductVersion"],System,WildFire
Communications Status
Changed,@Model["esmHost"],@Model["user"],,,WildFire
communications status changed on
host '@Model["host"]'. Status:
'@Model["message"],@Model.ExternalSeverity,,,,,
Puesto que un dispositivo virtual Panorama en modo Legacy no puede ingerir logs de Traps,
debe usar un dispositivo virtual Panorama en modo Panorama.
STEP 1 | Antes de comenzar: Si ha habilitado SSL para la comunicación segura de syslog entre Panorama
y los servidores ESM, debe Establecer la comunicación segura con Panorama.
STEP 2 | Para Configurar un recopilador de logs de Panorama para que reciba logs de ESM y Traps,
primero defina el perfil de ingestión de log en panorama:
1. Seleccione Panorama > Log Ingestion Profile (perfil de ingestión de log) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el perfil.
3. Seleccione Add (Añadir) un nuevo perfil e introduzca los detalles para el servidor ESM. Puede añadir
hasta 4 servidores ESM a un perfil.
4. Introduzca un Source Name (Nombre de origen).
5. Especifique el Port (Puerto) en el que Panorama escuchará los mensajes syslog. El intervalo es de
23.000 a 23.999.
6. Seleccione el protocolo de capa de transporte: TCP, UDP, o SSL.
7. Seleccione Traps_ESM para Tipo de log externo y 3.4.1+ de la lista desplegable de Version (Versión).
STEP 2 | Seleccione Monitor (Supervisar) > External Logs (Logs externos) > Traps ESM para ver los logs
ingeridos en Panorama.
STEP 3 | Para ver los eventos correlacionados que Panorama genera cuando un agente de Traps
y el cortafuegos han observado una actividad de comandos y control de uno o más hosts
infectados en una red, seleccione Monitor (Supervisar) > Automated Correlation Engine
(Motor de correlación automatizada) > Correlated Events (Eventos correlacionados).
Utilice el siguiente flujo de trabajo para configurar la consola ESM para enviar logs y eventos a una cuenta
de correo electrónico.
STEP 3 | Seleccione los eventos que desea enviar a una dirección de correo electrónico externa.
En el área de Logging Events, seleccione uno o más eventos. Desplácese por la lista para ver tipos
adicionales de eventos que puede enviar.
LocalAnalysisFeatureExtractionFailed
<html><body><p><div>Log Event:<strong>
Local Analysis Feature Extraction Failed</
strong></div><p></p><div>Description:<strong>
Local Analysis Feature Extraction
Failed</strong></div><div>Content
Version:<strong>@Model["ContentVersion"]</
strong></div><div>Hash:<strong>@Model["Hash"]</
strong></div><div>Model
Version:<strong>@Model["ContentVersion"]</strong></
div><div>Server Name:<strong>@Model["esmHost"],
@Model["EsmIp"]</strong></div><div>By
User:<strong>@Model["user"]</strong></
div><div>Product Version:<strong>
@Model["ProductVersion"]</strong></div></p></
body></html>
VerdictChangeNoconnectionToAny
<html><body><p><div>Log Event:<strong> Verdict
Changed - No connection to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from No connection</
strong></div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>
VerdictChangeAwaitingAnalysisToAny
<html><body><p><div>Log Event:<strong> Verdict
Changed - Awaiting Analysis to Any</strong></
div><p></p><div>Description:<strong> Hash
Verdict has Changed from Awaiting Analysis</
strong></div><div>Hash:<strong> @Model["Hash"]</
strong></div><div>Previous Verdict:<strong>
@Model["OldVerdict"]</strong></div><div>New
Verdict:<strong> @Model["NewVerdict"]</strong></
div></p></body></html>
WfCommunicationsStatusChanged<html><body><p><div>Log Event:<strong>
WildFire Communications Status Changed</
strong></div><p></p><div>Time:<strong>
@Model.Time (UTC)</strong></div><div>Server
Name:<strong> @Model["esmHost"], @Model["EsmIp"]</
strong></div><div>ESM Version:<strong>
@Model["ProductVersion"]</strong></
div><div>Status:<strong> @Model["message"]</
strong></div></p></body></html>
331
332 GUÍA DEL ADMINISTRADOR DE TRAPS | Solución de problemas
© 2017 Palo Alto Networks, Inc.
Recursos de solución de problemas de Traps
Para solucionar problemas de Traps y Endpoint Security Manager (lo que abarca el servidor ESM, la consola
ESM y una base de datos), utilice los siguientes recursos:
Recurso DESCRIPTION
Recursos de ESM
Consola ESM Interfaz web, que proporciona informes y logs. La información es útil para el
monitorizado y la filtración de logs e interpretar conductas inusuales en su
red. Tras analizar un evento de seguridad, puede crear una regla personalizada
para el endpoint o proceso.
Log DebugWeb del Indica información, advertencias y errores relacionados con Endpoint Security
servidor de ESM Manager. El log DebugWeb se encuentra en la carpeta %ProgramData%
\Cyvera\Logs del servidor ESM.
Log del servidor de Indica información, advertencias y errores relacionados con la base de datos
ESM de endpoints y el servidor ESM. El log del servidor se encuentra en la carpeta
%ProgramData%\Cyvera\Logs del servidor ESM.
Archivo de asistencia Agregación según petición de logs y ajustes de consola ESM y servidor ESM
técnica del ESM activos para ayudar al servicio de asistencia técnica a diagnosticar y solucionar
problemas. Para obtener más información, consulte Archivos de asistencia
técnica del ESM.
Recursos de Traps
Log de instalación de Especifica cualquier error que se encuentre durante la instalación de Traps
Traps o los componentes de ESM. Use este archivo de log cuando necesite
solucionar problemas de instalación. En los endpoints de Windows, el
instalador almacena los archivos de log en la carpeta %temp% o C:\Users
\<user_name>\AppData\Local\Temp.
ESM
Servidor CyveraServer.exe Servicio clave del servidor ESM que se comunica con los agentes y con
ESM WildFire.
Agente de autorizado El proceso de Traps que se comunica con WildFire para obtener los
Traps veredictos más recientes.
Agente de pmd El proceso de Traps que se comunica con el servidor ESM para
Traps obtener las políticas de seguridad más recientes.
Agente de kproc_ctrl Extensión de kernel que aplica la política e impide ataques contra la
Traps seguridad cuando hace falta.
Agente de CyveraConsole.exe Interfaz de usuario para la consola de Traps. Se inicia después de que
Traps el usuario inicie la consola desde la zona de notificaciones (bandeja del
sistema).
Agente de CyveraService.exe Servicio clave del agente de Traps que trabaja con Cyserver.exe para
Traps aplicar la política, comunicarse con el servidor y evitar ataques contra
la seguridad, según proceda.
Agente de Cyserver.exe Servicio clave del agente de Traps que trabaja con CyveraService.exe
Traps para aplicar la política, comunicarse con el servidor y evitar ataques
contra la seguridad, según proceda.
Agente de Cytray.exe Proceso de bandeja de Traps, permite al usuario hacer clic en el icono
Traps de bandeja y ejecutar la consola. Se ejecuta de forma continua en
segundo plano.
Agente de Tdawork.exe Procesos de trabajo del Analizador de volcado de Traps, uno por
Traps procesador. Estos procesos se ejecutan en segundo plano y deberían
ejecutarse de forma continua.
STEP 2 | Luego, Generate (Generar) para iniciar el proceso de recopilación. La consola ESM desactiva el
botón Generate [Generar] (de color gris) durante la generación de archivos.
STEP 3 | Actualice la página para comprobar el estado del archivo. Cuando el archivo está listo, la
consola ESM muestra la hora de creación del archivo y actualiza su tamaño en el enlace de
descarga. Si no logra generar el archivo en el tiempo de espera predeterminado (25 minutos), la
consola ESM emite un informe de fallo.
También puede supervisar los logs de la generación del archivo de asistencia técnica del ESM en la
página Monitor (Supervisar) > ESM > Logs. Aquí, puede filtrar Report Type (Tipo de informe) por Tech
Support File Status (Estado del archivo de asistencia técnica), o bien Message (Mensaje) por el ID de una
tarea concreta.
STEP 4 | Haga clic en Download (Descargar) para guardar el archivo y enviarlo al servicio de asistencia
técnica, si procede. Para ver el historial de todas las solicitudes de archivos de asistencia
técnica del ESM disponibles, vaya a la página Monitor (Supervisar) > Data Retrieval
(Recuperación de datos). Aquí puede descargar archivos anteriores o eliminarlos, si procede. Si
no se puede generar el archivo de asistencia técnica, se oculta el botón Download (Descargar)
y solo podrá pulsar Delete (Eliminar) para eliminar la solicitud.
Para aplicar un control de acceso basado en funciones, utilice la consola ESM para efectuar
cambios en el acceso administrativo cuando sea posible.
Puede acceder a la herramienta de configuración DB utilizando un símbolo del sistema de Microsoft MS-
DOS ejecutado como administrador. La herramienta de configuración DB se encuentra en la carpeta
Server (Servidor) del servidor ESM.
STEP 1 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios), haga clic
con el botón secundario del ratón en Command prompt (Símbolo del sistema), y seleccione Run as
administrator (Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún
no pulse Enter (Intro). A continuación, para abrir el símbolo del sistema como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).
Repita este paso para añadir más usuarios administrativos. La herramienta de configuración DB añade los
nombres de usuario a la lista actual de usuarios administrativos.
STEP 1 | Abra un símbolo del sistema como administrador de alguna de estas dos maneras:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar) y en el cuadro Start Search (Iniciar búsqueda), introduzca cmd, pero aún no
pulse Enter (Intro). A continuación, para abrir la ventana de comando CLI como administrador, pulse
Ctrl+Shift (Mayús.)+Enter (Intro).
STEP 4 | (Opcional) Configure o cambie cualquiera de los ajustes del servidor ESM, según proceda.
Para obtener directrices de uso y valores predeterminados, consulte Ajustes de servidor ESM
personalizados. Por ejemplo, para determinar el periodo de gracia permitido, en segundos, para
un endpoint que no responde (el intervalo es de 300 a 86.400; el valor por defecto es 4200):
Por ejemplo, un valor de 300 significa que si el servidor ESM no recibe comunicación del endpoint
en cinco minutos (300 segundos), Endpoint Security Manager informa el estado del endpoint como
desconectado.
ActiveDirectoryPathUpdateInterval
Intervalo en el cual el servidor ESM 1440
= <minutes> actualiza la ruta de acceso de máquina de
Active Directory.
ActiveDirectoryGroupsUpdateInterval
Intervalo en el cual el servidor ESM 1440
= <minutes> actualiza los miembros del grupo de
Active Directory.
SupportFileCollectionTimeout
El periodo de tiempo en el cual la consola 10
= <minutes> ESM debe terminar de recopilar logs para
el archivo de asistencia técnica del ESM.
SupportFileAggregationTimeout
El periodo de tiempo en el cual la consola 20
= <minutes> ESM debe terminar de agregar logs
para el archivo de asistencia técnica del
ESM. Después de este periodo, el estado
cambia de en curso a fallido.
Acceder a Cytool
Para ver la sintaxis y ejemplos de uso para los comandos Cytool, utilice la opción /? después de cualquier
comando.
STEP 1 | Abra un símbolo del sistema (en Windows) o terminal (en Mac) como administrador:
Windows:
• Seleccione Start (Iniciar) > All Programs (Todos los programas) > Accessories (Accesorios). Haga clic
con el botón derecho en Command prompt (Símbolo del sistema) y seleccione Run as administrator
(Ejecutar como administrador).
• Seleccione Start (Iniciar). En la casilla Start Search (Iniciar búsqueda), introduzca cmd. A continuación,
para abrir el símbolo del sistema como administrador, pulse CTRL+SHIFT (Mayús.)+ENTER (INTRO).
Mac:
• Desde el Finder, seleccione Applications (Aplicaciones) > Utilities (Utilidades). Haga doble clic en
Terminal.
Mac:
Mac:
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 3 | Para obtener información más detallada de la versión de Traps y del estado del agente, use el
comando cytool info query .
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Vea los procesos iniciados por el usuario actual mediante el comando cytool enum. Para
ver los procesos de todos los usuarios, incluidos aquellos iniciados por el sistema operativo,
especifique la opción /a e introduzca la contraseña de supervisor cuando se la solicite.
Windows:
Mac:
Debe habilitar las llamadas a procedimiento remoto (RPC) antes de ejecutar este
comando. Consulte Habilitación o deshabilitación de servicios RPC.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para gestionar los ajustes de protección de procesos clave en el endpoint, utilice el comando
siguiente:
Para usar los ajustes de reglas de políticas por defecto y proteger los procesos clave en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
Para utilizar los ajustes de la política de seguridad local y proteger las claves de registro en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para gestionar los ajustes de protección de archivos Traps en el endpoint, utilice el comando
siguiente:
Para usar los ajustes de reglas de políticas por defecto y proteger los archivos de Traps en el endpoint,
consulte Uso de la política de seguridad para la administración de protección de servicios.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para gestionar los ajustes de protección de servicios de Traps en el endpoint, utilice el
comando siguiente:
Para usar los ajustes de reglas de políticas por defecto para proteger los servicios de Traps en el
endpoint, consulte Uso de la política de seguridad para la administración de protección de servicios.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para usar las reglas de la política de seguridad y administrar la protección de servicios, utilice el
comando siguiente:
donde <feature> es un process (proceso), registry (registro), file (archivo) o service (servicio).
El ejemplo siguiente muestra el resultado de la administración de la protección en los archivos de Traps
utilizando la política de seguridad local. La columna Mode (Modo) muestra el estado de protección
revisado como Policy (Política).
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para ver el comportamiento de inicio actual de controladores y servicios de Traps, utilice el
comando siguiente:
Windows:
Mac:
STEP 1 | Abra un cuadro de comandos o terminal como administrador y vaya a la carpeta Traps
(consulte Acceder a Cytool).
STEP 2 | Para cambiar el comportamiento de inicio para un controlador o servicio específicos, utilice el
comando cytool startup (inicio de cytool):
Windows:
Mac:
Donde <component> es un proceso en el endpoint de Mac. De forma alternativa, puede indicar all
para cambiar el comportamiento de inicio para todos los procesos de inicio.
El ejemplo siguiente muestra el resultado para la deshabilitación del comportamiento de inicio del
proceso trapsd. La columna Startup status (Inicio) muestra el comportamiento revisado como
Disabled (Deshabilitada).
STEP 2 | Para ver el estado de tiempo de ejecución actual de controladores y servicios de Traps, utilice
el comando cytool runtime query:
Windows:
Mac:
PANM2637HQ:bin jdoe$ sudo ./cytool runtime query Password: Name PID User
Status Command traps_agent 358 jdoe Running /Library/Application Support/
PaloAltoNetworks/Traps/bin/traps_agent.app/Contents/MacOS/traps_agent
trapsd 55 root Running /Library/Application Support/PaloAltoNetworks/
Traps/bin/trapsd authorized 82 root Running /Library/Application Support/
PaloAltoNetworks/Traps/bin/authorized pmd 78 root Running /Library/
Application Support/PaloAltoNetworks/Traps/bin/pmd kproc-ctrl 134 root
Loaded com.paloaltonetworks.driver.kproc-ctrl
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para iniciar o detener un controlador o servicio, utilice el comando siguiente: cytool runtime
start <component>
Windows:
STEP 1 | Abra un terminal como administrador y vaya a la carpeta Traps (consulte Acceder a Cytool).
STEP 2 | Para habilitar los servicios RPC para todos los daemons y el agente de Traps, use el comando
cytool rpc enable all:
STEP 3 | Para habilitar los servicios RPC para un servicio específico, use el comando cytool rpc
enable <process_name>, por ejemplo:
STEP 4 | Para deshabilitar los servicios RPC para todos los daemons y el agente de Traps, use el
comando cytool rpc disable all:
STEP 5 | Para deshabilitar los servicios RPC para un servicio específico, use el comando cytool rpc
disable <process_name>, por ejemplo:
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para ver la política activa para un proceso, use el siguiente comando:
donde <process> es el nombre de proceso o la ID de proceso. Por ejemplo, para ver detalles acerca de
una política para el bloc de notas, introduzca cytool policy query notepad. El ejemplo siguiente
muestra detallas de las políticas para un proceso con PID 1234.
Comparar políticas
En intervalos regulares, Traps solicita una política de seguridad actualizada del servidor ESM y la almacena
en el registro del sistema en endpoints de Windows. Cuando un usuario inicia un proceso, Traps determina
si protege o no el proceso según los ajustes de la política de seguridad.
En escenarios de solución de problemas en los que Traps no se comporta según lo previsto, utilice el
comando cytool policy compare para ver las diferencias en políticas que se aplican a procesos que se
ejecutan en el endpoint. Utilizando el comando, puede comparar una política para un proceso con la política
de seguridad por defecto o comparar una política para un proceso con una política para otro proceso.
En ambos casos, puede especificar el nombre del proceso o la ID del proceso (DIP). La especificación del
nombre del proceso simula la aplicación de la política para el proceso. Al especificar el PID se consulta la
política efectiva para el proceso en ejecución. Cytool muestra los ajustes de políticas punto por punto e
indica cualquier diferencia entre los políticas en rojo.
Para comparar políticas, debe introducir la contraseña del supervisor, cuando así se solicita.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 1 | Abra un cuadro de comandos o terminal como administrador y vaya a la carpeta Traps
(consulte Acceder a Cytool).
STEP 2 | Para comenzar el logging de un componente de Traps, utilice el comando siguiente: cytool
log start:
Windows:
donde <components> es un * para comenzar el logging en todos los servicios de Traps, o uno o
más servicios de Traps encerrados en comillas y separados por espacios, por ejemplo "cyverak
cyvrfsfd".
El siguiente ejemplo muestra el resultado cuando se usa cytool para registrar errores en los archivos
cyverak y cyvrmtgn en un archivo de log con un tamaño máximo de 20 MB.
Mac:
STEP 3 | Detener o purgar las sesiones de log activas en los endpoints de Windows:
• Para detener el logging de un componente de Traps, utilice el comando siguiente:
Con Cytool, puede restaurar un archivo en cualquier sistema de archivos con permiso de
escritura y sin conexión a Internet como NTFS, ExFAT, FAT32, FAT16 y ReFS.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para ver todos los archivos que Traps ha puesto en cuarentena en el endpoint, escriba este
comando:
El ejemplo siguiente muestra el resultado de una consulta de Cytool de todos los archivos de la
cuarentena.
y sustituya <guid> por el identificador único del archivo. Si quiere restaurar el archivo ejecutable a su
ubicación original, deje <filepath> en blanco. También puede indicar la ubicación —incluido el nombre
del archivo— al que quiere restaurar el archivo ejecutable.
El siguiente ejemplo muestra el resultado del proceso de restauración del archivo malware1.exe
mediante Cytool a una ubicación distinta de la original.
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 3 | Para ver las estadísticas de un proceso en concreto, utilice el siguiente comando:
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para ver la versión de análisis local y la fecha de publicación asociada, utilice el siguiente
comando:
STEP 1 | Abra un cuadro de comandos como administrador y vaya a la carpeta Traps (consulte Acceder a
Cytool).
STEP 2 | Para ver los detalles de hash de un archivo, utilice el comando cytool image “<filepath>
\<filename>”. Por ejemplo, el resultado siguiente muestra información acerca de
iexplorer.exe.
Causas posibles
• No tiene privilegios administrativos para iniciar servicios en el endpoint.
Solución
Después de cada paso del procedimiento siguiente, verifique si puede instalar Traps. Si Traps sigue
informando de un error, proceda con cada paso posterior hasta solucionar el problema.
STEP 2 | El archivo de log de servicio contiene información, advertencias y errores relacionados con
el servicio de Traps. Para la solución adicional de un problema relacionado con el servicio de
Traps, abra el archivo C:\ProgramData\Cyvera\Logs\Service.log en un editor de texto y revise
cualquier error en el archivo de log que ha ocurrido en el momento del evento.
Por defecto, la carpeta Datos de programa puede estar oculta. Para ver la carpeta
en Windows Explorer, seleccione Organize (Organizar) > Folder and Search Options
(Opciones de carpeta y búsqueda) > View (Ver) > Show hidden files and folders (Mostrar
archivos y carpetas ocultos).
STEP 3 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.
Causas posibles
En versiones anteriores de Traps, la función de protección de servicio evita la modificación o alteración de
los archivos de sistema de Traps.
Solución
STEP 1 | Cree una regla de acción para deshabilitar la protección de servicio (consulte Gestión de
protección contra la manipulación de agentes on page 220).
STEP 4 | Intente actualizar Traps. Para la solución de un problema relacionado con el servicio de Traps,
visualice los logs para ver si Traps informa de un error específico:
• En la consola de Traps, seleccione Open Log File (Abrir archivo de log).
• Desde la consola de Traps, seleccione Send Support File (Enviar archivo de soporte) para enviar los
logs al servidor ESM
• Cree una regla de acción para recuperar los logs del endpoint (consulte Gestionar datos recopilados
por Traps on page 206).
STEP 5 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.
STEP 3 | Verifique que el servicio básico de Endpoint Security Manager se esté ejecutando en el
servidor ESM.
1. Abra el administrador de servicios:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Administrative Tools (Herramientas administrativas) > Services (Servicios).
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) > System
and Security (Sistema y seguridad) > Administrative Tools (Herramientas administrativas) >
Services (Servicios).
2. Localice el servicio básico de Endpoint Security Manager (denominado CyveraServer en versiones
anteriores del Endpoint Security Manager) y verifique que el estado del servicio sea Started (Iniciado)
(Windows Server 2008) o Running (En ejecución) (Windows Server 2012).
3. Si el estado del servicio es Stopped (Detenido) o Paused (En pausa), haga doble clic en el servicio y
seleccione Start (Iniciar). Haga clic en Close (Cerrar).
STEP 6 | Verifique que el puerto del servidor ESM está abierto en el cortafuegos de Windows (por
defecto es 2125).
1. Para comprobar el acceso del puerto desde el endpoint:
STEP 9 | Vea los logs para ver si Traps informa de un error específico:
• En la consola de Traps, seleccione Open Log File (Abrir archivo de log).
• Desde la consola de Traps, seleccione Send Support File (Enviar archivo de soporte) para enviar los
logs al servidor ESM
• Cree una regla de acción para recuperar los logs del endpoint (consulte Gestionar datos recopilados
por Traps).
STEP 10 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.
Causas posibles
• No se ha introducido correctamente el nombre de usuario o la contraseña.
• El usuario especificado durante la instalación inicial no tiene privilegios de propietario de DB.
• No se ha añadido el usuario como administrador.
• El usuario que instaló el servidor no era un administrador local en el servidor.
Solución
STEP 2 | Verifique que el usuario tiene privilegios de propietario de DB (consulte Configurar la base de
datos del servidor MS-SQL on page 46).
STEP 3 | Inicie sesión como administrador y verifique que el modo de autenticación sea correcto y que
la cuenta de usuario aparezca en la página Administración de usuario. Para añadir un usuario
administrativo, consulte Configurar el modo de autenticación on page 99. Alternativamente,
puede añadir el administrador usando la herramienta de configuración de bases de datos
(consulte Configurar el acceso administrativo a la consola ESM utilizando la herramienta de
configuración de bases de datos (DB) on page 339).
STEP 4 | Si no puede iniciar sesión como administrador, reinstale Endpoint Security Manager como
administrador local.
STEP 6 | Verifique que puede iniciar sesión en la consola ESM usando la cuenta. Si el problema persiste,
póngase en contacto con el equipo de asistencia técnica de Palo Alto Networks.
Causas posibles
El servidor no cumple el requisito previo para .NET Framework 4.0 con la actualización KB2468871.
Solución
Instale .NET Framework 4.0 y el parche KB2468871.
STEP 3 | Verifique que el servicio básico de Endpoint Security Manager se esté ejecutando en el
servidor ESM.
1. Abra el administrador de servicios:
• Windows Server 2008: En el menú de inicio, seleccione Control Panel (Panel de control) >
Administrative Tools (Herramientas administrativas) > Services (Servicios).
• Windows Server 2012: En el menú de inicio seleccione Control Panel (Panel de control) > System
and Security (Sistema y seguridad) > Administrative Tools (Herramientas administrativas) >
Services (Servicios).
2. Localice el servicio básico de Endpoint Security Manager (denominado CyveraServer en versiones
anteriores del Endpoint Security Manager) y verifique que el estado del servicio sea Started (Iniciado)
(Windows Server 2008) o Running (En ejecución) (Windows Server 2012).
3. Si el estado del servicio es Stopped (Detenido) o Paused (En pausa), haga doble clic en el servicio y
seleccione Start (Iniciar). Haga clic en Close (Cerrar).
STEP 4 | Verifique que el puerto del servidor ESM está abierto en el cortafuegos de Windows (por
defecto es 2125).
1. Para comprobar el acceso del puerto desde el endpoint:
1. Abra una línea de comando como administrador.
2. Introduzca el comando siguiente para telnet en el puerto 2125 en el servidor ESM: