TDR y Advanced EPDR/EDR

TDR y Advanced EPDR/EDR

By July 28, 2020May 13th, 2024Soporte
+34 900 840 407
support@cytomic.ai

TDR y Advanced EPDR/EDR

Deployment Overview

El Hilo de Detección y Respuesta o Threat Detection and Response (TDR) es una colección de herramientas avanzadas de defensa contra malware que correlacionan los indicadores de amenazas de Fireboxes y Host Sensors para permitir una respuesta automatizada en tiempo real para detener amenazas conocidas, desconocidas y evasivas.

Como parte de la solución TDR, instala los sensores de host TDR para proporcionar protección de punto final. En algunos casos, el sensor de host TDR puede tener conflictos con el software antivirus instalado en sus puntos finales. Para resolver este problema, puede configurar exclusiones en el software antivirus y en TDR.

Este artículo incluye información sobre la integración de un sensor de host TDR con un host que ejecuta Advanced EPDR/EDR. No describe el procedimiento para configurar la detección y respuesta de amenazas. Para obtener información sobre cómo configurar tu cuenta TDR, cómo habilitar TDR en un Firebox y cómo instalar un sensor host, consulta la guía de Inicio rápido: configurar la detección y respuesta de amenazas (ENG).

Resumen de integración

Para evitar conflictos entre el TDR Host Sensor y Advanced EPDR/EDR, agrega estas exclusiones:

  • Exclusiones en TDR para Advanced EPDR/EDR- Para Windows:
    • C:\Program Files (x86)\Panda Security\
    • C:\Program Files\Panda Security\
    • C:\ProgramData\Panda Security\
    • C:\Users\*\AppData\Local\Temp\*.tmp\Files\program files\Panda Security\
  • Exclusiones en TDR para Advanced EPDR/EDR – Para Mac:
    • /Library/Application Support/Protection Agent/
  • Exclusiones en Advanced EPDR/EDR para el sensor de host TDR – Para Windows:
    • 64-bit Windows – C:\Program Files (x86)\WatchGuard\Threat Detection and Response\
    • 32-bit Windows – C:\Program Files\WatchGuard\Threat Detection and Response\
  • Exclusiones en Advanced EPDR/EDR para el sensor de host TDR – Para Mac:
    • /usr/local/watchguard/

Si Host Sensor y Advanced EPDR/EDR detectan y responden a una amenaza al mismo tiempo, esto puede causar una alta utilización de los recursos del sistema, como CPU, memoria y E/S de disco.

Detalles de configuracion

Para completar esta implementación, debes tener:

  • Una suscripción activa de detección y respuesta de amenazas con licencias de Host Sensor
  • Advanced EDR:
    • Advanced EDR Agent 1.15.02.0000 – Para Windows
    • Advanced EDR 8.00.16.0010 – Para Windows
    • Advanced EDR Agent 1.10.03.0000 – Para Mac
    • Advanced EDR 2.00.04.0000 – Para Mac
  • Advanced EPDR:
    • Advanced EDR Agent 1.15.02.0000 – Para Windows
    • Advanced EPDR 8.00.16.0002 – Para Windows
    • Advanced EDR Agent 1.10.03.0000 – Para Mac
    • Advanced EPDR 2.00.04.0000 – Para Mac

Las versiones de TDR y Fireware probadas para esta implementación incluyen:

  • TDR Host Sensor 5.8.6.9222
  • Firebox with Fireware v12.5.3 o superior

El entorno de prueba de Windows para esta implementación incluye:

  • Windows 7, 8.1, 10 Enterprise 64-bit
  • Memoria (RAM) – 8 GB
  • Procesador – 2 CPU Cores

El entorno de prueba de Mac para esta implementación incluye:

  • macOS 10.13
  • Memoria (RAM) – 8 GB
  • Procesador – Intel Core i5
Configurar exclusiones en TDR

En tu cuenta TDR, agrega las exclusiones para identificar manualmente las rutas de los archivos y procesos que no deseas que Host Sensors supervise. Antes de implementar un Host Sensor en equipos que tengan Advanced EPDR/EDR instalado, agrega exclusiones para las rutas de archivos Advanced EPDR/EDR como Exclusiones TDR en tu cuenta TDR. Para agregar las exclusiones a TDR, puedes usar conjuntos de exclusión predefinidos o agregar las exclusiones manualmente.

Conjuntos de exclusión predefinidos

TDR tiene conjuntos de exclusión AV predefinidos para las herramientas AV de terceros más comunes. Esta herramienta AV tiene un conjunto de exclusión predefinido disponible. Los conjuntos de exclusión predefinidos incluyen todas las exclusiones recomendadas para la herramienta AV. TDR actualiza estos conjuntos de exclusión según sea necesario. Para obtener información sobre los conjuntos de exclusión AV predefinidos, consulte Configurar exclusiones de TDR.

También debes agregar las exclusiones de TDR a su software AV para evitar posibles conflictos.

Agregar manualmente exclusiones AV

Si no deseas excluir todas las rutas recomendadas en un conjunto de exclusión predefinido, puedes agregar exclusiones manualmente.

En tu cuenta TDR, agrega las exclusiones TDR para las rutas que se muestran en el Resumen de integración.

A menos que se indique lo contrario, configura cada exclusión de TDR con estas opciones, que se seleccionan de manera predeterminada:

  • También excluir subcarpetas
  • Entidades a excluir: archivos y procesos

Para agregar una exclusión en TDR:

  1. Inicia sesión en tu cuenta TDR o cuenta administrada como usuario con privilegios de operador.
  2. Seleciona Configuración > Exclusión.
  3. Clica en Añadir Exclusion.
    Se abre el cuadro de diálogo para agregar exclusión.
  4. En el cuadro de texto Ruta, escribe la ruta a excluir. Las carpetas especificadas en una exclusión deben terminar con una barra diagonal inversa.
  5. Para aplicar la excepción a todos los hosts, en el cuadro de texto Hosts/Grupos, especifica el grupo Todos los hosts.
  6. Clic en Guardar & Cerrar.

Repite estos pasos para agregar cada exclusión.

Configurar exclusiones en Cytomic EDR

En Advanced EPDR/EDR , agrega las exclusiones para identificar las rutas de los archivos y las ubicaciones para excluir. Para evitar conflictos entre el Host Sensor y Cytomic, te recomendamos que agregues exclusiones en Advanced EPDR/EDR para las rutas utilizadas por el TDR Host Sensor.

Para excluir directorios utilizados por el sensor de host TDR, agrega las exclusiones para las rutas enumeradas en el Resumen de integración.

Para agregar una exclusión en Advanced EPDR/EDR – Tanto Windows como Mac:

  1. Accede a la Consola Web.
  2. Seleciona Configuración Seguridad Esquipos y Servidores.
  3. Clic en Añadir.
  4. Clic en General.
  5. En la sección Exclusiones, escribe las rutas del archivo TDR en el cuadro de texto Carpetas.
  6. Deja el valor predeterminado para todas las demás configuraciones.
    El nombre predeterminado es Nueva configuración de seguridad para equipos de trabajo y servidores.
  7. Clic en Guardar.
  8. Clic en Equipos.
  9. Clic en Mi organización.
  10. En la sección Mi Organización, Desde el grupo por defecto TODOS, clica screenshot of panda .Screenshot of panda
  11. Clic en Configuración.
  12. Desde el cuadro de diálogo, clica en Seguridad para Equipos y Servidores, comprueba Nuevas medidas de seguridad para Equipos y Servidores.
  13. Cierra el cuadro de diálogo.

Los resultados de esta prueba también podrían aplicarse a estos productos, que no se han probado:

  • Advanced EDR
  • Advanced EPDR

Para obtener información sobre la metodología de prueba de integración, consulta Metodología de prueba TDR (ENG)