+34 900 840 407
support@cytomic.ai

TDR y Cytomic

Deployment Overview

El Hilo de Detección y Respuesta o Threat Detection and Response (TDR) es una colección de herramientas avanzadas de defensa contra malware que correlacionan los indicadores de amenazas de Fireboxes y Host Sensors para permitir una respuesta automatizada en tiempo real para detener amenazas conocidas, desconocidas y evasivas.

Como parte de la solución TDR, instala los sensores de host TDR para proporcionar protección de punto final. En algunos casos, el sensor de host TDR puede tener conflictos con el software antivirus instalado en sus puntos finales. Para resolver este problema, puede configurar exclusiones en el software antivirus y en TDR.

Este artículo incluye información sobre la integración de un sensor de host TDR con un host que ejecuta Cytomic. No describe el procedimiento para configurar la detección y respuesta de amenazas. Para obtener información sobre cómo configurar tu cuenta TDR, cómo habilitar TDR en un Firebox y cómo instalar un sensor host, consulta la guía de Inicio rápido: configurar la detección y respuesta de amenazas (ENG).

Resumen de integración

Para evitar conflictos entre el TDR Host Sensor y Panda (incluido Panda Fusion), agrega estas exclusiones:

  • Exclusiones en TDR para Panda – Para Windows:
    • C:\Program Files (x86)\Panda Security\
    • C:\Program Files\Panda Security\
    • C:\ProgramData\Panda Security\
    • C:\Users\*\AppData\Local\Temp\*.tmp\Files\program files\Panda Security\
  • Exclusiones en TDR para Panda – Para Mac:
    • /Library/Application Support/Protection Agent/
  • Exclusiones en Panda para el sensor de host TDR – Para Windows:
    • 64-bit Windows – C:\Program Files (x86)\WatchGuard\Threat Detection and Response\
    • 32-bit Windows – C:\Program Files\WatchGuard\Threat Detection and Response\
  • Exclusiones en Panda para el sensor de host TDR – Para Mac:
    • /usr/local/watchguard/

Si Host Sensor y Cytomic detectan y responden a una amenaza al mismo tiempo, esto puede causar una alta utilización de los recursos del sistema, como CPU, memoria y E/S de disco.

Detalles de configuracion

Para completar esta implementación, debes tener:

  • Una suscripción activa de detección y respuesta de amenazas con licencias de Host Sensor
  • Cytomic EDR:
    • Cytomic EDR Agent 1.15.02.0000 – Para Windows
    • Cytomic EDR 8.00.16.0010 – Para Windows
    • Cytomic EDR Agent 1.10.03.0000 – Para Mac
    • Cytomic EDR 2.00.04.0000 – Para Mac
  • Cytomic EPDR:
    • Cytomic EDR Agent 1.15.02.0000 – Para Windows
    • Cytomic EPDR 8.00.16.0002 – Para Windows
    • Cytomic EDR Agent 1.10.03.0000 – Para Mac
    • Cytomic EPDR 2.00.04.0000 – Para Mac

Las versiones de TDR y Fireware probadas para esta implementación incluyen:

  • TDR Host Sensor 5.8.6.9222
  • Firebox with Fireware v12.5.3 o superior

El entorno de prueba de Windows para esta implementación incluye:

  • Windows 7, 8.1, 10 Enterprise 64-bit
  • Memoria (RAM) – 8 GB
  • Procesador – 2 CPU Cores

El entorno de prueba de Mac para esta implementación incluye:

  • macOS 10.13
  • Memoria (RAM) – 8 GB
  • Procesador – Intel Core i5
Configurar exclusiones en TDR

En tu cuenta TDR, agrega las exclusiones para identificar manualmente las rutas de los archivos y procesos que no deseas que Host Sensors supervise. Antes de implementar un Host Sensor en equipos que tengan Cytomic instalado, agrega exclusiones para las rutas de archivos Cytomic como Exclusiones TDR en tu cuenta TDR. Para agregar las exclusiones a TDR, puedes usar conjuntos de exclusión predefinidos o agregar las exclusiones manualmente.

Conjuntos de exclusión predefinidos

TDR tiene conjuntos de exclusión AV predefinidos para las herramientas AV de terceros más comunes. Esta herramienta AV tiene un conjunto de exclusión predefinido disponible. Los conjuntos de exclusión predefinidos incluyen todas las exclusiones recomendadas para la herramienta AV. TDR actualiza estos conjuntos de exclusión según sea necesario. Para obtener información sobre los conjuntos de exclusión AV predefinidos, consulte Configurar exclusiones de TDR.

También debes agregar las exclusiones de TDR a su software AV para evitar posibles conflictos.

Agregar manualmente exclusiones AV

Si no deseas excluir todas las rutas recomendadas en un conjunto de exclusión predefinido, puedes agregar exclusiones manualmente.

En tu cuenta TDR, agrega las exclusiones TDR para las rutas que se muestran en el Resumen de integración.

A menos que se indique lo contrario, configura cada exclusión de TDR con estas opciones, que se seleccionan de manera predeterminada:

  • También excluir subcarpetas
  • Entidades a excluir: archivos y procesos

Para agregar una exclusión en TDR:

  1. Inicia sesión en tu cuenta TDR o cuenta administrada como usuario con privilegios de operador.
  2. Seleciona Configuración > Exclusión.
  3. Clica en Añadir Exclusion.
    Se abre el cuadro de diálogo para agregar exclusión.
  4. En el cuadro de texto Ruta, escribe la ruta a excluir. Las carpetas especificadas en una exclusión deben terminar con una barra diagonal inversa.
  5. Para aplicar la excepción a todos los hosts, en el cuadro de texto Hosts/Grupos, especifica el grupo Todos los hosts.
  6. Clic en Guardar & Cerrar.

Repite estos pasos para agregar cada exclusión.

Configurar exclusiones en Cytomic EDR

En Cytomic, agrega las exclusiones para identificar las rutas de los archivos y las ubicaciones para excluir. Para evitar conflictos entre el Host Sensor y Cytomic, te recomendamos que agregues exclusiones en Cytomic para las rutas utilizadas por el TDR Host Sensor.

Para excluir directorios utilizados por el sensor de host TDR, agrega las exclusiones para las rutas enumeradas en el Resumen de integración.

Para agregar una exclusión en Cytomic EDR/EPDR – Tanto Windows como Mac:

  1. Accede a la Consola Web.
  2. Seleciona Configuración Seguridad Esquipos y Servidores.
  3. Clic en Añadir.
  4. Clic en General.
  5. En la sección Exclusiones, escribe las rutas del archivo TDR en el cuadro de texto Carpetas.
  6. Deja el valor predeterminado para todas las demás configuraciones.
    El nombre predeterminado es Nueva configuración de seguridad para equipos de trabajo y servidores.
  7. Clic en Guardar.
  8. Clic en Equipos.
  9. Clic en Mi organización.
  10. En la sección Mi Organización, Desde el grupo por defecto TODOS, clica screenshot of panda .Screenshot of panda
  11. Clic en Configuración.
  12. Desde el cuadro de diálogo, clica en Seguridad para Equipos y Servidores, comprueba Nuevas medidas de seguridad para Equipos y Servidores.
  13. Cierra el cuadro de diálogo.

Los resultados de esta prueba también podrían aplicarse a estos productos, que no se han probado:

  • Cytomic EDR
  • Cytomic EPDR

Para obtener información sobre la metodología de prueba de integración, consulta Metodología de prueba TDR (ENG)