Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gua para
administradores
de red
1
Gua para administradores de red
Tabla de contenidos
1. PRLOGO...................................................................................................................... 9
2. INTRODUCCIN ........................................................................................................... 11
2
Gua para administradores de red
6. LICENCIAS ................................................................................................................... 46
8. USUARIOS ................................................................................................................... 57
3
Gua para administradores de red
4
Gua para administradores de red
5
Gua para administradores de red
6
Gua para administradores de red
7
Gua para administradores de red
8
Gua para administradores de red
1. Prlogo
A quin est dedicada esta gua?
Iconos
9
Gua para administradores de red
1.1. Introduccin
1.3. Iconos
Informacin adicional, como, por ejemplo, un mtodo alternativo para realizar una
determinada tarea.
Sugerencias y recomendaciones.
10
Gua para administradores de red
2. Introduccin
Caractersticas principales
Perfil del usuario
Arquitectura general
Componentes principales de la arquitectura
Adaptive Defense 360
Servicios de Adaptive Defense 360
11
Gua para administradores de red
2.1. Introduccin
Adaptive Defense 360 es una solucin basada en mltiples tecnologas de proteccin, que
permite sustituir el producto de antivirus tradicional instalado en la empresa por un servicio
mucho ms completo de seguridad gestionada.
Adaptive Defense 360 protege los equipos informticos permitiendo ejecutar nicamente
el software lcito, mientras supervisa y clasifica todos los procesos ejecutados en el parque
informtico del cliente en base a su comportamiento y naturaleza. Adems, completa su
oferta de seguridad ofreciendo herramientas monitorizacin, anlisis forense y resolucin
para poder determinar el alcance de los problemas detectados y solucionarlos.
A diferencia de los antivirus tradicionales, Adaptive Defense 360 utiliza un nuevo concepto
de seguridad que le permite adaptarse de forma precisa al entorno particular de cada
empresa, supervisando la ejecucin de todas las aplicaciones y aprendiendo
constantemente de las acciones desencadenadas por cada uno de los procesos.
Tras un breve periodo de aprendizaje Adaptive Defense 360 es capaz de ofrecer un nivel
de proteccin muy superior al de un antivirus tradicional, al tiempo que proporciona una
informacin valiosa sobre el contexto en el que se sucedieron los problemas de seguridad
a fin de poder determinar su alcance e implantar las medidas necesarias para evitar que
se vuelvan a suceder.
Adaptive Defense 360 es un servicio multiplataforma compatible con Windows, Linux, Mac
OS X, Android y alojado en la nube; por lo tanto, no requiere de nueva infraestructura de
control en la empresa, manteniendo de esta manera un TCO bajo.
12
Gua para administradores de red
Aunque Adaptive Defense 360 es un servicio gestionado que ofrece seguridad sin
intervencin del administrador de la red, tambin provee informacin muy detallada y
comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la
infraestructura de IT de la empresa. Esta informacin puede ser utilizada por el administrador
para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de
seguridad evitando as situaciones equivalentes en el futuro.
Todos los usuarios con un agente Adaptive Defense 360 instalado en su equipo disfrutarn
de un servicio de seguridad con garantas, impidiendo la ejecucin de programas que
supongan una amenaza para el desarrollo de la empresa.
13
Gua para administradores de red
14
Gua para administradores de red
resto de aplicaciones.
- El retraso en la clasificacin de los procesos vistos por primera (ventana de
oportunidad) vez es mnimo ya que el agente Adaptive Defense 360 enva las
acciones que desencadena cada proceso en tiempo real y el servidor las analiza
buscando patrones sospechosos. Se disminuye por tanto de manera drstica el
tiempo de exposicin a las amenazas. Adicionalmente para los ficheros
ejecutables encontrados en el equipo del usuario y que sean desconocidos para
la plataforma Adaptive Defense 360 el agente enviar el fichero al servidor para su
anlisis.
Agente de comunicaciones
El agente se encarga de las comunicaciones tanto entre los equipos administrados y el
15
Gua para administradores de red
servidor de Adaptive Defense 360 como de establecer un dilogo entre los equipos que
pertenecen a una misma red del cliente.
Este mdulo, adems de la gestin de los procesos locales, es el encargado de recoger los
cambios de configuracin que el administrador haya realizado a travs de la consola Web,
y de aplicarlos sobre el mdulo de Proteccin.
Para comprobar si el administrador ha realizado cambios de configuracin se utiliza la
siguiente lgica:
1. El administrador modifica la configuracin en la consola Web.
2. El servidor enva una notificacin para indicar a los equipos afectados la existencia
de cambios de configuracin que les afectan.
3. Los equipos comprueban cada 15 minutos si hay alguna notificacin para ellos. Si
la hay:
El equipo solicita al servidor de Adaptive Defense 360 las nuevas
polticas de configuracin que tiene disponibles.
El servidor se las entrega y el equipo aplica los cambios.
El agente tambin se coordina con otros agentes de diferentes equipos en su mismo grupo
mediante la funcionalidad Peer to Peer o rumor para centralizar y gestionar las descargas
de los ficheros de firmas y actualizaciones desde Internet. Consulta el captulo Actualizacin
de la proteccin para ms informacin.
Proxy dinmico
El agente guarda una lista con informacin de equipos en la red que tengan agentes que
son capaces de enviar mensajes a Internet. Estos agentes se denominan Proxys.
Para poder actuar como proxy para otros agentes, una mquina debe cumplir los siguientes
requisitos: disponer de conexin directa a Internet, y disponer al menos de 256 MB de RAM.
Adems, el equipo debe de haber concluido completamente la secuencia de instalacin.
Cuando la lista de proxys est vaca o ninguno de los agentes que estn en ella responde
(Disponibilidad = 0), el agente enva un mensaje por broadcast a la subred preguntando
quin es Proxy? para que estos le respondan y pueda mandar mensajes a Internet a travs
de ellos.
Mientras realiza la espera por datos de la lista de proxys vlidos, el mdulo del Proxy no
atender peticiones de otros mensajes.
La lista de proxys tendr un valor asociado para cada Proxy con el nmero de intentos que
se permiten fallar en la comunicacin con otro agente antes de invalidar ese agente como
proxy.
Por defecto el nmero de veces ser 3, y cuando este valor alcance 0 se entender que
ese agente no es vlido como proxy. Si en algn momento todos los proxys de la lista son
invlidos se entiende que la lista es no vlida en su conjunto y se comenzar la bsqueda
de proxys, lanzando un mensaje quin es proxy?.
Puede ocurrir que el mensaje se enve correctamente a un proxy de la lista, pero que ste
al intentar mandar el mensaje a Internet descubra que ya no tiene conexin.
En ese caso el agente remoto repetir la secuencia aqu descrita reenviando el mensaje a
un proxy de su lista, pero adems enviar por TCP al agente del que le lleg el mensaje
otro de tipo Yo no soy Proxy, para indicarle que lo borre de su lista porque ya no tiene
16
Gua para administradores de red
conexin a Internet.
Este proceso se repetir hasta que el mensaje se enve correctamente a Internet o hasta
que pase por un nmero mximo de proxy sin conseguir enviarse, en cuyo caso se perder.
Se puede configurar el nmero de proxys por los que puede pasar un mensaje. Por defecto
slo se enviar a 1, y si falla el envo desde se se perder el mensaje.
Dentro del mensaje se guarda la lista de proxys por los que ha pasado, de modo que no se
enve dos veces al mismo proxy sin conexin a Internet.
Proxy esttico
Si se desea que todos los accesos a Internet se hagan a travs de un equipo concreto
decidido por el administrador, en lugar de por equipos determinados de forma dinmica,
el agente de comunicaciones admite la posibilidad de especificar que mquina deseamos
que actu como Proxy.
La mquina que acte como Proxy esttico debe cumplir los siguientes requisitos:
Si en algn momento el equipo que se estableci para que acte como proxy esttico
deja de cumplir alguno de los requisitos necesarios para ejercer como tal, se desactivar
en la consola Web a configuracin del proxy esttico, desapareciendo el nombre del
equipo que estaba configurado y se mostrar un mensaje indicndole cul de dichos
requisitos se incumple.
El administrador podr seleccionar otro equipo para que realice las funciones de proxy
esttico. Si un equipo deja de ser proxy esttico por haber sido incluido en la lista negra,
una vez que deje de pertenecer a dicha lista, si se desea que acte de proxy esttico ser
necesario configurarlo de nuevo para que transiten por l todas las comunicaciones con
el servidor.
Cuando el agente tenga que realizar un acceso a Internet en primer lugar intentar
comunicarse utilizando el 'proxy esttico'.
Si la comunicacin con el Proxy esttico no es posible, se intentar llevar a cabo el acceso
a internet siguiendo la secuencia de comunicaciones habitual.
Si tiene una configuracin vlida almacenada, intentar la comunicacin utilizando dicha
configuracin.
En caso contrario, intentar comunicarse mediante conexin directa a Internet.
Si tampoco consigue la conexin directa, lo intentar a travs de otro equipo 'proxy
dinmico', cuyo funcionamiento se ha detallado en el apartado anterior.
Cuando el equipo que est actuando como proxy recibe una peticin de acceso a
Internet intentar realizar la conexin de forma directa. Si la conexin se realiza con xito
enviar la respuesta obtenida al agente que solicit la conexin.
La configuracin del proxy esttico se realiza editando las propiedades del perfil al que
pertenecen los agentes instalados. Para ello en la ventana Configuracin elija el perfil a
17
Gua para administradores de red
modificar en el panel de la derecha y all, en el men Windows y Linux haz clic en la pestaa
Opciones avanzadas y activa la casilla Centralizar todas las conexiones con el servidor a
travs del siguiente equipo.
Mdulo de Proteccin
Este mdulo contiene las tecnologas encargadas de proteger los equipos del cliente.
Adaptive Defense 360 rene en un mismo producto todos los recursos necesarios para
detectar el malware de nueva generacin y dirigido (APT) al tiempo que incorpora
herramientas de resolucin para desinfectar los equipos comprometidos y determinar el
alcance de los intentos de intrusin en la red del cliente.
El agente Adaptive Defense 360 se instala sin problemas en mquinas con otras soluciones de
seguridad de la competencia.
18
Gua para administradores de red
Panda Security ofrece otros servicios de carcter opcional que le permiten al cliente
integrar la solucin con su infraestructura IT ya desplegada y obtener inteligencia de
seguridad desarrolla en los laboratorios de Panda Security de una forma directa.
- QRadar
- AlienVault
- ArcSight
- LookWise
- Bitacora
19
Gua para administradores de red
2.5.4 IP Feeds
Se trata de un ser vicio de suscripcin donde el cliente recibe bloques de direcciones IP
utilizadas por las redes de bots detectadas y analizadas por Panda Security.
Este flujo de informacin se entrega de diariamente y puede ser aprovechado por los
dispositivos de seguridad del cliente, incrementando as el nivel de proteccin de toda la
red.
20
Gua para administradores de red
3. El ciclo
completo de
proteccin
adaptativa
El ciclo de proteccin adaptativa
Proteccin completa del parque informtico
Deteccin y monitorizacin
Resolucin y respuesta
Adaptacin
21
Gua para administradores de red
3.1. Introduccin
Este captulo ofrece una visin de la estrategia general adoptada por Adaptive Defense
360 para gestionar la seguridad de la red de la empresa.
Ms de 200.000 nuevos virus son generados diariamente y una parte muy sustancial de este
nuevo malware est diseado para ejecutarse en los equipos de los usuarios durante largos
periodos de tiempo y en segundo plano, sin dar muestras de su existencia.
Por esta razn, el enfoque tradicional de proteccin mediante archivos de identificadores
locales o en la nube ha demostrado ser gradualmente ineficiente: debido al creciente
nmero de malware desarrollado, su ventana de oportunidad es cada vez mayor,
entendida sta como el tiempo que transcurre desde que el primer equipo es infectado a
nivel mundial, hasta que los proveedores de seguridad identifican ese nuevo malware y
alimentan sus archivos de identificadores con la informacin necesaria para detectarlo.
De esta manera, toda estrategia de seguridad pasa por minimizar el tiempo de exposicin
al malware, exposicin estimada actualmente en 259 das para ataques dirigidos, cada
vez ms frecuentes y que tienen como principales objetivos el robo de datos y el espionaje
industrial.
Debido a este cambio drstico en el panorama del malware Adaptive Defense 360
propone un nuevo enfoque de seguridad basado en el ciclo de proteccin adaptativa, un
conjunto de servicios de proteccin, deteccin, monitorizacin, anlisis forense y
resolucin, todos ellos integrados y centralizadas en una nica consola Web de
administracin de manera que sea posible mostrar el ciclo completo de la seguridad de la
red en tiempo real.
Con este nuevo enfoque se evitan o minimizan las brechas de seguridad, reduciendo de
forma drstica las prdidas de productividad y el riesgo de robo de informacin
confidencial en la empresa; el administrador es liberando de la compleja tarea de
determinar qu es peligroso y porque razn, recuperando espacio y recursos para gestionar
y vigilar el estado de la seguridad.
El departamento de IT podr tomar decisiones que permitan adaptar la poltica de
seguridad de la empresa con la misma agilidad que mutan los patrones de ataque del
malware avanzado.
22
Gua para administradores de red
usuarios de la empresa.
Por otro lado, ante la llegada de problemas de seguridad, el administrador contar con
herramientas de resolucin y anlisis forense que le permitan, por una parte, revertir el
sistema a la situacin previa al intento de intrusin, y por otra conocer el alcance de la
intrusin para poder implementar las medidas de contingencia apropiadas.
El ciclo de la proteccin adaptativa adoptado por Adaptive Defense 360 se puede resumir
en la siguiente grfica, que ser detallada en las siguientes secciones.
La primera fase del ciclo de proteccin adaptativa incluye las herramientas necesarias
para proteger y defender de forma efectiva el parque informtico de posibles ataques e
intentos de infeccin. Adaptive Defense 360 es compatible con estaciones de trabajo y
servidores Windows, Linux y Mac OS X, as como con tablets y telfonos mviles Android.
La proteccin es un mdulo tradicionalmente desarrollado por los proveedores de
seguridad generalista que ofrecen un producto de antivirus para cubrir los vectores de
infeccin ms utilizados por los hackers. Estos productos de antivirus se alimentan de
archivos de identificadores publicados por el proveedor para su descarga en local o se
sirven del acceso en tiempo real a los mismos desde la nube.
A las tecnologas tradicionales mencionadas, Adaptive Defense 360 aade una serie de
tecnologas avanzadas para evitar la entrada del malware en la red del cliente y prevenir
as los accesos no autorizados:
23
Gua para administradores de red
equipo del usuario. Para ello la estrategia pasa por utilizar un enfoque de deteccin /
proteccin basado en tres capas que permita analizar el comportamiento de los exploits
en lugar de su morfologa.
En la primera capa Adaptive Defense 360 ofrece una proteccin pasiva contra exploits
utilizando tecnologas bien conocidas como DEP, ASLR, SEHOP, Bottom up randomization y
otros.
En la segunda capa se ejecutan anlisis heursticos para detectar si un proceso ha sido
explotado por un fallo de implementacin del software aprovechado por el malware
(exploit). En esta capa se detectan estrategias ROP, Stack pivot y otras utilizadas por los
exploits para sortear los servicios de los sistemas de proteccin y ejecutar cdigo malicioso.
En la tercera capa se realiza un anlisis del comportamiento para detectar la ejecucin de
cdigo maligno desde un proceso ya explotado. Para ello se realizan anlisis de
comportamiento contextuales en local utilizando como fuente de conocimiento la
Intelitencia Colectiva de Panda Security.
Mediante este esquema de tres capas Adaptive Defense 360 protege de forma efectiva a
los sistemas con vulnerabilidades conocidas.
3.3.3 La nube
La computacin en la nube (Cloud computing) es una tecnologa que permite ofrecer
servicios a travs de Internet. En este sentido, la nube es un trmino que se suele utilizar
24
Gua para administradores de red
25
Gua para administradores de red
Adaptive Defense 360 protege los servidores de correo Exchange mediante dos tecnologas
distintas:
Proteccin de buzones
Se utiliza en los servidores Exchange con el rol de Mailbox y permite analizar las carpetas /
buzones en backgroud o cuando el mensaje es recibido y almacenado en la carpeta del
usuario.
La proteccin de buzones admite la manipulacin de los diferentes elementos del cuerpo
del mensaje analizado, lo que permite sustituir los elementos peligrosos encontrados por
otros limpios, introducir nicamente los elementos peligrosos en cuarentena etc.
La proteccin de buzones permite adems el anlisis de las carpetas de usuario del servidor
Exchange en segundo plano, aprovechando los tiempos de menor carga del servidor. Este
26
Gua para administradores de red
anlisis se realiza de forma inteligente evitando volver a analizar los mensajes ya analizados.
El escenario tpico habitual es el de que analizar los buzones y la cuarentena con cada
nuevo archivo de identificadores publicado.
Proteccin de transporte
Se utiliza en servidores Exchange con el rol de Acceso de clientes, Edge Transport y Mailbox
y permite analizar el trfico que es atravesado por el servidor Exchange.
En la proteccin de transporte no se permite la manipulacin del cuerpo de los mensajes.
De esta forma el cuerpo de un mensaje peligroso es tratado como un solo bloque y las
acciones que Adaptive Defense 360 permite ejecutar aplican al mensaje por completo:
borrar el mensaje, meterlo en cuarentena, dejar pasar sin modificar etc.
La segunda fase del ciclo de proteccin adaptativa asume que el malware o el ataque
dirigido consigui sortear las barreras establecidas en la fase de Proteccin e infect con
xito una o varias mquinas de la red, pasando esta infeccin desapercibida para el
usuario del equipo
En esta fase Adaptive Defense 360 implementa una serie de tecnologas novedosas que
permiten al administrador de la red localizar el problema.
27
Gua para administradores de red
desencadenadas por los procesos del usuario y los enva al servidor donde se examinan
mediante tcnicas automticas de Machine Learning en entornos Big Data para emitir una
clasificacin (goodware o malware) con un 999991 (menos de 1 error cada 100.000
ficheros analizados) de precisin, evitando por lo tanto los falsos positivos.
Para los casos ms complicados Panda Security cuenta con un laboratorio de expertos
especialistas en diseccionar malware, con el nico objetivo de clasificar todos los
ejecutables localizados en el menor tiempo posible desde la primera vez que fueron vistos
en la red del cliente.
Adaptive Defense 360 admite tres modos de bloqueo para los procesos que todava no
han sido clasificados (desconocidos) y para los ya clasificados como malware:
Audit
En el modo Audit Adaptive Defense 360 solo informa de las amenazas detectadas, pero no
bloquea ni desinfecta el malware encontrado. Este modo es til para probar la solucin de
seguridad o para comprobar que la instalacin del producto no comprometa el buen
funcionamiento del equipo.
Hardening
En aquellos entornos donde se producen cambios constantes del software instalado en los
equipos de los usuarios o se ejecutan muchos programas desconocidos, como por ejemplo
programas de creacin propia, puede no ser viable esperar a que Adaptive Defense 360
aprenda de ellos para clasificarlos.
El comportamiento del modo Hardening consiste en balancear el riesgo de infeccin de
los equipos y la productividad de los usuarios, limitando el bloqueo de los programas
desconocidos a aquellos que se consideran peligrosos a priori. De esta forma se distinguen
cuatro escenarios:
Lock
28
Gua para administradores de red
En entornos donde la seguridad sea la mxima prioridad, y con el objetivo de ofrecer una
proteccin de mximas garantas Adaptive Defense 360 deber ser configurado en modo
Lock. En este modo la ejecucin del software en proceso de clasificacin ser bloqueada
y se podr garantizar la ejecucin nicamente del software lcito.
De la misma forma que en el modo Hardening, los programas clasificados como maliciosos
sern enviados a cuarentena, mientras que para los programas desconocidos se
bloquear su ejecucin hasta ser clasificado como goodware o malware.
Ms del 99% de los programas encontrados en los equipos de los usuarios estn ya clasificados en
los sistemas de Adaptive Defense 360. Los bloqueos afectarn a una minora de programas.
Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la
configuracin de los distintos modos de bloqueo
29
Gua para administradores de red
sentido:
- Cules son los procesos desconocidos para Adaptive Defense 360 encontrados en
los equipos de la red, y que estn siendo investigados para su posterior
clasificacin en Panda Security, junto con una valoracin preliminar de su
peligrosidad.
- Actividad detallada en forma de listados de acciones de aquellos programas
desconocidos que finalmente resultaron ser malware.
- Detecciones realizadas en los diferentes vectores de infeccin protegidos.
Con este mdulo el administrador tiene una visin global de los procesos que se ejecutan
en su red, tanto del malware reconocido que intenta entrar y es detenido en el mdulo de
proteccin, como del malware desconocido y diseado para pasar inadvertido por las
tecnologas de deteccin tradicionales y que consigui sortear los sistemas de deteccin
configurados.
El administrador finalmente tendr la posibilidad de reforzar la seguridad de su red
impidiendo toda ejecucin de software desconocido o, por el contrario, balancear de
forma muy sencilla el nivel de bloqueo en favor de una mayor flexibilidad a la hora de
ejecutar ciertos programas no conocidos.
En caso de infeccin el administrador tiene que ser capaz de actuar en dos lneas: revertir
de forma rpida el estado de los equipos afectados previo a la infeccin y poder calcular
el impacto de la 1infeccin: si hubo fuga de datos, hasta donde consigui penetrar el
ataque, qu equipos resultaron comprometidos etc. La fase Resolucin y respuesta ofrece
herramientas para estos dos escenarios
Respuesta
El administrador cuenta con la herramienta de Anlisis Forense: todas las acciones
ejecutadas por el malware son mostradas para su evaluacin, incluyendo el vector de
infeccin (cmo lleg el malware a la red), los intentos de propagacin a otros equipos o
los accesos al disco duro del usuario para obtener informacin confidencial y conexiones
a equipos externos para su extraccin.
Adems, el servicio Advanced Reporting Tool almacena todas las acciones recogidas de
todos los procesos ejecutados por los usuarios; de esta forma es posible extender la
funcionalidad del mdulo de anlisis forense y realizar bsquedas avanzadas para generar
grficas de apoyo a la interpretacin de los datos recogidos.
Consulta el captulo Anlisis forense para ms informacin sobre el uso de esta herramienta
Resolucin
Adaptive Defense 360 cuenta con varias herramientas de resolucin, unas manuales y otras
30
Gua para administradores de red
automticas.
Entre las automticas se encuentra el tradicional mdulo de desinfeccin propio de un
antivirus junto a la cuarentena que almacena los elementos sospechosos o eliminados.
Para casos de infecciones debidas a malware avanzado o desinfecciones muy complejas,
el administrador podr utilizar desde la misma consola Web de administracin la
herramienta independiente especializada en desinfeccin de Panda Security: Cloud
Cleaner.
Tambin dispondr de herramientas de acceso remoto para conectarse a los equipos y
realizar cualquier proceso manual que se pueda requerir, en funcin de las acciones
ejecutadas por el malware incluidas en el anlisis forense.
Consulta el captulo de Herramientas de resolucin y respuesta para ms informacin sobre el uso
de las herramientas de Resolucin
3.6. Adaptacin
Una vez realizado el estudio con las herramientas de Resolucin y respuesta de la fase
anterior y localizadas las causas que propiciaron la infeccin, el administrador deber de
ajustar la poltica de seguridad de la empresa para que situaciones equivalentes no
vuelvan a producirse.
La fase de Adaptacin puede reunir una gran cantidad de iniciativas en funcin de los
resultados revelados por el anlisis forense: desde cursos de educacin y sensibilizacin en
el correcto uso de Internet para los empleados de la empresa hasta la reconfiguracin de
los routers corporativos o de los permisos de los usuarios en sus mquinas personales.
Desde el punto de vista del endpoint, Adaptive Defense 360 puede reforzar la seguridad de
mltiples maneras:
31
Gua para administradores de red
inocentes (descarga de libros, programas piratas etc) pero que pueden infectar de
malware los equipos.
32
Gua para administradores de red
4. Creacin de
cuentas Panda
Qu es la cuenta Panda?
Cmo puedes crear una cuenta Panda?
Cmo puedes activar la cuenta Panda?
33
Gua para administradores de red
34
Gua para administradores de red
especificado al crear la Cuenta Panda. Utilizando ese mensaje podrs activar la cuenta.
Una vez creada la Cuenta Panda es necesario activarla. Para ello hay que utilizar el mensaje
de correo electrnico que has recibido en la bandeja de entrada de la direccin mail que
se utiliz para crear la Cuenta Panda.
1. Ve a la bandeja de entrada y localiza el mensaje.
2. A continuacin, haz clic en el botn de activacin. Al hacerlo, se confirmar como
vlida la direccin proporcionada al crear la Cuenta Panda. En caso de que el
botn no funcione, copia en el navegador el enlace que se muestra en el
mensaje.
3. La primera vez que se acceda a la Cuenta Panda se solicitar una confirmacin de
contrasea. Despus, haz clic en el botn Activar cuenta.
4. Introduce los datos necesarios y haz clic en Guardar datos. Si prefieres facilitar los
datos en otra ocasin, utiliza la opcin Ahora no.
5. Acepte el acuerdo de licencias y haga clic en Aceptar.
Has finalizado con xito el proceso de activacin de la Cuenta Panda. Ahora te encontrars
en la pgina principal de Panda Cloud. Desde aqu ya puedes acceder a la consola Web
de Adaptive Defense 360. Para ello, utiliza el icono de acceso directo que encontrars en
Mis servicios.
35
Gua para administradores de red
5. La consola de
administracin
Estructura general de la consola Web de
administracin
36
Gua para administradores de red
5.1. Introduccin
37
Gua para administradores de red
La consola Web de administracin cuenta con recursos que facilitan al administrador una
experiencia de gestin homognea y coherente, tanto en la administracin de la
seguridad de la red como en las tareas de resolucin y anlisis forense.
El objetivo es entregar una herramienta sencilla, pero a la vez flexible y potente, que
permita al administrador empezar a gestionar la seguridad de la red de forma productiva
en el menor perodo de tiempo posible.
38
Gua para administradores de red
- Estado
- Equipos
- Instalacin
- Configuracin
- Cuarentena
- Informes
- Otros servicios
Ventana Estado
39
Gua para administradores de red
La ventana Estado es la primera que se muestra una vez que se accede a la consola Web.
En ella se detalla informacin sobre el estado de la proteccin y sus licencias, utilizando
para ello unos contadores que permiten determinar de un vistazo el estado de la seguridad
del parque informtico.
Si an no se ha instalado la proteccin en ningn equipo, se mostrar la ventana Equipos
con un mensaje invitando a hacerlo y las indicaciones necesarias para ello.
La ventana Estado est compuesta por paneles con informacin grfica que describe el
estado de la seguridad de la red y de licenciamiento de Adaptive Defense 360.
Ventana Equipos
Contiene la informacin de estado de los equipos de la red. La ventana Equipos mostrar
un asistente de instalacin en caso de que todava no haya ningn equipo con un agente
instalado en la red.
Desde la ventana Equipos es tambin posible agregar agentes, aunque esta tarea se
aborda de forma completa en la ventana Instalacin.
Ventana Instalacin
40
Gua para administradores de red
Ventana Configuracin
Permite la gestin de grupos y perfiles de proteccin, as como su configuracin.
Consulta los captulos Crear grupos de equipos y Crear perfiles de proteccin para ms
informacin sobre la creacin de perfiles y grupos, y los captulos de perfiles de la proteccin
para Windows, Linux, OS X y Android para la configuracin de los perfiles de proteccin
dependiendo de la plataforma a proteger (Windows, Linux, Mac OS X y Android)
Ventana Cuarentena
Contiene un listado de todos los elementos encontrados en la red que Adaptive Defense
360 ha considerado sospechosos y/o han sido borrados para evitar peligros de infeccin.
Consulta el captulo Cuarentena para obtener ms informacin
Ventana Informes
Los informes permiten obtener y enviar por correo documentos estticos consolidados en
diversos formatos sobre reas concretas del servicio de seguridad.
41
Gua para administradores de red
Usuarios
Permite crear nuevos usuarios de acceso a la consola Web de administracin con
diferentes niveles de acceso.
Preferencias
Agrupa mltiples configuraciones que afectan al comportamiento general de la consola
Web:
Las opciones de configuracin permiten indicar las condiciones de envo de una alerta por
correo:
42
Gua para administradores de red
Ayuda
Contiene la ayuda contextual de la consola Web. Pulsa F1 para acceder a la ayuda
asociada a la pantalla mostrada en la consola Web.
Soporte tcnico
Permite ponerse en contacto con el departamento tcnico de Panda Security para realizar
consultas o reportar incidencias.
Buzn de sugerencias
Permite ponerse en contacto con el departamento de producto de Panda Security para
enviar comentarios y sugerencias de mejora del servicio.
Acuerdo de licencia
Muestra el EULA del producto
43
Gua para administradores de red
Acerca de
Muestra las versiones de los diversos componentes del servicio.
- Desplegables de seleccin
- Combos de seleccin
- Botones
- Casillas de activacin y desactivacin.
- Cuadros de texto
En muchos casos la consola Web realiza un anlisis del texto introducido para comprobar
que los datos sean correctos (existencia del carcter @ en cuadros de texto para la
introduccin de direcciones de correo, comprobacin de datos numricos etc)
Para la navegacin de listados Adaptive Defense 360 utiliza tablas. Todas las tablas tienen
una cabecera que permite establecer un criterio de ordenacin. Haciendo clic sobre una
cabecera se selecciona esa columna como referente ascendente de ordenacin de la
tabla. Volviendo a hacer clic la ordenacin ser descendente.
44
Gua para administradores de red
45
Gua para administradores de red
6. Licencias
Contratacin y renovacin de licencias
Estado de las licencias
Asignacin y liberacin de licencias
Notificaciones por fecha de caducidad de
licencias contratas
46
Gua para administradores de red
6.1. Introduccin
Para utilizar el servicio es necesario adquirir licencias de Adaptive Defense 360 para
Windows /Linux / Android o de Adaptive Defense 360 para OS X en caso de requerir
proteccin para equipos de esta plataforma. De acuerdo con las necesidades del parque
informtico a proteger ser necesario instalar las protecciones en equipos, desinstalarlas,
eliminar equipos de la lista de equipos protegidos, aadir nuevos equipos a dicha lista, etc.
La utilizacin que se haga de las licencias tiene su reflejo en el nmero de licencias
disponibles
Las licencias de Adaptive Defense 360 para Windows/Linux/Android pueden ser utilizadas
indistintamente en equipos con sistema operativo Windows, Linux o Android.
Si deseas proteger equipos y servidores OS X, debers adquirir licencias especficas para ello, ya
que son independientes de las que se adquieren para equipos con sistema operativo
Linux/Windows/Android.
6.2.1 Mantenimientos
Las licencias se agrupan en mantenimientos. Un mantenimiento es un conjunto de licencias
con las caractersticas mostradas a continuacin:
47
Gua para administradores de red
y en Detalles
En la parte superior se muestra el estado de las licencias repartido en 2 grupos segn el tipo:
48
Gua para administradores de red
Al pasar el puntero del ratn por encima de cada color se mostrar un tooltip con el
nmero de equipos que coincidan con el criterio mostrado en la leyenda en el grfico.
Haciendo clic en las diferentes zonas del panel se mostrar informacin extendida del
estado de las licencias.
Equipos de la red
En la parte central del panel de licencias se muestran todos los equipos encontrados en la
red del cliente, independientemente de su estado (con licencia vlida asignada o no, con
errores etc). Este contador incluye tambin los equipos localizados por la herramienta de
descubrimiento.
Al hacer clic en el contador se mostrar la ventana Equipos
Equipos ok
La franja azul del crculo se corresponde con aquellos equipos protegidos, es decir, equipos
con una licencia de Adaptive Defense 360 vlida y que no presenten errores en sus
protecciones.
Estos equipos consumen licencia
Equipos excluidos
49
Gua para administradores de red
La franja azul representa a los equipos excluidos. En caso de tener un nmero de licencias
contratadas menor que el nmero total de equipos a proteger, podemos priorizar la
asignacin de unos equipos frente a otros excluyendo equipos.
Los equipos excluidos son aquellos equipos que el administrador ha determinado que no
sern protegidos temporalmente. Los equipos excluidos no compiten por obtener una
licencia libre, no se actualizan ni reportan su estado al servidor Adaptive Defense 360.
Estos equipos no consumen licencia
Equipos desprotegidos
Representados por la franja amarilla, son equipos desprotegidos debido a que el proceso
de instalacin del agente no ha sido completado con xito, son equipos descubiertos en
la red mediante la herramienta de descubrimiento o son equipos cuyo agente ha sido
desinstalado.
Estos equipos no consumen licencia.
Al Instalar el agente en un equipo, del total de licencias disponibles se restar una licencia
de Adaptive Defense 360 para Windows/Linux/Android o de Adaptive Defense 360 para OS
X, en funcin del sistema operativo en el que instale la proteccin de forma automtica.
Al eliminar un equipo de la lista de equipos protegidos, al total de licencias disponibles se
sumar una licencia de Adaptive Defense 360 para Windows/Linux/Android o de Adaptive
Defense 360 para OS X, en funcin del sistema operativo del equipo eliminado y de forma
automtica.
Al disminuir en X unidades el nmero de licencias contratadas por caducidad pasarn al
estado Sin licencia tantos equipos Windows/Linux/Android u OS X como licencias del
sistema operativo en cuestin hayan disminuido.
Reasignar licencias
En los casos en los que el nmero de licencias contratadas sea menor que el nmero de
equipos a proteger en la red, este excedente de equipos pasar a formar parte de la
pestaa Sin licencia. Estos equipos competirn por cualquier incremento de licencias
disponibles que se produzca, tal y como se explica en el apartado Contratacin y
renovacin de licencias.
Para evitar que un equipo sin licencia compita por las nuevas licencias contratadas es
necesario borrarlo de la consola Web. Para ello, en la ventana Equipos, pestaa Sin licencia
seleccionar los equipos y hacer clic en el desplegable Eliminar los equipos seleccionados.
En el caso de querer liberar la licencia de un equipo correctamente licenciado es necesario
excluir el equipo con licencia. En este momento esa licencia quedar libre y ser asignada
a un equipo de la lista Sin licencia.
No se puede utilizar el borrado de un equipo con licencia ya que, en la siguiente comunicacin
con el servidor, Adaptive Defense 360 volver a dar de alta al equipo en la consola
50
Gua para administradores de red
Consulta el captulo Gestin de licencias para obtener ms informacin sobre las notificaciones.
51
Gua para administradores de red
7. Gestin de
cuentas
Delegar la gestin de la cuenta
Unificar cuentas
52
Gua para administradores de red
7.1. Introduccin
Los usuarios de la consola con permisos de control total pueden acceder a las
funcionalidades de gestin de cuentas que Adaptive Defense 360 pone a su disposicin:
delegar la gestin de una cuenta y unificar cuentas.
Ambas opciones estn accesibles en la ventana Gestin de cuentas, accesible desde el
men Preferencias y haciendo clic en Gestionar cuentas.
Esta opcin permite que la seguridad de los equipos sea gestionada por un proveedor de
servicio (partner) o tambin modificar el proveedor al que desea encomendar la gestin
de la seguridad.
53
Gua para administradores de red
El proceso de traspaso de datos no es inmediato, por lo que puede que transcurra un tiempo
hasta que pueda comprobarlo en la consola Web de su cuenta-destino.
54
Gua para administradores de red
Defense 360
- La cuenta-origen y la cuenta-destino tienen que tener la misma versin de
Adaptive Defense 360
- Ni la cuenta-origen ni la cuenta-destino pueden tener licencias que hayan
expirado
- La cuenta-origen y la cuenta-destino tienen que pertenecer al mismo partner
- La cuenta-origen tiene que tener menos de 10.000 licencias. La cuenta-destino s
podr tener ms de 10.000 licencias.
- La cuenta-origen y la cuenta-destino tienen que tener los mismos servicios
adicionales contratados.
55
Gua para administradores de red
56
Gua para administradores de red
8. Usuarios
Creacin de usuarios
Modificar los datos de un usuario
Borrar usuario
Asignacin de permisos a usuarios / grupos
Tipos de permisos
57
Gua para administradores de red
8.1. Introduccin
En este captulo el trmino usuario se refiere a las diferentes cuentas creadas para acceder a la
consola Web, y no a los usuarios de la red que trabajan con equipos protegidos por Adaptive
Defense 360
El men Usuarios distribuye la informacin en tres columnas: Login Email, Nombre y Permisos.
A medida que se vayan creando usuarios, stos aparecern en el listado, junto al tipo de
permisos que les haya otorgado.
58
Gua para administradores de red
En esta ventana podrs modificar los comentarios, el permiso y los grupos de equipos a los
que tiene acceso, pero no se podr modificar el Login Email ni el nombre de usuario.
En el caso del usuario por defecto, solo se podr modificar el campo Comentarios.
59
Gua para administradores de red
Una vez terminado el proceso ambas consolas Web (Panda Cloud y Adaptive Defense 360)
mostrarn el nuevo nombre del usuario.
60
Gua para administradores de red
Adaptive Defense 360 permite asignar distintos tipos de acceso para un usuario concreto
de la consola sobre uno o ms grupos de equipos. De esta forma un usuario nicamente
podr gestionar la seguridad de los equipos que forman parte de los grupos a los que tiene
acceso.
Para asignar permisos a grupos edita el usuario y selecciona los grupos a los que
pertenecen los equipos que el usuario podr gestionar su seguridad.
En Adaptive Defense 360 se han establecido tres tipos de permisos. En funcin del permiso
que se asigne a un usuario, ste podr realizar mayor o menor nmero de acciones que
afectarn o bien a todos o a algunos equipos y grupos.
Las acciones que el usuario podr llevar a cabo afectan a diferentes aspectos de
configuracin bsica y avanzada de la proteccin, y van desde la creacin y modificacin
de sus propias credenciales de usuario y la configuracin y asignacin de perfiles a grupos
y equipos, hasta la generacin y obtencin de diferentes tipos de informes, entre otros.
Los permisos existentes son:
61
Gua para administradores de red
- Permiso de administrador
- Permiso de monitorizacin
- Copiar perfiles y ver todas las copias realizadas de todos los perfiles.
- Configurar anlisis programados de rutas especficas para cualquier perfil.
- Visualizar informes (informes inmediatos, no programados), de cualquier grupo.
- Crear tareas de envo de informes programados sobre cualquier grupo
- Visualizar todas las tareas de envo de informes.
62
Gua para administradores de red
- Crear tareas de bsqueda para que equipos de los grupos sobre los que se tienen
permisos realicen la bsqueda.
- Visualizar y/o eliminar cualquiera de las tareas de bsqueda de equipos creadas,
pero slo desde equipos pertenecientes a grupos sobre los que tenga permiso.
63
Gua para administradores de red
- Crear tareas de envo de informes programados sobre grupos sobre los que tenga
permisos
- Visualizar las tareas de envo de informes que incluyan grupos a los que tenga
permiso, siempre y cuando el permiso sea extensible a todos los grupos que
aparezcan en el informe. En caso contrario no podr visualizar la tarea de envo de
informes.
64
Gua para administradores de red
9. Instalacin de
la proteccin
Visin general del despliegue de la proteccin
Instalacin en equipos Windows
Instalacin en equipos Windows con Microsoft
Exchange
Instalacin en equipos Linux
Instalacin en equipos Mac OS X
Instalacin en dispositivos Android
Introduccin a la instalacin mediante
imgenes
Desinstalacin de la proteccin
65
Gua para administradores de red
9.1. Introduccin
La instalacin es el proceso que distribuye en los equipos el software necesario para activar
el servicio de proteccin avanzado, la monitorizacin y la visibilidad del estado de la
seguridad de la red.
Es importante instalar la proteccin en todos los equipos de la red del cliente para evitar
brechas de seguridad que ms tarde puedan ser aprovechadas por los atacantes
mediante malware dirigido especficamente a los equipos vulnerables.
Adaptive Defense 360 ofrece varias herramientas que facilitan la instalacin de la
proteccin, estas herramientas estn disponibles o no dependiendo de la plataforma
destino de la proteccin.
A continuacin, se muestra una tabla con las herramientas incorporadas en Adaptive
Defense 360 y su disponibilidad segn la plataforma de destino.
Herramienta Plataforma
Descarga del
agente desde la SI SI SI SI
consola
Generacin de
URL de SI SI SI SI
descarga
Herramienta de
distribucin SI No No No
centralizada
Bsqueda de
equipos SI No No No
desprotegidos
66
Gua para administradores de red
Haciendo clic en el icono se inicia la descarga del paquete apropiado. Hay que tener en
cuenta que, si bien en general este mtodo de instalacin es muy parecido para todos los
sistemas operativos (Windows, Linux, OS X, Android), es recomendable consultar ms
adelante en este mismo captulo el apartado de instalacin correspondiente a cada
plataforma, con el fin de conocer a fondo las peculiaridades del proceso de instalacin.
67
Gua para administradores de red
del instalador.
68
Gua para administradores de red
En esta pantalla se muestra un listado de las bsquedas anteriores, editables haciendo clic
en cada una de ellas. Adems, haciendo clic en el botn Nueva bsqueda accederemos
a una nueva pantalla de configuracin de bsquedas.
Tipos de bsqueda
69
Gua para administradores de red
Se podr limitar el alcance del barrido de la red, eligiendo una de las siguientes opciones:
- Red con Primary Domain Controller (PDC / BDC) o Active Directory (AD) instalado
El servidor PDC o AD toma el rol de Domain Master Browser y genera una nica la lista
completa que obtiene de cada Examinador Principal con los equipos encontrados en
cada segmento de red. El administrador podr ver un nico listado en la consola Adaptive
Defense 360 con todos los equipos de la red.
- Red sin Primary Domain Controller (PDC / BDC) ni Active Directory (AD) instalado.
Al no existir un equipo que haga las veces de Domain Master Browser el Examinador
Principal de cada segmento de red solo contiene la lista de los equipos que pertenecen a
ese segmento. El equipo Adaptive Defense 360 que realiza la bsqueda nicamente
obtendr la lista del segmento al que pertenece.
Para obtener un resultado completo ser necesario programar desde la consola Adaptive
Defense 360 una bsqueda independiente para cada segmento de red.
70
Gua para administradores de red
71
Gua para administradores de red
El proceso de instalacin comprende una serie de pasos a seguir dependiendo del estado
de la red en el momento del despliegue y del nmero de equipos a proteger. Para
desarrollar un despliegue con garantas de xito es necesario elaborar una plantificacin
que comprenda los puntos enumerados a continuacin:
Dependiendo del nmero total de equipos Windows ser preferible realizar una instalacin
con la Herramienta de distribucin centralizada o con herramientas de terceros, o por el
contrario utilizar la herramienta Generacin de URL de descarga para su envo por email al
usuario y as efectuar una instalacin manual.
Versiones Trials
En versiones de evaluacin por defecto Adaptive Defense 360 se instalar en un equipo
que ya dispone de otra solucin ajena a Panda Security. De esta forma podrs evaluar
Adaptive Defense 360 comprobando cmo registra amenazas avanzadas que pasan
inadvertidas para el antivirus tradicional instalado.
Versiones comerciales
En este caso, por defecto Adaptive Defense 360 no se instalar en un equipo que ya
dispone de otra solucin ajena a Panda Security. Si Adaptive Defense 360 dispone del
desinstalador de dicho producto, lo desinstalar y a continuacin se lanzar la instalacin
de Adaptive Defense 360
72
Gua para administradores de red
73
Gua para administradores de red
Para obtener un resultado completo ser necesario programar desde la consola Adaptive
Defense una bsqueda independiente para cada segmento de red.
- https://www.pandacloudsecurity.com/
- https://managedprotection.pandasecurity.com/
- https://pandasecurity.logtrust.com
Actualizaciones
- http://acs.pandasoftware.com/member/installers/
- http://acs.pandasoftware.com/member/uninstallers/
- http://enterprise.updates.pandasoftware.com/pcop/pavsig/
- http://enterprise.updates.pandasoftware.com/pcop/files/
74
Gua para administradores de red
- http://enterprise.updates.pandasoftware.com/pcop/nano
- http://enterprise.updates.pandasoftware.com/pcop/sigfiles/sigs
- http://acs.pandasoftware.com/free/
- http://acs.pandasoftware.com/sigfiles
- http://acs.pandasoftware.com/pcop/uacat
- http://enterprise.updates.pandasoftware.com/pcop/uacat/
- http://enterprise.updates.pandasoftware.com/updates_ent/
- https://pcopsupport.pandasecurity.com
- http://pcoplinux.updates.pandasecurity.com/updates/nanoupdate.phtml (Linux
systems)
- http://pcoplinux.downloads.pandasecurity.com/nano/pavsignano/nano_1/ (Linux
systems)
- http://www.intego.com (OS X systems)
- https://mp-agents-inst.pandasecurity.com
- http://mp-agents-inst.pandasecurity.com/Agents/Service.svc
- https://mp-agents-inst.pandasecurity.com/AgentsSecure/Service.svc
- http://mp-agents-sync.pandasecurity.com/Agents/Service.svc
- https://mp-agents-sync.pandasecurity.com/AgentsSecure/Service.svc
- http://mp-agents-async.pandasecurity.com/Agents/Service.svc
- https://agentscomp.pandasecurity.com/AgentsSecure/Service.svc
- https://pac100pacprodpcop.table.core.windows.net
- https://storage.accesscontrol.pandasecurity.com
- https://prws.pandasecurity.com
- http://beaglecommunity.appspot.com (Panda Cloud Cleaner)
- http://waspproxy.googlemail.com (Panda Cloud Cleaner)
- http://proinfo.pandasoftware.com
- http://proinfo.pandasoftware.com/connectiontest.html
Si la conexin con las URLs arriba indicadas no es posible, el producto intentar
conectarse a http://www.iana.org.
- https://euws.pandasecurity.com
- https://rpuws.pandasecurity.com
- https://rpkws.pandasecurity.com/kdws/sigs
- https://rpkws.pandasecurity.com/kdws/files
- https://cpg-kw.pandasecurity.com
- https://cpp-kw.pandasecurity.com
- https://cpg-fulg.pandasecurity.com
- https://cpp-fulg.pandasecurity.com
- https://cpg-fusm.pandasecurity.com
- https://cpp-fusm.pandasecurity.com
75
Gua para administradores de red
- https://cpg-fuo.pandasecurity.com
- https://cpp-fuo.pandasecurity.com
- https://ows.pandasecurity.com
- https://sm.pandasecurity.com/csm/profile/downloadAgent/
Es necesario habilitar los puertos (intranet del cliente) TCP 18226 y UDP 21226 para una
correcta comunicacin entre los agentes de comunicaciones de Adaptive Defense, as
como los puertos 443 y 80 en el proxy.
En dispositivos de tipo perimetral, tales como cortafuegos avanzados, que inspeccionan y
bloquean comunicaciones en funcin de su contenido se recomienda agregar reglas
adicionales que permitan el trfico libre a las URLs mencionadas
Estaciones:
Sistemas operativos: Windows 10, Windows 8.1, Windows 8, Windows 7
(32 y 64-bit), Windows Vista (32 y 64-bit), Windows XP (32 y 64-bit) SP2 y
superior.
Memoria RAM: Para la proteccin Antivirus: 64 MB y para la proteccin
Firewall: 128 MB
- Servidores
Sistemas operativos: Windows Server 2003 (32 y 64 bits) SP1 y superior,
Windows Server 2008 (32 y 64 bits)*, Windows Server 2008 R2*, Windows
Server 2012 y Windows Server 2012 R2.
Memoria RAM: 256 MB
Los servidores Windows Server Core no son directamente compatibles con el producto. No
obstante, instalando el sistema grfico permitir ejecutar Adaptive Defense 360 sin problemas.
76
Gua para administradores de red
Para distribuir desde la herramienta de distribucin a mquinas con Windows server 2008 R2, se
debe activar la opcin de Activar la gestin remota del servidor desde otro ordenador. Esta
opcin, est desactivada por defecto, y es necesario que est activada y permitida por el
firewall. Para activar esta opcin, se deben seguir las instrucciones de Microsoft especificadas en
el siguiente artculo: http://support.microsoft.com/kb/976839.
- Exchange 2003:
http://technet.microsoft.com/es-es/library/cc164322(v=exchg.65).aspx
- Exchange 2007:
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.80).aspx
- Exchange 2010:
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.141).aspx
- Exchange 2013
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.150).aspx
- Exchange 2016
https://technet.microsoft.com/es-es/library/aa996719(v=exchg.160).aspx
Las versiones de Microsoft Exchange Server soportadas por Adaptive Defense 360 son:
77
Gua para administradores de red
Los Roles en los que se instala la proteccin Servidores Exchange en Exchange 2007 y
Exchange 2010 son:
- Mailbox
- Hub Transport
- Edge Transport
Los Roles en los que se instala la proteccin Servidores Exchange en Exchange 2013 son:
- Mailbox
- Exchange 2003: Windows Server 2003 32 bits SP1+ y Windows Server 2003 R2 32 bits
- Exchange 2007: Windows Server 2003 64 bits SP1+, Windows Server 2003 R2 64 bits,
Windows 2008 64 bits y Windows 2008 R2
- Exchange 2010: Windows 2008 64 bits y Windows 2008 R2
- Exchange 2013: Windows Server 2012 y Windows Server 2012 R2
- Exchange 2016: Windows Server 2012, Windows Server 2012 R2 y Windows Server
2016.
- http://pcoplinux.updates.pandasecurity.com/updates/nanoupdate.phtml
- http://pcoplinux.downloads.pandasecurity.com/nano/pavsignano/nano_1/
78
Gua para administradores de red
Prerrequisitos
Para que el producto funcione correctamente el sistema debe cumplir los siguientes
requisitos:
79
Gua para administradores de red
Hardware
80
Gua para administradores de red
Una vez instalado el agente Adaptive Defense 360 en el dispositivo Android ser necesaria
su vinculacin a un grupo concreto. Para ello es necesario seleccionar en la consola el
grupo apropiado en el desplegable Grupo y hacer clic en Aadir este dispositivo al grupo
en el dispositivo Android para escanear el segundo cdigo QR mostrado.
En el caso de Adaptive Defense 360, puedes utilizar un EMM compatible con Android for
Work para instalar e integrar la app en los dispositivos Android que deseas proteger.
Para ello, necesitars configurar dos parmetros en tu EMM:
URL de integracin
En este parmetro debes introducir la URL que aparece en la pantalla de instalacin,
dentro de Generar URL de instalacin, una vez has seleccionado el grupo en el que quieres
integrar el dispositivo
81
Gua para administradores de red
Nombre automtico
Dependiendo de la seleccin que hagas (True o False) el nombre que se asignar al
dispositivo ser diferente. La opcin por defecto es False.
- True
Si seleccionas esta opcin, se asignar automticamente un nombre al dispositivo. Este
nombre ser el que se mostrar en la consola Web de Adaptive Defense 360, y tendr el
siguiente formato:
<Modelo de dispositivo>_<identificador nico>
- False
En este caso, tendrs que introducir el nombre que deseas asignar al dispositivo.
- https://dmp.devicesmc.pandasecurity.com
- https://pcopsupport.pandasecurity.com
- https://rpuws.pandasecurity.com
- https://rpkws.pandasecurity.com/kdws/sigs
- http://iext.pandasecurity.com/ProyIEXT/ServletIExt
Para que las notificaciones push funcionen correctamente desde la red de la empresa es
necesario abrir los puertos 5228, 5229 y 5230 a todo el bloque ASN 15169 de IPs
correspondientes a Google
82
Gua para administradores de red
Adaptive Defense 360 ofrece tres herramientas para la desinstalacin de las protecciones
instaladas. A continuacin, se muestra una tabla con la disponibilidad de cada mtodo
segn la plataforma a desinstalar.
Herramienta Plataforma
Desinstalacin
SI SI SI SI
local
Desinstalacin
con herramienta
SI No No No
de distribucin
centralizada
Desinstalacin
desde la
SI No No No
consola de
administracin
83
Gua para administradores de red
En Windows 8 o superior:
En Windows XP:
En OS X:
- Finder > Aplicaciones > Arrastre el icono de la aplicacin que desea desinstalar a
la papelera.
En dispositivos Android:
84
Gua para administradores de red
85
Gua para administradores de red
86
Gua para administradores de red
Segn el tipo de permiso del que disponga el usuario de la consola, se podrn crear,
visualizar o eliminar tareas de desinstalacin de protecciones.
Si deseas ver los detalles de alguna de las desinstalaciones, haz clic sobre el nombre de la
desinstalacin y acceder a la pantalla Resultado de la desinstalacin.
87
Gua para administradores de red
10. Actualizacin de la
proteccin
Actualizacin de sistemas Windows
Actualizacin de sistemas Linux
Actualizacin de sistemas Mac OS X
Actualizacin de sistemas Android
88
Gua para administradores de red
10.1. Introduccin
Adaptive Defense 360 es un servicio cloud gestionado que no requiere por parte del
administrador la ejecucin de taras relativas a la actualizacin de los servidores o de la
infraestructura de back-end encargada de soportar el servicio de proteccin; sin embargo,
s es necesaria la actualizacin de los agentes instalados en los equipos de la red del cliente.
Los elementos instalados en el equipo del usuario son dos:
- Motor de la proteccin
- Archivo de identificadores
Mdulo Plataforma
Automtico y
Proteccin Local Automtico Automtico
configurable
Archivo de Automtico y
Automtico Automtico Automtico
identificadores configurable
89
Gua para administradores de red
90
Gua para administradores de red
-
El intervalo de das del mes en los que se realizar la actualizacin.
-
El intervalo de fechas en los que se realizar la actualizacin.
-
Indica qu familias de equipos se reiniciarn de forma automtica
despus de aplicar una actualizacin.
La actualizacin no se aplicar hasta el reinicio del equipo. Si no se activa la casilla de reinicio
automtico y el equipo no se reinicia de forma manual pasados 15 das, el agente empezar a
mostrar mensajes al usuario para que reinicie el equipo.
91
Gua para administradores de red
Pero esta funcionalidad es muy til tambin en el caso de actualizaciones del motor de la
proteccin y del archivo de identificadores, y se implementa en los dos procesos locales
que necesitan descargar ficheros de Internet: WalUpd y WalUpg.
La activacin se hace en los ficheros de configuracin walupd.ini y walupg.ini,
situados en la carpeta InstallDir del directorio de instalacin de Adaptive Defense 360:
WALUPD.ini
[GENERAL]
UPDATE_FROM_LOCAL_NETWORK=1
WALUPG.ini
[GENERAL]
UPGRADE_FROM_LOCAL_NETWORK=1
92
Gua para administradores de red
Funcionamiento
Cuando una mquina termina de actualizar los ficheros de firmas o alguna proteccin (o
el propio agente) enva por broadcast la informacin de los ficheros que tiene disponibles
al resto de mquinas de la red.
En cuanto al envo de la informacin para WALUpg, en caso de ser necesario algn reinicio
despus de la instalacin/actualizacin de las protecciones, si el usuario opta por no
reiniciar el equipo inmediatamente sino ms tarde, la informacin de la funcionalidad P2P
se enviar de forma inmediata en lugar de esperar al reinicio.
El funcionamiento se muestra en el siguiente diagrama:
Las mquinas que reciben el mensaje guardarn la informacin que han recibido para
utilizarla cuando la necesiten.
93
Gua para administradores de red
94
Gua para administradores de red
95
Gua para administradores de red
11. Grupos
rbol de grupos
Tipos de grupo
Creacin de grupos de tipo manual
Creacin de grupos automticos por
direcciones IP
Creacin de grupos automticos por Directorio
activo
Mover equipos de forma manual a un grupo
Editar y eliminar grupos
Restricciones de grupo
96
Gua para administradores de red
11.1. Introduccin
Adaptive Defense 360 permite organizar mediante agrupaciones los equipos de la red con
caractersticas de proteccin y seguridad comunes.
De esta forma, en redes de ms de 10 PCs es usual crear varios grupos que contengan a
todos los equipos con requisitos de seguridad similares, como por ejemplo los PCs de un
departamento, los equipos manejados por usuarios de una misma categora en la empresa
o con conocimientos informticos equivalentes etc.
La creacin y gestin de grupos se realiza desde la ventana Equipos o desde la ventana
Configuracin mediante los tres iconos situados en la parte inferior del rbol de grupos.
97
Gua para administradores de red
El nodo padre est situado en la parte superior y de l cuelgan todos los grupos y subgrupos
definidos por el administrador. Adaptive Defense 360 se entrega con un grupo DEFAUL pre
generado que, por defecto agrupar a todos los dispositivos con un agente instalado.
Cada nodo del rbol de grupos cuenta con una flecha situada a la izquierda que permite
desplegarlo en caso de que contenga subgrupos.
Grupo manual
98
Gua para administradores de red
El proceso de creacin de estos grupos es el mismo que los grupos manuales, pero
seleccionando Automtico por direcciones IP en Tipo de grupo.
Una vez creado el grupo se mostrar la ventana de edicin. Desde esta ventana se podrn
crear y configurar las reglas automticas para el grupo que se acaba de crear.
99
Gua para administradores de red
- El nombre de la regla
- El perfil de proteccin que se asignar a la regla
- El o los rangos de IPs que forman la regla.
Una vez terminada la configuracin haz clic en Ok para finalizar la creacin de la regla.
Cada una de las reglas as creadas genera automticamente un subgrupo dentro del
grupo de tipo Automtico por direcciones IP creado en el paso previo. Los equipos que
pertenezcan a un grupo de tipo Automtico por direcciones IP se movern
automticamente al subgrupo apropiado en funcin de su direccin IP.
En cada lnea se podrn mostrar de una a tres cadenas de datos separadas por tabulador,
en el siguiente orden:
- Ruta del grupo a crear (desde el origen de la importacin sin incluir el grupo
Todos), por ejemplo: \Justicia, palacio\sala1
- Rango de IP, con dos posibilidades: IP-IP o IP-mscara (este campo es opcional)
100
Gua para administradores de red
En el caso de no especificar rango de IP pero s perfil, habr que utilizar doble tabulador
entre los dos campos visibles (ruta del grupo y perfil):
\PalacioJusticia PJusticia
Otros ejemplos:
\Hospital\Urgencias\Ambu1 10.10.10.10-10.10.10.19
\Hospital\Urgencias
\Hospital\Urgencias\Ambu2 10.10.10.20-10.10.10.29 PAmbulancia
\Hospital\AmbulatorioAreilza 10.10.20.10/22 PerfilAmbulatorio
\Justicia,Palacio\Segunda Instancia 10.10.50.10/12 Justicia 2
Si al importar grupos mediante un archivo .csv la informacin de alguna de las lneas del
fichero no es correcta, se mostrar un error especificando la lnea y cadena cuyo formato
no es vlido. En caso de error en al menos una de las lneas ningn grupo del archivo .csv
ser importado.
Una vez se hayan importado satisfactoriamente grupos mediante un archivo .csv dentro de un grupo
automtico por IP, ya no ser posible volver a repetir esta accin para ese mismo grupo
El proceso de creacin de estos grupos es el mismo que los grupos manuales, pero
seleccionando Automtico por Directorio Activo en Tipo de grupo.
101
Gua para administradores de red
siguiente:
- No todos los equipos de la red tienen un agente Adaptive Defense 360 instalado
que pueda reportar la Unidad Organizativa a la que pertenece, pero el
administrador desea disponer de la estructura del Directorio Activo completa en la
consola Web de administracin.
- El administrador quiere disponer de la estructura completa de grupos y subgrupos
desde el principio y sin necesidad de comenzar el despliegue de los agentes de
Adaptive Defense 360.
Una vez creado el grupo se nos presentar la pantalla de edicin.
102
Gua para administradores de red
- Cada lnea del archivo debe incluir la ruta del grupo, y si se desea el perfil
asociado a ese grupo. Ambos datos debern estar separados por tabulador, es
decir: Group Path tabulador Nombre del Perfil [Opcional]
A la hora de realizar la importacin, se visualiza un enlace que mostrar ayuda sobre cmo
generar el archivo csv para la importacin
103
Gua para administradores de red
104
Gua para administradores de red
105
Gua para administradores de red
En el caso de que el grupo posea subgrupos, podrs aplicar a todos ellos el perfil
seleccionado. Para ello, marca la casilla Asignar el perfil al grupo seleccionado y a todos
sus subgrupos y haz clic en Aceptar.
106
Gua para administradores de red
Eliminar un grupo
Para eliminar un grupo, seleccinalo en el rbol de grupos y a continuacin haz clic en el
icono
107
Gua para administradores de red
contiene grupos o subgrupos. Por ello, antes de eliminar un grupo es necesario proceder a
mover los equipos que lo integran, es decir, es necesario asignarlos a otro grupo/subgrupo.
Una vez realizada la asignacin, entonces s se podr eliminar el grupo/subgrupo en
cuestin.
Las restricciones de grupo sirven para controlar el nmero de equipos que pueden
pertenecer a un determinado grupo y es especialmente til para partners que desean
asignar un determinado grupo a un cliente concreto. Para ello el administrador puede
establecer el nmero total de equipos que pueden pertenecer a un grupo de forma
simultnea y la duracin de esta pertenencia.
Se recomienda el uso del producto gratuito para partners Panda Partner Center para la gestin
completa del ciclo de vida del cliente. Consulte a su comercial para habilitar el acceso al servicio.
Para activar las restricciones de grupo, en el men Preferencias activa la casilla Permitir
asignar restricciones a los grupos en la zona Restricciones de grupo.
Una vez activada, en las ventanas de creacin de grupo se aadirn dos configuraciones
adicionales:
108
Gua para administradores de red
12. Perfiles de
configuracin
Visin general y planificacin de la proteccin
del parque informtico
Creacin y gestin de perfiles de proteccin
Configuracin general de perfiles de proteccin
109
Gua para administradores de red
12.1. Introduccin
110
Gua para administradores de red
Caractersticas /
Windows Linux Mac OS X Android
plataforma mnima
Proteccin avanzada
permanente (Audit, x
Hardening, Lock)
Deteccin de robo de
X
datos
Proteccin ante
X
sistemas vulnerables
Programacin de
X x x x
tareas de anlisis
Proteccin Web X
Cortafuegos de red X
Cortafuegos de
X
aplicaciones
Sistema de deteccin
X
de intrusos
Control de dispositivos x
Proteccin antirrobo x
Para servidores de ficheros y correo Adaptive Defense 360 ofrece las siguientes
caractersticas:
111
Gua para administradores de red
Programacin de tareas de
X X X X
anlisis
Proteccin antispam X
Filtrado de contenidos X
Cortafuegos de red X X
Cortafuegos de
X X
aplicaciones
Sistema de deteccin de
X X
intrusos
Control de dispositivos x X
112
Gua para administradores de red
El objetivo de este punto es determinar los dispositivos de la empresa que recibirn una
configuracin de seguridad de Adaptive Defense 360. Para ello es necesario conocer el
sistema operativo del dispositivo, su rol dentro del parque informtico (servidor, puesto de
trabajo, dispositivo mvil) y el perfil del usuario que lo utilizar, as como el departamento al
que pertenece.
3. Verificar que todos los dispositivos listados tienen un agente Adaptive Defense 360
instalado
Para que los equipos queden integrados en la consola de Adaptive Defense 360 y
protegidos es necesario que tengan instalado un agente y posean una licencia vlida
asignada. Consulta el captulo Instalacin de la proteccin para verificar los
procedimientos de instalacin. Consulta el captulo Gestin de licencias para comprobar
el estado de las licencias de Adaptive Defense 360.
Un perfil de seguridad es una plantilla de configuracin que se asigna a uno o varios grupos
de dispositivos y define el comportamiento de la proteccin.
Algunas caractersticas configurables dentro de un perfil de seguridad son por ejemplo el
tipo de anlisis que se realizar y sobre qu elementos, nivel de acceso del usuario a los
dispositivos conectados en su equipo, cada cunto tiempo se actualizar la proteccin y
otra serie de parmetros.
El administrador necesitar crear tantos perfiles de seguridad como comportamientos de
seguridad distintos requiera la distribucin de equipos en grupos realizada en el punto
anterior.
A la hora de asignar perfiles a los grupos creados, las opciones son varias dependiendo del
tamao de la red de la empresa: un mismo perfil se puede aplicar a varios grupos, cada
grupo creado puede tener un perfil diferente o se puede dar el caso de que slo se
necesiten un nico perfil y un nico grupo para redes pequeas o muy homogneas.
113
Gua para administradores de red
Una vez aplicado el perfil de seguridad los dispositivos que forman el grupo quedarn
protegidos segn el comportamiento de la proteccin descrito en el perfil de seguridad
asignado.
114
Gua para administradores de red
protecciones activas del perfil que deseas copiar, y haz clic en el icono .
Una vez copiado el perfil, ste se mostrar en la lista bajo el perfil original con el mismo
nombre que tiene el perfil original, aadiendo el texto (copia) al final.
115
Gua para administradores de red
En el caso del perfil DEFAULT, es posible hacer una copia de l, pero el perfil copiado no
tendr la condicin de perfil por defecto ni ser asignado automticamente a ningn
equipo. El perfil DEFAULT original ser siendo el predeterminado.
La copia de perfil ser posible en funcin del tipo de permiso del que se disponga.
Si alguno de los puntos anteriores no se cumple el borrado del perfil de proteccin fallar y
se mostrar un error en la consola Web de administracin.
Una vez creado el perfil podremos configurarlo haciendo clic en el mismo, con lo que se
mostrar una nueva ventana con un men lateral de dos niveles donde se agrupan las
caractersticas, distribuidas segn la plataforma del equipo a proteger (Windows, Linux,
116
Gua para administradores de red
Mac OS X y Android)
Pestaa Informacin
Se podr dar un nombre al perfil y aadir una descripcin adicional que sirva para
identificar el perfil y seleccionar el idioma en el que se instalar la proteccin.
La configuracin del idioma por defecto de la proteccin slo afectar a los equipos
Windows, ya que la proteccin de Adaptive Defense 360 para OS X se instala siempre en
ingls. En el caso de los dispositivos Android, la proteccin se instalar en el idioma del
dispositivo y, si no est soportada, en ingls.
Pestaa Proxy
Establece cul es la conexin a Internet del equipo, si sta se realiza a travs de proxy y si
se requiere una autenticacin para ello.
Para equipos en roaming con proxy configurado en el perfil de proteccin aplicado, o para
aquellos casos en los que el proxy deje de estar accesible debido a un fallo temporal, el agente
intentar conectarse a Internet por otros medios disponibles.
En el caso de los equipos con sistema operativo Linux, esta configuracin de la conexin a
Internet es necesario hacerla desde el equipo mediante la lnea de comandos.
Seleccionando la casilla Solicitar datos de acceso a Internet en caso de no detectarse
conexin si el agente no consigue acceder a Internet mostrar una ventana al usuario para
que introduzca los datos de conexin.
117
Gua para administradores de red
Pestaa Aplica a
Segn el perfil se vaya asignando a algn grupo o grupos, stos aparecern listados aqu.
118
Gua para administradores de red
13. Perfiles de
proteccin
Windows
Configuracin general
Configuracin de la proteccin avanzada
Configuracin de la proteccin antivirus
Configuracin de la proteccin Firewall y
deteccin de intrusos
Configuracin del control de dispositivos
Configuracin de la proteccin para servidores
Exchange
Configuracin del control de acceso a las
pginas Web
119
Gua para administradores de red
13.1. Introduccin
Haciendo clic en la entrada Windows y Linux del men lateral se muestra una seccin que
contiene cuatro pestaas de configuracin y que permiten determinar el comportamiento
del agente en lo relativo a actualizaciones, anlisis programados, alertas y configuraciones
avanzadas de instalacin y conectividad.
Actualizaciones
Consulte el captulo Actualizacin de la proteccin para obtener informacin sobre las
actualizaciones
120
Gua para administradores de red
Anlisis programados
Utiliza las opciones que se muestran en la pestaa Anlisis programados para crear tareas
de anlisis, peridicas, puntuales o inmediatas y determinar si afectarn a todo el PC o a
determinados elementos del mismo.
Tambin podrs optar por programar anlisis exclusivos de los discos duros o especificar las
rutas concretas en las que se encuentran las carpetas o archivos que deseas analizar.
A medida que se vayan creando tareas de anlisis, stas se irn aadiendo en el listado
principal de la pestaa Anlisis programados de la ventana Editar perfil, desde donde
podrs editarlas o eliminarlas.
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:
- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.
121
Gua para administradores de red
\\equipo\carpeta
c:\carpeta1\carpeta2
El nmero mximo de rutas a analizar que podrs introducir
por cada perfil es 10. En funcin del permiso que se posea
se podrn establecer rutas especficas de anlisis.
Alertas
Aqu se podrn configurar los dos tipos de alertas generadas por el endpoint Adaptive
Defense 360:
- Alertas locales: son las alertas que mostrar el agente en el equipo del usuario
cuando se detecte malware en los equipos, intentos de intrusin o dispositivos no
permitidos
- Alertas por correo: son las alertas que enviar al administrador el agente Adaptive
Defense 360 por correo, alertando del malware encontrado en los equipos y de las
violaciones de las polticas definidas en el mdulo de Control de Dispositivos.
Al activar la casilla Enviar alertas por correo se podr introducir informacin relativa al
122
Gua para administradores de red
Se enviar una alerta cada vez que se realice una de las siguientes acciones:
- Deteccin de malware
- Deteccin de operacin no autorizada sobre un dispositivo por el mdulo de
Control de dispositivos
Para evitar el bloqueo del buzn de correo del administrador, Adaptive Defense 360 entrar
en modo epidemia cuando se detecten ms de 20 eventos del mismo malware o del
mismo dispositivo en menos de un minuto. A partir de este momento se enviar un nico
correo cada cinco minutos con un resumen del nmero de sucesos detectados. Para salir
del modo epidemia es necesario que en el ltimo minuto no se hayan producido dos o
ms sucesos de ese tipo.
Opciones avanzadas
Aqu se podrn especificar aspectos que tienen que ver con la instalacin de la proteccin
en los equipos, as como con la conexin de stos a Internet y a los servidores de Adaptive
Defense.
Tambin se podrn configurar opciones relacionadas con la cuarentena de los archivos
sospechosos.
123
Gua para administradores de red
Modo
124
Gua para administradores de red
Permite configurar elementos en los equipos de la red que no sern analizados por la
proteccin Adaptive Defense 360
Uso de la red
Para los ficheros ejecutables encontrados en el equipo del usuario y que sean
desconocidos para la plataforma Adaptive Defense 360 el agente enviar el fichero al
servidor para su anlisis. El impacto en el rendimiento de la red del cliente debido al envo
de los ejecutables desconocidos est configurado de forma predeterminada (mximo de
50 Mbytes por hora y agente) para pasar completamente desapercibido. Un fichero
desconocido se enva una sola vez para todos los clientes que usan Adaptive Defense 360.
Adems, se han implementado mecanismos de gestin del ancho de banda con el
objetivo de minimizar el impacto en la red del cliente.
Para configurar el nmero mximo de megas que un agente podr enviar en una hora
introducir el valor y hacer clic en Ok. Para establecer transferencias ilimitadas dejar el valor
a 0.
Privacidad
Para que Adaptive Defense 360 pueda incluir el nombre y la ruta completo de los ficheros
enviados para su posterior visualizacin en los informes y en las herramientas de anlisis
forense, activar la casilla apropiada en la pestaa Privacidad.
125
Gua para administradores de red
Para los casos en los que no sea posible una desinfeccin el fichero ser movido a
cuarentena
Archivos
En esta pestaa se puede configurar el comportamiento bsico de la proteccin antivirus
en lo que a la proteccin del sistema de ficheros se refiere
Correo
En esta pestaa se podr configurar cul va a ser el comportamiento de la proteccin
antivirus del perfil que est creando, en lo que a correo electrnico se refiere.
126
Gua para administradores de red
Web
En esta pestaa se podr configurar el funcionamiento de la proteccin para la
navegacin Web. De esta manera el administrador evitar que los usuarios se vean
afectados por malware o phishing procedente de pginas Web.
Esta proteccin va desactivada por defecto. Para activarla, sigue los siguientes pasos:
Adaptive Defense 360 ofrece tres herramientas bsicas a la hora de filtrar el trfico de red
que recibe o enva el equipo protegido:
127
Gua para administradores de red
General
Los equipos de usuario porttiles pueden conectarse a redes con un grado de seguridad
muy diverso, segn se trate de accesos pblicos, como pueden ser las redes wifi de un
cibercaf, o redes gestionadas o de acceso limitado como la red de la empresa. Para
ajustar el comportamiento por defecto del cortafuegos el administrador de la red deber
de seleccionar el tipo de red al que se conectan usualmente los equipos del perfil
configurado.
- Red pblica: Una red de este tipo es propia de cibercaf, aeropuertos, etc.
Conlleva limitacin de su nivel de visibilidad y en su utilizacin, sobre todo a la hora
de compartir archivos, recursos y directorios
- Red de confianza: Este tipo de red generalmente es de oficina o casera. El equipo
es perfectamente visible para el resto de equipos de la red, y viceversa. No hay
limitaciones al compartir archivos, recursos y directorios
La variacin del comportamiento del endpoint Adaptive Defense 360 segn la red
seleccionada se refleja en la consola en el nmero de reglas aadidas de forma
automtica. Estas reglas se pueden ver en la pestaa Programas y Sistema como reglas de
Panda
Programas
En esta pestaa se pueden establecer qu programas del usuario se podrn comunicar
con la red y cules no.
Para desarrollar una correcta estrategia de proteccin es necesario seguir los pasos
mostrados a continuacin en el orden indicado:
128
Gua para administradores de red
Prevencin de intrusiones
La prevencin de intrusiones permite detectar y rechazar trfico mal formado y preparado
para impactar en el rendimiento o la seguridad del equipo a proteger. Este tipo de trfico
puede provocar un mal funcionamiento de los programas del usuario que lo reciben y
puede derivar en problemas serios de seguridad, permitiendo la ejecucin de aplicaciones
del usuario de forma remota por parte del hacker, extraccin y robo de informacin etc.
Adaptive Defense 360 identifica 15 tipos de patrones genricos que pueden ser activados
o desactivados haciendo clic en la casilla apropiada. A continuacin, se detallan los tipos
de trfico mal formado soportados y una explicacin de cada uno de ellos:
129
Gua para administradores de red
Sistema
En esta pestaa se pueden definir reglas tradicionales de filtrado de trfico TCP/IP. Adaptive
Defense 360 extrae el valor de ciertos campos de las cabeceras de cada paquete que
reciben o envan los equipos protegidos y explora el listado de reglas introducido por el
administrador. Si alguna regla coincide con el trfico examinado se ejecuta la accin
asociada.
Mediante las reglas de sistema se pueden establecer reglas de conexin que afectarn a
todo el sistema, independientemente del proceso que las gestione, y son prioritarias con
respecto a las reglas configuradas anteriormente para la conexin de los programas a la
red.
Para desarrollar una correcta estrategia de proteccin frente a trfico no deseado o
peligroso es necesario seguir los pasos mostrados a continuacin, en el orden que se indica:
1. Establecer la accin por defecto del cortafuegos en Accin por defecto, situada
en la pestaa Programas.
2. Haz clic en el botn Aadir para agregar reglas que describen conexiones de
forma especfica junto a una accin asociada.
130
Gua para administradores de red
Dispositivos de uso comn como las llaves USB, las unidades de CD/DVD, dispositivos de
imgenes, bluetooth, mdems o telfonos mviles pueden constituir tambin una va de
infeccin para los equipos cuya seguridad es necesario preservar.
La opcin de configuracin del control de dispositivos permite determinar cul ser el
comportamiento de este tipo de proteccin para el perfil que se est creando. Para ello
hay que seleccionar el dispositivo o dispositivos que se desea autorizar y asignar un nivel de
utilizacin.
Para activar el control de dispositivos sigue los pasos mostrados a continuacin:
131
Gua para administradores de red
132
Gua para administradores de red
133
Gua para administradores de red
13.6.5 Alertas
Segn cmo sea la configuracin para los dispositivos, se mostrar al usuario un aviso
advirtiendo de ello.
- Dispositivos no permitidos
Cuando la proteccin detecte que se ha conectado al equipo un dispositivo cuyo uso no
est permitido por el perfil de seguridad que se ha aplicado para ese equipo, se mostrar
un aviso al respecto advirtiendo al usuario que no tiene permiso para acceder a dicho
dispositivo.
La proteccin para servidores Exchange est compuesta por los mdulos Antivirus, Anti-
spam y Filtrado de contenidos
Adems, segn el momento de anlisis de Adaptive Defense 360 en el flujo de correo, se
distinguen dos formas de proteccin: proteccin de buzones y proteccin de transporte.
Como los modos de proteccin no estn disponibles para todos los mdulos de proteccin
ni para todas las versiones de Exchange, la tabla mostrada a continuacin muestra las
combinaciones admitidas
134
Gua para administradores de red
2003, 2007, 2010, 2003, 2007, 2010, 2003, 2007, 2010, 2013,
Transporte
2013, 2016 2013, 2016 2016
Proteccin de buzones
Se utiliza en los servidores Exchange con el rol de Mailbox y permite analizar las carpetas /
buzones en backgroud o cuando el mensaje es recibido y almacenado en la carpeta del
usuario.
La proteccin de buzones solo se ofrece para el mdulo Antivirus en los servidores Exchange
2003, 2007 y 2010
Proteccin de transporte
Se utiliza en servidores Exchange con el rol de Acceso de clientes, Edge Transport y Mailbox
y permite analizar el trfico que es atravesado por el servidor Exchange.
13.7.1 Antivirus
Analiza en busca de virus, herramientas de hacking y programas potencialmente no
deseados sospechosos, con destino a buzones situados en el servidor Exchange
El administrador tiene la posibilidad de activar o desactivar la proteccin de buzones y/o
de transporte haciendo clic en la casilla apropiada.
13.7.2 Anti-spam
Para activar o desactivar esta proteccin, utiliza la casilla de verificacin Detectar spam
135
Gua para administradores de red
SCL
SCL -Spam Confidence Level- es una escala de valores comprendidos entre el 0 y el 9 que
se aplican a los mensajes de correo electrnico susceptibles de ser spam. El valor 9 se
asigna a los mensajes que con total probabilidad son spam. El 0 es el valor que se aplica a
los mensajes que no son spam. Este valor SCL se puede utilizar para marcar los mensajes
que posteriormente sern tratados en funcin de un umbral configurable en el Directorio
Activo: la proteccin adjudica al mensaje el valor SCL correspondiente y le permite pasar.
A continuacin, ser el administrador, en funcin del umbral determinado en el Directorio
Activo, quien seleccione la accin que finalmente se realizar con el mensaje.
Filtrado de contenidos
El filtrado de contenidos le permite filtrar los mensajes de correo electrnico en funcin de
cul sea la extensin de los archivos adjuntos incluidos en ellos.
Una vez establecida la lista de mensajes susceptibles de albergar adjuntos sospechosos,
podr indicar qu accin desea que la proteccin realice con dichos mensajes.
Tambin se puede aplicar el filtrado de contenidos a mensajes que incluyan adjuntos con dobles
extensiones
- Considerar archivos adjuntos peligrosos los que tienen las siguientes extensiones:
Marca esta casilla si deseas considerar como peligrosos los archivos adjuntos con
alguna extensin determinada. Una vez marcada la casilla, utiliza los botones
Aadir, Eliminar, Vaciar o Restaurar para configurar la lista de extensiones que
deseas bloquear.
136
Gua para administradores de red
- Considerar archivos adjuntos peligrosos todos los que tienen doble extensin,
excepto en los siguientes casos: el filtrado de contenidos impedir la entrada de
todos los mensajes de correo electrnico con adjuntos de doble extensin,
excepto aquellos cuyos adjuntos tengan las extensiones que usted seleccione.
Utilice los botones Aadir, Eliminar, Vaciar o Restaurar para configurar la lista de
dobles extensiones que s permitir.
- Accin a realizar: selecciona si deseas que los mensajes se borren o si prefieres
desviarlos a otra direccin de correo electrnico. Esto puede resultarle til para
analizar a posteriori, con calma, los adjuntos recibidos y modificar si as lo desea la
lista de extensiones seleccionadas como peligrosas
Registro de detecciones
Todas las detecciones producidas en un servidor Exchange son almacenadas localmente
en un archivo CSV. De esta forma se ofrece al administrador de la red la posibilidad de
obtener informacin adicional acerca de la imposibilidad de entrega de los mensajes a sus
destinatarios.
El fichero recibe el nombre ExchangeLogDetections.csv y se almacena en la carpeta
%AllUsersProfile%\Panda Security\Panda Cloud Office
Protection\Exchange
137
Gua para administradores de red
Cuando desde el equipo se intente acceder a una pgina Web que pertenece a una
categora de las anteriores, se mostrar un aviso en el navegador del usuario indicando
el motivo de la denegacin de acceso.
Cuando se modifiquen las categoras a las que se desea restringir o permitir el acceso,
transcurrir un plazo mximo de 15 minutos hasta que los equipos recojan la nueva
configuracin. Durante este intervalo de tiempo el comportamiento del control de acceso a
pginas Web ser el anterior a la modificacin
138
Gua para administradores de red
A continuacin, selecciona las horas en las que se quiera que el control horario est
activado. Para activarlo slo en un horario determinado, marca la casilla correspondiente
y utiliza la cuadrcula para sealar las horas en las que se activar.
139
Gua para administradores de red
14. Perfiles de
proteccin
Linux
Configuracin general
Configuracin de la proteccin antivirus
140
Gua para administradores de red
14.1. Introduccin
Actualizaciones
En el caso de los equipos con sistema operativo Linux no es posible realizar una
actualizacin automtica, por lo que cuando exista una nueva versin de la proteccin
sta deber instalarse de nuevo en los equipos.
Cuando transcurran 7 das desde que exista una versin de la proteccin superior a la que
los equipos tienen instalada, los equipos con sistema operativo Linux aparecern como
"desactualizados" en la ventana Estado, momento en el que el administrador podr
proceder a instalar la versin superior en los equipos.
En el caso de los equipos con sistema operativo Linux, no es posible configurar la
periodicidad de la actualizacin automtica del archivo de identificadores., se har
siempre cada 4 horas.
Anlisis programados
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:
- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.
141
Gua para administradores de red
Alertas
Las alertas no estn soportadas en Linux
Opciones avanzadas
142
Gua para administradores de red
para proteger los equipos pasa por la realizacin de anlisis bajo demanda o la
programacin de anlisis peridicos explicados en el apartado anterior.
143
Gua para administradores de red
15. Perfiles de
proteccin
Mac OS X
Caractersticas particulares de la proteccin
para Mac OS X
Configuracin general de la proteccin para
OS X
Configuracin de la proteccin antivirus
144
Gua para administradores de red
15.1. Introduccin
145
Gua para administradores de red
Anlisis programados
Utiliza las opciones que se muestran en la pestaa Anlisis programados para crear tareas
de anlisis, peridicas, puntuales o inmediatas y determinar si afectarn a todo el Mac o a
determinados elementos del mismo.
Tambin podrs optar por programar anlisis exclusivos de los discos duros o especificar las
rutas concretas en las que se encuentran las carpetas o archivos que deseas analizar.
A medida que se vayan creando tareas de anlisis, stas se irn aadiendo en el listado
principal de la pestaa Anlisis programados de la ventana Editar perfil, desde donde
podr editarlas o eliminarlas.
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:
- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.
- En la nueva ventana introduce la siguiente informacin:
Nombre: indica el nombre con el que quieres identificar el anlisis que
va a programar.
Tipo de anlisis: selecciona el tipo de anlisis que vas a crear:
Anlisis inmediato: Una vez configurado el anlisis, ste
tendr lugar en el momento en que se produzca la
conexin del equipo con el servidor de Adaptive Defense
360 y se constate que se ha producido alguna modificacin
en la configuracin de la proteccin.
Anlisis programado: el anlisis tendr lugar en la hora y
fecha que se determine en Fecha de comienzo y Hora de
comienzo. Mediante el desplegable es posible determinar si
la hora de comienzo est referida al servidor Adaptive
Defense 360 o es tomada del equipo del usuario.
Anlisis peridico: determina la fecha y hora de comienzo,
146
Gua para administradores de red
Exclusiones
Permite configurar elementos carpetas en los equipos Mac OS X de la red que no sern
analizados por la proteccin Adaptive Defense 360
147
Gua para administradores de red
16. Perfiles de
proteccin
Android
Configuracin de la proteccin antivirus
Configuracin de la proteccin antirrobo
148
Gua para administradores de red
16.1. Introduccin
Exclusiones
La proteccin para Android permite realizar exclusiones de cualquiera de las aplicaciones
instaladas, en su totalidad. Para ello, sigue los siguientes pasos:
- Introduce el nombre del paquete de Android (apk) que deseas excluir de los
anlisis y haz clic en Aadir.
- Utiliza los botones Eliminar y Vaciar si necesitas limpiar o modificar la lista de
exclusiones.
149
Gua para administradores de red
Actualizaciones
Se pueden realizar las actualizaciones del archivo de identificadores de forma automtica
marcando la casilla Activar actualizacin automtica del conocimiento. Adems, tambin
se pueden limitar las actualizaciones nicamente a aquellos momentos en que el usuario
est conectado a una red Wi-Fi para evitar cargos en la tarifa de datos contratada.
Anlisis programados
Para programar un anlisis, haz clic en el botn Nuevo.
Utiliza las opciones que se muestran en la ventana Nueva tarea de anlisis para crear tareas
de anlisis, que podrn ser inmediatas, programadas o peridicas.
A medida que se vayan creando tareas de anlisis, stas se mostrarn en el listado de
anlisis programados del perfil para el que est configurando la proteccin antivirus. Desde
all se podrn editar o eliminar.
La proteccin antirrobo de Adaptive Defense 360 permite controlar en todo momento los
dispositivos Android de la empresa y determinar cul ser su comportamiento en el caso
de robo o prdida.
Al configurar esta proteccin desde la consola Web Adaptive Defense 360 podrs localizar
los dispositivos, borrarlos, bloquearlos, sacar una fotografa al ladrn y enviarla por correo
electrnico a una direccin concreta.
150
Gua para administradores de red
151
Gua para administradores de red
17. Visibilidad y
monitorizacin
del malware
Panel de control
Detecciones de malware
Listados de incidencias y malware detectado
152
Gua para administradores de red
17.1. Introduccin
Con estas cuatro herramientas el administrador podr valorar en todo momento y de forma
muy precisa el potencial riesgo de infeccin de sus equipos gestionados.
El objetivo final de las herramientas de visualizacin y monitorizacin es el de poder
determinar el impacto de las brechas de seguridad y tomar las medidas apropiadas, tanto
para mitigar su efecto como para evitar situaciones equivalentes en el futuro.
El panel de control de Adaptive Defense 360 es accesible desde la ventana Estado y est
distribuido en dos grandes secciones: Actividad y Detecciones. Cada seccin contiene
diversos paneles que muestran toda la informacin necesaria para que el administrador
pueda determinar el estado de la seguridad de un solo vistazo.
Los paneles se generan en tiempo real y son interactivos: pasando el ratn por encima de
los elementos se muestran tooltips con informacin extendida, y haciendo clic en los
elementos se abrirn ventanas con listados de informacin detallada.
El panel de control muestra la informacin relevante en intervalo de tiempo fijado por el
administrador mediante la herramienta situada arriba a la derecha de la ventana Estado.
Los intervalos disponibles son:
- ltimas 24 h
- ltimos 7 das
- ltimo mes
- ltimo ao
153
Gua para administradores de red
- Aplicaciones confiables: aplicaciones vistas en el parque del cliente que han sido
analizadas y su clasificacin ha sido goodware.
- Aplicaciones maliciosas: aplicaciones vistas en el parque del cliente que han sido
analizadas y su clasificacin ha sido malware.
- Aplicaciones potencialmente no deseadas: aplicaciones vistas en el parque del
cliente que han sido analizadas su clasificacin ha sido malware de tipo PUP
Haciendo clic en cada barra exceptuando la de aplicaciones confiables, se abrir las
ventanas de Listado MW o Listado PUP, mostrados ms adelante en este mismo captulo
154
Gua para administradores de red
Haciendo clic en cada uno de los elementos se mostrar la ventana de Estado MW o Estado
PUP, mostrada ms adelante en este mismo captulo.
En este panel se reflejan aquellos procesos desconocidos, detectados en la red del cliente
y que requieren de una investigacin en los laboratorios de Panda Security para poder ser
clasificados como goodware o malware. Durante el tiempo que se emplea en su
clasificacin, los elementos pueden ser bloqueados en funcin del modo de configuracin
de la proteccin (Lock, Hardening o Audit).
155
Gua para administradores de red
Cada aplicacin se contabiliza una nica vez; esto quiere decir que, si una aplicacin
intenta ejecutarse en varias ocasiones en un mismo equipo, solo se contabilizar una vez.
El tamao de las burbujas ir en funcin del nmero de equipos donde se encontr el
malware y fue bloqueado.
Ejemplo:
En el panel de control se muestra un total de 8 elementos bloqueados en clasificacin. Se
trata de 8 aplicaciones que han sido bloqueadas y se estn investigando. Cada una de
ellas se representa con un crculo.
Supongamos que una de estas aplicaciones ha intentado ejecutarse en un equipo en
treinta ocasiones durante un mismo da. Estas treinta ocasiones, al haberse dado en un
mismo equipo y da, contabilizarn como una de las 8 detecciones que se muestran en el
panel.
En el panel de control, las aplicaciones bloqueadas se muestran con un cdigo de colores:
156
Gua para administradores de red
La seccin Detecciones consolida todos los intentos de intrusin que Adaptive Defense 360
gestion en el periodo de tiempo establecido.
Los datos reflejados abarcan todos los vectores de infeccin y todas las plataformas
soportadas, de manera que el administrador pueda disponer de datos concretos
(volumen, tipo, forma de ataque) relativos a la llegada a su red de malware que se ha
desarrollado en un periodo de tiempo concreto.
Amenazas detectadas
- Virus y spyware
- Herramientas de hacking y PUPs
- Sospechosos
- Phising
- Otros.
157
Gua para administradores de red
desaparecer.
El listado de la derecha muestra acciones no directamente relacionadas con malware
encontrado pero importantes para que el administrador pueda revisarlas en busca de
sntomas o situaciones potenciales de peligro.
Este panel muestra de forma grfica los vectores de infeccin utilizados por el malware
encontrado en la red.
En el eje de las Y se muestran diversos iconos que representan el vector de infeccin:
- Sistema de ficheros
- Correo local
- Navegacin Web
- Firewall / Sistema de deteccin de intrusos
- Control de dispositivos
- Servidor Exchange
En el eje de las X se indica la fecha del intervalo seleccionado.
El contenido de la grfica est formado por una serie de crculos de diferentes tamaos y
colores. El tamao del crculo refleja la proporcin de ocurrencias encontradas y pasando
el puntero del ratn por un crculo concreto se mostrar un tooltip con la suma de
ocurrencias para una fecha y vector de infeccin determinado.
158
Gua para administradores de red
Spam Detectado
Mensajes filtrados
Este panel muestra la cantidad de mensajes que fueron filtrados por el filtro de contenidos
del servidor Exchange.
En el eje de las X se indica las fechas del intervalo seleccionado.
El contenido de la grfica est formado por una serie de crculos de diferentes tamaos. El
tamao del crculo refleja la proporcin de ocurrencias encontradas y pasando el puntero
del ratn por un crculo se mostrar un tooltip con la suma de ocurrencias para una fecha.
159
Gua para administradores de red
160
Gua para administradores de red
161
Gua para administradores de red
17.5.1 Listado MW
Haciendo clic en los distintos elementos del panel Programas maliciosos o en Aplicaciones
maliciosas dentro del panel Clasificacin de todos los programas ejecutados y analizados,
se mostrar el listado de las amenazas encontradas en los equipos protegidos con Adaptive
Defense 360.
Sobre el listado se aplicarn de forma automtica diversos filtros en funcin de la zona del
panel seleccionada.
En la parte superior se encuentra la herramienta de bsqueda:
El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados
162
Gua para administradores de red
Bloqueados actualmente
El control (1) restringe la bsqueda indicada en la caja de texto (2) al campo seleccionado:
El control (3) permite filtrar el listado por el modo de proteccin de Adaptive Defense 360
que provoc el bloqueo (Lock o Hardening), y por el comportamiento mostrado por
el proceso (Acceso a ficheros de datos, Comunicaciones), solo para aquellos elementos
que haya sido permitida su ejecucin con anterioridad y sus acciones hayan quedado
registradas en el sistema.
163
Gua para administradores de red
Historial
El control (1) restringe la bsqueda indicada en la caja de texto (2) al campo seleccionado:
El control (3) permite filtrar el listado por diversos criterios, mostrados a continuacin
164
Gua para administradores de red
El filtro (1) restringe la bsqueda indicada en el textbox (2) de escritura situado a su derecha
al campo seleccionado:
El filtro (3) muestra los programas potencialmente no deseados que satisfagan los criterios
seleccionados
165
Gua para administradores de red
- Amenazas detectadas
- Equipos con ms amenazas
- Malware ms detectado.
166
Gua para administradores de red
- Virus y spyware
- Archivos sospechosos: muestra los ficheros clasificados como sospechosos por el
anlisis heurstico de Adaptive Defense 360
- Herramientas de hacking y PUPs
- URLs con malware: URL que apuntan a pginas Web que contienen malware.
- Acciones peligrosas bloqueadas: muestra los ficheros clasificados como
sospechosos debido a las tcnicas de anlisis de comportamiento
- Phishing y fraude
- Intentos de intrusin bloqueados: detecciones de trafico malformado
- Tracking cookies: muestra las cookies utilizadas para espiar la navegacin de los
usuarios
- Dispositivos bloqueados: perifricos conectados al equipo del usuario que fueron
bloqueados por el administrador.
- Otras amenazas: deteccin de malware con otras clasificaciones no cubiertas en
los apartados anteriores (Jokes etc)
Por cada grupo se incluye un contador con el nmero de ocurrencias encontradas para el
intervalo de tiempo fijado y el tipo de malware elegido.
167
Gua para administradores de red
168
Gua para administradores de red
4 Herramientas de paginacin
Permite especificar el nmero de filas que se mostrar en el grupo y moverse entre pginas.
- Equipo
169
Gua para administradores de red
- Grupo
- Detecciones
- Primera deteccin: fecha de la primera deteccin encontrada en el intervalo
fijado
- Ultima deteccin: fecha de la ltima deteccin encontrada en el intervalo fijado
Malware ms detectado
Muestra un listado con las muestras del malware que ms veces fueron vistos en la red del
cliente.
170
Gua para administradores de red
Adaptive Defense 360 bloquea por defecto todos los programas clasificados como
malware y, adicionalmente, dependiendo de la configuracin de la proteccin avanzada,
tambin bloquear los programas no vistos anteriormente hasta que sean analizados y
emitida una clasificacin sobre su seguridad.
171
Gua para administradores de red
El acto por parte del administrador de la red de retirar el bloqueo impuesto por Adaptive
Defense 360 sobre la ejecucin de un proceso del usuario recibe el nombre de Desbloquear
un elemento si el elemento fue bloqueado por ser desconocido para Adaptive Defense
360, o Excluir un elemento (tambin Aadir una exclusin sobre un elemento) si el elemento
fue bloqueado por haber sido clasificado como peligroso para el cliente (Malware o PUP).
Esquema general
A continuacin, se muestra un diagrama de estados donde se reflejan las diferentes
situaciones por las que pasa un proceso analizado por Adaptive Defense 360, en funcin
de la configuracin de la proteccin avanzada, de la lista de exclusiones creada por el
administrador y de los cambios de estado internos que se produzca a lo largo del tiempo.
El diagrama se descompone en dos ramas presentadas por separado por razones de
claridad: una rama para los ficheros conocidos y otra para los ficheros desconocidos.
172
Gua para administradores de red
En el caso de un fichero clasificado por Adaptive Defense 360 como Malware y una poltica
de proteccin avanzada distinta de Audit, los ficheros sern bloqueados a no ser que el
administrador genere una exclusin que permita su ejecucin.
173
Gua para administradores de red
174
Gua para administradores de red
Para excluir un elemento clasificado como malware o PUP, el administrador puede utilizar
el botn No volver a detectar en los listados Programas maliciosos y Programas
potencialmente no deseados, accesibles desde el panel de control Actividad.
175
Gua para administradores de red
Una vez excluido el elemento dejar de generar incidentes en los paneles de Actividad
apropiados (Malware o PUP) y se aadir al listado de Amenazas y otros elementos
excluidos tal y como se indica en el siguiente punto.
176
Gua para administradores de red
177
Gua para administradores de red
178
Gua para administradores de red
Una vez definido el filtro haz clic en el botn Bsqueda para aplicarlo, o en el botn Mostrar
todos para mostrar todas las entradas y limpiar el filtro.
179
Gua para administradores de red
Listado (5)
17.6.7 Historial
En esta ventana podrs visualizar el histrico de cambios realizado sobre los ficheros
excluidos en Adaptive Defense 360. El listado permite ver el ciclo de estados completo de
un fichero, desde que entra en el listado de excluidos o desbloqueados hasta que sale,
pasando por los cambios de estado intermedios que el sistema o el administrador pueda
haberle aplicado.
180
Gua para administradores de red
Listado (3)
181
Gua para administradores de red
182
Gua para administradores de red
18. Visibilidad y
monitorizacin
de los equipos
Estado de los equipos en la red
183
Gua para administradores de red
18.1. Introduccin
En esta seccin del panel de control se muestran los equipos que requieren de la atencin
del administrador:
- Equipos que no han conectado con el servidor en las ltimas 72 horas, 7 das y 30
das
- Equipos que tienen la proteccin sin actualizar: el motor, el archivo de
identificadores y los que requieren un reinicio para aplicar la actualizacin del
nuevo motor de proteccin descargado.
Haciendo clic en los distintos elementos del panel se mostrar la pestaa Protegidos de la
ventana Equipos, explicada a continuacin.
La ventana Equipos muestra todos los elementos necesarios para facilitar la supervisin del
parque informtico y la bsqueda de los dispositivos:
- El rbol de grupos
- Pestaas de estado
- Herramientas de bsqueda
- Ventana de Detalles de equipo o dispositivo
184
Gua para administradores de red
rbol de grupos
En la parte izquierda de la pantalla se encuentra el rbol de grupos con el que es posible
desplazarse a travs de los diferentes niveles y ver los equipos que contiene cada grupo o,
haciendo clic en el nodo Todos, listar todos los equipos de la red.
Pestaas
Se ofrecen 4 agrupaciones en funcin del estado de la proteccin:
Protegidos
Son equipos con el agente Adaptive Defense 360 instalado de forma correcta y con una
licencia vlida asignada, aunque puedan estar desactualizados o con alguna proteccin
en estado errneo
Desprotegidos
Son equipos con el agente en proceso de instalacin o desinstalacin, equipos con la
proteccin ya desinstalada y equipos descubiertos con la herramienta de descubrimiento
Sin licencia
Son equipos que tuvieron en el pasado una licencia vlida asignada pero su
mantenimiento ha caducado de forma que ya no estn protegidos. Tambin son equipos
que pertenecen a un grupo con restricciones de nmero mximo o por fecha y alguna de
estas condiciones no se est cumpliendo para el equipo.
185
Gua para administradores de red
Excluidos
Son equipos que tienen un agente Adaptive Defense 360 instalado pero que no compiten
por obtener una licencia vlida. El administrador puede excluir equipos de forma manual
cuando el nmero de licencias vlidas contratadas es inferior al nmero de equipos de la
red a proteger.
Tambin se incluye un botn Mostrar todos que invalidad el criterio de bsqueda y lista
todos los equipos dentro de la pestaa seleccionada.
A continuacin, se muestra una relacin de los controles y los criterios de bsqueda que
permiten establecer por cada una de las pestaas.
Pestaa Protegidos
- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
- Estado del equipo:
Todos
Equipos con proteccin activada
Equipos con todas las protecciones desactivadas
Equipos con proteccin actualizada
Equipos con proteccin desactualizada:
Equipos con proteccin parcialmente activada: equipos que tienen
alguna de los mdulos de proteccin desactivados
Equipos con error en la proteccin
Equipos pendientes de reinicio
Equipos con conocimiento actualizado
Equipos con conocimiento desactualizado
Equipos actualizados (sin conexin desde hace ms de 72 horas)
Equipos actualizados (sin conexin desde hace ms de 7 das)
Equipos actualizados (sin conexin desde hace ms de 30 das)
186
Gua para administradores de red
- Sistema operativo:
Todos
Windows
Linux
Mac OS X
Android
- Mostrar equipos de los subgrupos: busca en el grupo seleccionado en el rbol de
grupos y en todos los grupos que cuelgan de l.
Pestaa Desprotegidos
- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
- Estado del equipo:
Todos
Equipos sin proteccin
Equipos no administrados: equipos en la red sin un agente instalado,
encontrados mediante la herramienta de bsqueda
Equipos instalando la proteccin
Equipos desinstalando la proteccin
Equipos con error en la proteccin
Equipos con error en la desinstalacin
Equipos con nombre desconocido
- Sistema operativo:
Todos
Windows
Linux
Mac OS X
Android
- Mostrar equipos de los subgrupos: busca en el grupo seleccionado en el rbol de
grupos y en todos los grupos que cuelgan de l.
- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
Pestaa Excluidos
- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
187
Gua para administradores de red
La presentacin del listado se realiza en una tabla con una serie de columnas que
describen el estado del equipo y que varan en funcin de la pestaa elegida.
Los equipos con igual nombre y direccin IP se mostrarn como equipos diferenciados en la
consola Web siempre y cuando tanto su direccin MAC como su identificador del agente de
administracin sean diferentes. Si deseas cambiar el modo en el que se nombran, puedes hacerlo
Pestaa Protegidos
Actualizado
No actualizado
Pendiente de reinicio
- Actualizacin conocimiento: indica el estado del fichero de identificadores. Al
pasar el ratn por encima del icono se muestra el significado del icono y la fecha
de actualizacin
Actualizado
No actualizado
- Protecciones: indica el grado de proteccin del equipo. Al pasar el ratn por
encima del icono se muestran las protecciones activadas.
Pestaa Desprotegidos
188
Gua para administradores de red
Instalando
Desinstalando
Error en la desinstalacin
Error en la instalacin
Pestaa Excluidos
189
Gua para administradores de red
Pestaa Protegidos
Pestaa Desprotegidos
Pestaa Excluidos
190
Gua para administradores de red
- Nombre
- Direccin IP
- Dominio: solo se muestra en equipos Windows
- Ruta Directorio Activo: solo se muestra si el equipo pertenece a un Directorio Activo
- Grupo
- Fecha de instalacin
- Versin de la proteccin
- Versin del agente
- Actualizacin del conocimiento: fecha del archivo de identificadores
- Ultima conexin
- Sistema operativo
- Servidor de correo
- Campo comentarios: Utiliza el campo Comentario si deseas aadir informacin
adicional que pueda ayudar a identificar un equipo. Si el usuario que accede a la
consola tiene permisos de monitorizacin no podr modificar este campo.
Protecciones
Consulta los captulos de perfiles de proteccin para Windows, Linux, OS X y Android para ms
informacin acerca de las protecciones de Adaptive Defense 360.
Herramientas disponibles
Consulta el captulo Herramientas de resolucin y respuesta para ms informacin sobre el uso de
las herramientas de resolucin de Adaptive Defense 360.
191
Gua para administradores de red
Protecciones
Muestra los mdulos de proteccin activados
- Proteccin antivirus
- Proteccin antirrobo
Herramientas disponibles
- Borrar dispositivo: utiliza el botn Borrar para eliminar la informacin que se muestra
del dispositivo y restaurar la configuracin de fbrica.
- Bloquear dispositivo: Utiliza el botn Bloquear dispositivo para introducir la clave de
192
Gua para administradores de red
Lista de tareas
Las tareas de alertas de robo, borrado y localizacin del dispositivo Android que se solicitan
desde la consola Web para que se ejecuten en el dispositivo, se muestran en el registro de
tareas de la ventana Detalles de equipo.
El registro muestra una tarea por estado. Por ejemplo, si existen tres tareas de alertas de
robo, se mostrar una de ellas Ejecutada, otra como Recibida y otra como Pendiente. En la
medida en que la primera tarea finalice y desaparezca del listado, la que se encuentra
como Recibida pasar a Ejecutada y la que est como Pendiente pasar a Recibida.
El estado de las tareas es el siguiente:
193
Gua para administradores de red
19. Informes
Tipos de informes soportados
Generacin y envo de informes
194
Gua para administradores de red
19.1. Introduccin
Con Adaptive Defense 360 se pueden obtener informes sobre el estado de la seguridad en
la red informtica y sobre las detecciones realizadas en un determinado periodo de
tiempo. Adems, puedes tambin seleccionar el contenido que aparecer en el informe,
si se quiere que la informacin sea detallada, y si se desea acompaarla de grficas. Todo
ello de manera rpida y sencilla.
195
Gua para administradores de red
- Programas maliciosos
- Programas potencialmente no deseados (PUPs)
- Programas en investigacin por nuestro laboratorio
Para cada uno de los riesgos se muestra el total de detecciones, el nmero de dispositivos
en los que se ha detectado, si se ha ejecutado, si ha conectada con el exterior y si ha
accedido a datos.
En la ventana principal de la consola Web, haz clic en Informes. Se abrir una ventana
estructurada en tres secciones:
196
Gua para administradores de red
197
Gua para administradores de red
Podrs programar hasta 27 tareas de envo de informes. Una vez alcanzado dicho valor
necesitars eliminar alguna de ellas para crear ms.
198
Gua para administradores de red
20. Herramientas
de resolucin
Desinfeccin automtica de ficheros
Anlisis y desinfeccin bajo demanda de
ficheros
Desinfeccin avanzada de equipos
Reiniciar equipos
Acceso remoto al escritorio
Proteccin contra robo
199
Gua para administradores de red
20.1. Introduccin
Adaptive Defense 360 cuenta con varias herramientas de resolucin que permiten al
administrador resolver los problemas encontrados en las fases de Proteccin, Deteccin y
Monitorizacin del ciclo de proteccin adaptativa, presentado en el captulo La
proteccin adaptativa.
Algunas de estas herramientas son automticas y no necesitan de la intervencin del
administrador, otras sin embargo requieren la ejecucin de acciones concretas mediante
la consola Web.
Todas las herramientas de resolucin de Adaptive Defense 360 se pueden utilizar desde la
consola Web sin necesidad de desplazarse al equipo del usuario afectado, ahorrando
costes en desplazamientos y tiempo del equipo tcnico.
A continuacin, se muestra una tabla de las herramientas disponibles por plataforma y su
tipo (automtico o manual).
Herramienta de
Plataforma Tipo Objetivo
resolucin
Desinfectar o mover a
Desinfeccin cuarentena el malware
Windows, Mac
automtica de Automtico encontrado en el momento
OS X, Android
ficheros de la infeccin de los
equipos.
Analizar, desinfectar o mover
a cuarentena el malware
Anlisis /
Windows, Mac Automtico encontrado en los equipos
Desinfeccin
OS X, Linux, (programado) protegidos en el momento
bajo demanda
Android / Manual que lo requiera el
de ficheros
administrador o en franjas
horarias concretas
Desinfeccin de los equipos
afectados tanto por malware
Desinfeccin de convencional como por el
Windows Manual
equipos avanzado especialmente
diseado para dificultar su
retirada
Fuerza un reinicio del equipo
para aplicar actualizaciones,
Reinicio bajo
Windows Manual completar desinfecciones
demanda
manuales y corregir errores
detectados en la proteccin
Herramientas de control
Acceso remoto remoto para acceder al
Windows Manual
al escritorio escritorio de los equipos
infectados
Herramientas que ayudan a
Proteccin localizar dispositivos robados
Android Manual
contra robo y determinar la identidad del
ladrn
Adicionalmente Adaptive Defense 360 dispone del mdulo Remote Control, que permite el
acceso remoto a los dispositivos de los usuarios mediante herramientas de resolucin
avanzadas, sin necesidad de instalar productos de terceros.
200
Gua para administradores de red
Modo de
Proteccin
proteccin Comportamiento
antivirus
avanzada
201
Gua para administradores de red
- Eliminar Virus: este check box siempre est habilitado y limpiar los virus encontrados
en el equipo
- Eliminar PUPs: Borra los programas potencialmente no deseados.
- Limpiar cache del navegador: limpia la cache del navegador instalado en el
equipo (Internet Explorer, Firefox y Chrome)
202
Gua para administradores de red
Ejecutada la tarea podremos ver los resultados haciendo clic en el link Ver resultados de
desinfecciones.
Para ms informacin sobre Cleaner Monitor consulta la ayuda Web del producto o en el enlace
http://pcopdocuments.azureWebsites.net/Help/pccm/es-ES/index.htm
Para que los equipos estn actualizados a la ltima versin de la proteccin, o si se detecta
algo error en la proteccin el administrador podr actuar remotamente desde la consola
Web y reiniciar los equipos que figuren en el listado de equipos protegidos.
Para ello, en la ventana Equipos > Protegidos marca la casilla correspondiente al equipo o
equipos que deseas reiniciar y haz clic en el botn Reiniciar.
203
Gua para administradores de red
Si haces clic en el nombre del equipo se mostrar la ventana Detalles de equipo desde la
que tambin podrs ordenar el reinicio del equipo utilizando para ello el botn Reiniciar.
En la ventana Equipos se mostrarn mediante un icono los equipos que tienen instalada
alguna de estas herramientas de acceso remoto. Si solo es una, haciendo clic sobre el
icono se podr acceder a la herramienta y, una vez introducidas las credenciales
correspondientes, acceder al equipo.
Se pueden introducir las credenciales desde la propia ventana Equipos o desde el men
204
Gua para administradores de red
Si el equipo tiene instaladas varias herramientas de acceso remoto, al situar el cursor sobre
el icono se mostrarn dichas herramientas y podr elegir cul de ellas desea utilizar para
acceder al equipo.
En el caso de que el equipo tenga ms de una herramienta VNC instalada, solo se podr
acceder a travs de una de ellas, siendo la prioridad de acceso la siguiente: 1-RealVNC, 2-
UltraVNC, 3-TightVNC.
Dependiendo de si el usuario de la consola utilizado para acceder posee permiso de
control total o de administrador, podr utilizar el acceso remoto para acceder a ms o
menos equipos.
Si el permiso del usuario es de monitorizacin, no podr acceder a ninguno y el icono de la
columna Acceso remoto aparecer deshabilitado.
205
Gua para administradores de red
Para poder tener acceso remoto, debers instalar en las mquinas una de las soluciones
de control remoto soportadas: TightVNC, UltraVNC, RealVNC , TeamViewer, LogMeIn.
En el caso de las herramientas VNC se seguir la misma prioridad comentada
anteriormente para el caso de que el equipo tenga instaladas ms de una de estas
herramientas.
TeamViewer
Esta herramienta se podr utilizar para acceder a equipos que se encuentren fuera de la
red local del cliente.
Para acceder a los equipos a travs de TeamViewer solo ser obligatorio introducir la
password de los equipos, el campo usuario puede dejarse en blanco.
La password que hay que incluir para acceder a un equipo a travs de TeamViewer, es la
password de TeamViewer del equipo o la password configurada para el acceso no
presencial, y no la password de la cuenta de cliente de TeamViewer.
Es recomendable disponer de la misma password de TeamViewer en todos los equipos, ya
que cada usuario de la consola de Adaptive Defense 360 slo puede incluir una password
para el acceso remoto a sus equipos a travs de TeamViewer.
El equipo del administrador (equipos a travs del cual se accede a la consola), deber
disponer de TeamViewer instalado (no es suficiente disponer de TeamViewer en modo
ejecutor en dicho equipo).
LogMeIn
Esta herramienta se podr utilizar para acceder a equipos que se encuentren fuera de la
red local del cliente.
Para acceder a los equipos a travs de LogMein, ser necesario incluir el usuario y la
206
Gua para administradores de red
La proteccin antirrobo de Adaptive Defense 360 permite controlar en todo momento los
dispositivos Android y determinar cul ser su comportamiento en el caso de robo.
Al configurar esta proteccin desde la consola Web podrs localizar los dispositivos,
borrarlos, bloquearlos, sacar una fotografa al ladrn y enviarla por correo electrnico a
una direccin concreta.
207
Gua para administradores de red
21. Anlisis
forense
Anlisis forense mediante tablas de acciones
Anlisis forense mediante grafos de ejecucin
Interpretacin de las tablas de acciones y
grafos de actividad
208
Gua para administradores de red
21.1. Introduccin
- MD5 del malware: Adaptive Defense 360 muestra el hash del malware para su
209
Gua para administradores de red
Mapped By
Map
Deleted By
Delete
Renamed By
Rename
Killed By
KillsP rocess
210
Gua para administradores de red
Para localizar las acciones que ms nos interesen del listado disponemos de una serie de
filtros en la cabecera de la tabla.
Algunos de los campos son de tipo texto y otros son desplegables con todas las
ocurrencias distintas dadas en la columna seleccionada. Las bsquedas textuales son
flexibles y no requieren del uso de comodines para buscar dentro de cadenas de texto.
211
Gua para administradores de red
- Todas las acciones tienen como sujeto el fichero clasificado como malware. Este
sujeto no se indica en cada lnea de la tabla de acciones porque es comn
para toda la tabla.
- Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza
clasificada) con un complemento, llamado entidad. La entidad se
corresponde con el campo Path/URL/Clave de Registro /IP:Puerto de la tabla.
- La entidad se complementa con un segundo campo que aade informacin
a la accin, que se corresponde con el campo Hash del Fichero/Valor del
Registro
- /Protocolo-Direccin/Descripcin.
3/30/2015 PROGRAM_FILES|\
9994BF035813FE8EB6BC98E
4:38:45 1 Loads MOVIES NO
TOOLBAR\SAFETYN CCBD5B0E1
PM
La primera accin indica que el malware (sujeto) se conecta (Accin Connects with) con
la direccin IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional.
La segunda accin indica que el malware (sujeto) carga (Accin Loads) la librera
PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash
9994BF035813FE8EB6BC98ECCBD5B0E1
Al igual que en el lenguaje natural en Adaptive Defense 360 se implementan dos tipos de
oraciones:
- Connects with
212
Gua para administradores de red
- Loads
- Creates
- Is created by
- Downloaded from
Path/URL/
Hash del Fichero/Valor de
N Clave
Fecha Accin Registro/Protocolo- Confiable
veces Registro/
Direccin/Descripcin
IP:Port
3/30/2015 Is
WINDOWS|\ 7522F548A84ABAD8FA516D
4:51:46 1 executed NO
explorer.exe E5AB3931EF
PM by
En esta accin el malware (sujeto pasivo) es ejecutado (accin pasiva Is executed by) por
el programa WINDOWS|\explorer.exe (entidad) de hash
7522F548A84ABAD8FA516DE5AB3931EF.
Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el
Malware. Por el contrario, las acciones de tipo pasivo suelen reflejar el vector de infeccin
utilizado por el malware (qu proceso lo ejecut, qu proceso lo copi al equipo del usuario
etc.).
Los grafos de ejecucin representan de forma visual la informacin mostrada en las tablas
de acciones poniendo nfasis en el enfoque temporal.
Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las
acciones desencadenadas por la amenaza.
21.3.1 Diagramas
213
Gua para administradores de red
21.3.2 Nodos
Los nodos muestran la informacin mediante su icono asociado, color y un panel
descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratn.
El cdigo de colores utilizado es el siguiente:
A continuacin, se listan los nodos de tipo accin junto con una breve descripcin:
- Fichero descargado
Accin
- Fichero comprimido creado
214
Gua para administradores de red
A continuacin, se listan los nodos de tipo descriptivo junto con una breve descripcin
Tipo
Smbolo Descripcin
Nodo
Nombre de fichero y
extensin
Nodo o Verde: Goodware
Final o Naranja: No
catalogado
o Rojo: Malware/PUP
Equipos externo
Nodo o Verde: Confiable
Final o Naranja: desconocido
o Rojo: No confiable
Nodo
Fichero y extensin
Final
Nodo
Clave del registro
Final
215
Gua para administradores de red
- Grosor de la lnea: el grosor de una lnea que une dos nodos indica el nmero de
ocurrencias que esta relacin ha tenido en el diagrama. A mayor nmero de
ocurrencias mayor tamao de la lnea
- Flecha: marca la direccin de la relacin entre los dos nodos.
Una vez seleccionada la franja temporal el grafo mostrar nicamente las acciones y
nodos que caigan dentro de ese intervalo. El resto de acciones y nodos quedar
difuminado en el diagrama.
Las acciones de la amenaza quedan representadas en la lnea temporal como barras
verticales acompaadas del time stamp, que marca la hora y minuto donde ocurrieron.
216
Gua para administradores de red
corto.
21.3.7 Filtros
En la parte superior del diagrama de grafos se encuentran los controles para filtrar la
informacin mostrada.
- Accin: desplegable que permite seleccionar un tipo de accin de entre todas las
ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos
que coincidan con el tipo de accin seleccionada y aquellos nodos adyacentes
relacionados con esta accin.
- Entidad: desplegable que permite elegir una entidad (contenido del campo
Path/URL/Entrada de registro /IP:Puerto)
Para hacer zoom in y zoom out ms fcilmente se puede utilizar la rueda central del ratn.
217
Gua para administradores de red
para el grafo se puede seleccionar el smbolo situado en la parte inferior derecha del
grafo.
Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por
alguno de sus nodos se puede configurar mediante el panel mostrado a continuacin,
accesible al seleccionar el botn situado a la izquierda arriba del grafo
218
Gua para administradores de red
Hash
Con la cadena de hash se podr obtener ms informacin en sitios como Virus total para
tener una idea general de la amenaza y su forma de funcionamiento.
Tabla de acciones
219
Gua para administradores de red
PROGRAM_FILES|\Adobe\ACROBAT
4 3:17:34 Create
11.0\Acrobat\AMTLIB.DLL.BAK
PROGRAM_FILES|\Adobe\ACROBAT
5 3:17:40 Modify
11.0\Acrobat\amtlib.dll
PROGRAM_FILES|\ADOBE\ACROBAT
6 3:17:40 Delete
11.0\ACROBAT\AMTLIB.DLL.BAK
PROGRAM_FILES|\Adobe\ACROBAT
7 3:17:41 Create
11.0\Acrobat\ACROBAT.DLL.BAK
PROGRAM_FILES|\Adobe\ACROBAT
8 3:17:42 Modify
11.0\Acrobat\Acrobat.dll
PROGRAM_FILES|\Google\
9 3:17:59 Execute
Chrome\Application\chrome.exe
Los pasos 1 y 2 indican que el malware fue descomprimido por el WinRar.Exe y ejecutado
desde el mismo programa: el usuario abri el fichero comprimido e hizo clic en el binario
que contiene.
Una vez en ejecucin en el paso 3 el malware crea una dll (bassmod.dll) en una carpeta
temporal y otra (paso 4) en el directorio de instalacin del programa Adobe Acrobat 11.
En el paso 5 tambin modifica una dll de Adobe, quiz para aprovechar algn tipo de
exploit del programa.
Despus de modificar otras dlls lanza una instancia de Chrome y en ese momento termina
la Timeline; Adaptive Defense 360 catalog el programa como amenaza despus de esa
cadena de acciones sospechosas y ha detenido su ejecucin.
En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que
el malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr
sobrevivir a un reinicio del equipo.
El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda
su reinstalacin, aunque gracias a que Adaptive Defense 360 monitoriza ejecutables tanto
si son goodware como malware, la ejecucin de un programa comprometido ser
detectada en el momento en que desencadene acciones peligrosas, terminando en su
bloqueo.
- Fecha: 30/03/2015
- Equipo: MARTA-CAL
220
Gua para administradores de red
- Nombre: PUP/BetterSurf
- Tipo: MW
- Ruta del Malware: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
- Tiempo de exposicin: 11 das 22 horas 9 minutos 46 segundos
Tiempo de exposicin
En este caso el tiempo de exposicin ha sido muy largo: durante casi 12 das el malware
estuvo en estado latente en la red del cliente. Este comportamiento es cada vez ms usual
y puede deberse a varios motivos: puede ser que el malware no ha realizado ninguna
accin sospechosa hasta muy tarde o que simplemente el usuario descarg el fichero, pero
no lo ejecut en el momento.
Tabla de acciones
08/03/2015
1 Created by TEMP|\08c3b650-e9e14f.exe
11:16
18/03/2015
2 Executed by SYSTEM|\services.exe
11:16
18/03/2015 PROGRAM_FILES|\VER0BLOF\N4Cd1
3 Load
11:16 90.dll
18/03/2015
4 Load SYSTEM|\BDL.dll
11:16
18/03/2015
5 Socket used 127.0.0.1:13879
11:16
18/03/2015
6 Socket used 37.58.101.205:80
11:16
18/03/2015
7 Socket used 5.153.39.133:80
11:17
18/03/2015
8 Socket used 50.97.62.154:80
11:17
18/03/2015
9 Socket used 50.19.102.217:80
11:17
En este caso se puede apreciar como el malware establece comunicacin con varias IPs.
La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se
conecta por el puerto 80, de las cuales probablemente se descargue los contenidos de
221
Gua para administradores de red
publicidad.
La principal medida de prevencin en este caso ser bloquear las IPs en el cortafuegos
corporativo.
Tabla de acciones
31/03/2015 PROGRAM_FILESX86|\internet
1 Executed by
23:29 explorer\iexplore.exe
Remote
5 31/03/2015 Thread SYSTEMX86|\notepad.exe
23:30 Create d by
222
Gua para administradores de red
En este caso el malware es creado en el paso 2 por una pgina Web y ejecutado por el
navegador Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razn varias
acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la
Timeline, como sucede en el paso 1 y paso 2.
Una vez ejecutado el malware se hace persistente en el paso 3 aadiendo una rama en el
registro que pertenece al usuario y que lanzar el programa en el inicio del sistema.
Despus comienza a ejecutar acciones propias del malware como arrancar un notepad e
inyectar cdigo en uno de sus hilos.
Como accin de resolucin en este caso y en ausencia de un mtodo de desinfeccin
conocido se puede minimizar el impacto de este malware borrando la entrada del registro.
Es muy posible que en una maquina infectada el malware impida modificar dicha entrada;
dependiendo del caso sera necesario arrancar el equipo en modo seguro o con un CD de
arranque para borrar dicha entrada.
4/21/2015 Is executed
1 SYSTEMDRIVE|\Python27\pythonw.exe
2:17:47 PM by
4/21/2015 Accesses
2 #.XLS
2:18:01 PM Data
4/21/2015 Accesses
3 #.DOC
2:18:01 PM Data
4/21/2015
4 Creates TEMP|\doc.scr
2:18:03 PM
4/21/2015
5 Executes TEMP|\doc.scr
2:18:06 PM
4/21/2015 PROGRAM_FILES|\Microsoft
6 Executes
2:18:37 PM Office\Office12\WI NWORD.EXE
4/21/2015 Connects
7 192.168.0.1:2042
8:58:02 PM with
223
Gua para administradores de red
224
Gua para administradores de red
22. Apndice I:
Herramientas
de instalacin
centralizada
Instalacin mediante Directorio Activo
Instalacin mediante la herramienta de
distribucin
225
Gua para administradores de red
22.1. Introduccin
Adaptive Defense 360 permite la instalacin del agente Windows de forma centralizada en
redes de tamao medio o grande, mediante la herramienta de distribucin centralizada
incluida de forma gratuita o con herramientas de terceros.
En este captulo se detalla la instalacin del agente Adaptive Defense 360 en una red
Windows con Directorio Activo y con la herramienta de distribucin incluida.
A continuacin, se muestran los pasos de una instalacin mediante una GPO (Group Policy
Object).
226
Gua para administradores de red
- Edita la GPO
227
Gua para administradores de red
228
Gua para administradores de red
- Sistema operativo: Windows, 10, Windows 8.1, Windows 8, Windows 7 (32 y 64 bits),
Windows
- Vista (32 y 64 bits), Windows XP Professional (32 y 64 bits), Windows 2000 Professional,
Windows
- Server 2000, Windows Server 2003 (32 y 64 bits), Windows Server 2008 (32 y 64 bits),
Windows Server 2008 R2, Windows Home Server, Windows Server 2012 y Windows
Server 2012 R2 (PCOP 6.70.20).
- Memoria: 64 MB
- Disco duro: 20 MB
- Procesador: Pentium II 300 MHz o equivalente
- Windows Installer 2.0 (aunque se recomienda Windows Installer 3.0 si se quiere
poder desinstalar de forma remota)
- Navegador: Internet Explorer 6.0 o superior
229
Gua para administradores de red
- Otros:
Tener acceso al recurso Admin$ de los equipos en los que se va a
distribuir la proteccin.
Disponer de un usuario con derechos de administrador sobre los
equipos en los que se va a distribuir la proteccin.
Para que la herramienta funcione correctamente, en caso de utilizar Internet Explorer
deber desactivar en las Opciones Avanzadas de Seguridad el uso de SSL y activar el uso
de TSL:
230
Gua para administradores de red
- Introduce el grupo en el que se vayan a incluir los equipos a instalar. Esta seleccin
marcar el perfil de proteccin que se va a aplicar a estos equipos.
- Dentro del rbol de red, selecciona los dominios o equipos sobre los que se quiere
instalar.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
instalacin. El nombre de usuario deber introducirse con formato
dominio\usuario.
- Una vez introducidos los datos, pulsa la opcin Instalar, para generar las tareas de
instalacin.
- Introduce el grupo en el que se vayan a incluir los equipos a instalar. Esta seleccin
marcar el perfil de proteccin que se va a aplicar a estos equipos.
- En este paso, aade los nombres de los equipos a instalar, o las direcciones IP de
los mismos, separadas por comas. Tambin es posible seleccionar rangos de IPs
(usar el smbolo - para los rangos (ej: 172.18.15.10 172.18.15.50).
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
instalacin. El nombre de usuario se deber introducir con formato
dominio\usuario
- Pulsa Instalar, para generar las tareas de instalacin.
Verifica desde la consola que la tarea de instalacin se ha completado
con xito.
231
Gua para administradores de red
- Dentro del rbol de red, selecciona los dominios o equipos de los que quieres
desinstalar.
- Introduce la contrasea de desinstalacin que se utiliz para la instalacin. En el
caso de no haber utilizado contrasea, deja este campo en blanco.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
desinstalacin.
- El nombre de usuario deber introducirse con formato dominio\usuario.
- Selecciona si deseas mantener los elementos en la cuarentena o no. En el caso de
activar esta casilla, los elementos en cuarentena se eliminarn.
- Selecciona si deseas reiniciar los equipos tras la desinstalacin. En este caso, los
equipos se reiniciarn automticamente una vez concluida la desinstalacin.
- Una vez introducidos los datos, pulse la opcin Desinstalar, para generar las tareas
de desinstalacin.
- Aade los nombres de los equipos a desinstalar, o las direcciones IP de los mismos,
separadas por comas. Tambin es posible seleccionar rangos de IPs (usar el
smbolo - para los rangos (ej: 172.18.15.10 172.18.15.50).
- Introduce la contrasea de desinstalacin que se utiliz para la instalacin. En el
caso de no haber utilizado contrasea, deja este campo en blanco.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
desinstalacin.
- El nombre de usuario se deber introducir con formato dominio\usuario
- Selecciona si deseas mantener los elementos en la cuarentena o no. En el caso de
activar esta casilla, los elementos en cuarentena se eliminarn.
- Selecciona si deseas reiniciar los equipos tras la desinstalacin. En este caso, los
equipos se reiniciarn automticamente una vez concluida la desinstalacin.
- Pulse Desinstalar, para generar las tareas de desinstalacin.
Verifica desde la consola que la tarea de desinstalacin se ha
completado con xito.
A partir de ese momento, comenzar la desinstalacin de las
protecciones, de forma completamente transparente.
Reinicia los equipos cuando as se solicite.
232
Gua para administradores de red
233
Gua para administradores de red
23.1. Introduccin
234
Gua para administradores de red
*Si los PCs salen a Internet a travs del proxy de la empresa, Adaptive Defense 360 har lo
mismo. El proxy de la empresa a utilizar es parte de la configuracin de Adaptive Defense
360.
Tipo de
Uso de ancho de banda aproximado
comunicacin
235
Gua para administradores de red
**Las descargas para las actualizaciones de los ficheros de firmas y del producto son
realizadas por 1 nico endpoint de la red, siempre y cuando los diferentes endpoints
requieran los mismos ficheros, gracias a la tecnologa P2P de Adaptive Defense 360.
Los ficheros de firmas incrementales son diferentes dependiendo del nmero de das que
lleven desactualizados. As, si un endpoint tiene ficheros de firmas de hace 2 das y otro
tiene ficheros de firmas de hace 1 da, los ficheros de firmas incrementales que se requieren
descargar son diferentes.
Si se especifica de forma explcita que un equipo acte como proxy / repositorio, todas las
comunicaciones excepto las consultas a la Inteligencia Colectiva se harn a travs de este
equipo. Adems, los ficheros de firmas se almacenarn en el equipo configurado como
repositorio de forma que no ser necesario descargarlas de nuevo cuando otro equipo de
la red las requiera.
Consumo de ancho de
Tipo de Consumo de ancho de banda en la en
banda de acceso a Internet
comunicacin red local de X PCs
de X PCs
8.18 MB del instalador y
agente de 8.18 MB del instalador y agente de
Instalacin del comunicaciones X PCs + comunicaciones X PCs
producto (1 nica
60.5 MB del paquete del 60.5 MB del paquete del Endpoint de
vez)
Endpoint de seguridad * X seguridad
PCs
Comunicaciones
240 KB cada 12 horas * X PCs 240 KB cada 12 horas * X PCs
con el servidor
Envo de las
acciones
realizadas por 1 MB al da * X PCs 1 MB al da * X PCs
cada proceso en
ejecucin
25 MB slo la primera
vez, tras instalar la 25 MB slo la primera vez, tras instalar
Actualizacin de proteccin * X PCs la proteccin
los ficheros de + 160 KB cada 24 horas para 160 KB cada 24 horas para las
conocimiento las actualizaciones de actualizaciones de conocimiento
conocimiento incremental * incremental
X PCs
8.18 MB del instalador y
Actualizaciones agente de 8.18 MB del instalador y agente de
del producto comunicaciones * X PCs comunicaciones
(cada 6 meses + 60.5 * MB del paquete del + 60.5 * MB del paquete del Endpoint
aproximadamente) Endpoint de seguridad * X de seguridad
PCs
236
Gua para administradores de red
Consultas a la
500 KB la primera vez * X PCs 500 KB la primera vez * X PCs
inteligencia
+ 35-100 KB cada da * X PCs + 35-100 KB cada da * X PCs
Colectiva
http://www.malwa
Direccin desde donde se ha re.com/
URL Url
descargado un ejecutable
ejecutable.exe
237
Gua para administradores de red
Identificador de operacin
realizada en el evento
(creacin/modificacin/car El evento de tipo 0
Operacin Id Operacin indica la ejecucin
ga/.. de ejecutable,
de un ejecutable
descarga de ejecutable,
comunicacin,)
Recoge el evento de
Malware.exe enva
Comunica Protocolo/Puerto/ comunicacin de un proceso
datos por UDP en el
cin Direccin (no su contenido) junto con el
puerto 4865
protocolo y direccin
Recoge la lista de software Office 2007, Firefox
Software Software Instalado instalado en el endpoint segn 25, IBM Client
el API de Windows Access 1.0
238
Gua para administradores de red
239
Gua para administradores de red
Versiones Trials
En versiones de evaluacin por defecto Adaptive Defense 360 se instalar en un equipo
que ya dispone de otra solucin ajena a Panda Security. De esta forma podrs evaluar
Adaptive Defense 360 comprobando cmo registra amenazas avanzadas que pasan
inadvertidas para el antivirus tradicional instalado.
Versiones comerciales
En este caso, por defecto Adaptive Defense 360 no se instalar en un equipo que ya
dispone de otra solucin ajena a Panda Security. Si Adaptive Defense 360 dispone del
desinstalador de dicho producto, lo desinstalar y a continuacin se lanzar la instalacin
de Adaptive Defense 360
360. En caso contrario, se detendr la instalacin.
Este comportamiento por defecto es configurable tanto en versiones trials como en
versiones comerciales desde la ventana de Configuracin / (pulsar sobre el perfil a editar)
/ Windows y Linux / Opciones Avanzadas.
Adaptive Defense 360 es capaz de desinstalar automticamente los productos que
aparecen en la siguiente tabla:
240
Gua para administradores de red
241
Gua para administradores de red
MicroWorld
eScan Corporate for Windows 9.0.824.205
Technologies
Comodo
Comodo Antivirus V 4.1 32bits
AntiVirus
242
Gua para administradores de red
* Productos Panda 2015, 2014, 2013, 2012 necesitan un reinicio para completar la
desinstalacin.
* Comodo AntiVirus V 4.1 32 bits - En sistemas con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin
Permitir.
* F-Secure PSB for Workstations 9.00* - Durante el proceso de instalacin del agente de
Adaptive Defense 360 en Windows 7 y Windows Vista, el usuario debe intervenir
seleccionando la opcin Permitir.
AVG Internet Security Business Edition 2011 32bits - Durante el proceso de instalacin del
agente de Adaptive Defense 360, el usuario debe intervenir seleccionando en varias
ventanas la opcin Permitir.
** AVG Internet Security Business Edition 2011 64bits (10.0.1375) - Durante el proceso de
243
Gua para administradores de red
instalacin del agente de Adaptive Defense 360, el usuario debe intervenir seleccionando
en varias ventanas la opcin Permitir.
* Kaspersky Anti-Virus 6.0 for Windows Workstations:
Durante el proceso de instalacin del agente de Adaptive Defense 360 en sistemas
operativos de 64 bits el usuario debe intervenir seleccionando en varias ventanas la opcin
Permitir.
Para poder hacer la desinstalacin, la proteccin de Kaspersky no debe tener password.
En sistemas con UAC activado, durante el proceso de desinstalacin el usuario debe
intervenir seleccionando en la ventana del UAC la opcin Permitir.
* F-Secure PSB for Workstations 9.00 - Durante el proceso de instalacin del agente de
Adaptive Defense 360, el usuario debe intervenir seleccionando la opcin Permitir en dos
ventanas de F- Secure PSB for Workstations 9.00.
* AVG Anti-Virus Network Edition 8.5 - Durante el proceso de instalacin del agente de
Adaptive Defense 360 el usuario debe intervenir seleccionando en dos ventanas de AVG
Anti-Virus Network Edition 8.5 la opcin Permitir.
* Productos Panda Antivirus 2011 - No se desinstalan en Windows Vista x64. En sistemas con
UAC activado, durante el proceso de desinstalacin el usuario debe intervenir
seleccionando en la ventana del UAC la opcin de permitir.
* Panda Cloud Antivirus 1.4 Pro y Panda Cloud Antivirus 1.4 Free - En sistemas con UAC
activado, durante el proceso de desinstalacin el usuario debe intervenir seleccionando
en la ventana del UAC la opcin de permitir.
* Trend Micro - PC-Cillin Internet Security 2007 y 2008 no se puede desinstalar
automticamente en Windows Vista x64.
* Trend Micro - PC-Cillin Internet Security 2007 y 2008 no se pueden desinstalar
automticamente en Windows Vista x86 teniendo UAC activado.
* ESET NOD32 Antivirus 3.0.XX (2008) no se desinstala automticamente en plataformas de
64 bits.
* ESET Smart Security 3.0 no se desinstala automticamente en plataformas de 64 bits.
* ESET NOD32 Antivirus 2.7 tras la instalacin del agente de Adaptive Defense 360 el equipo
se reiniciar automticamente sin mostrar ningn aviso, ni pedir confirmacin al usuario.
* ESET NOD32 Antivirus 2.70.39 tras la instalacin del agente de Adaptive Defense 360 el
equipo se reiniciar automticamente sin mostrar ningn aviso, ni pedir confirmacin al
usuario.
* Sophos Anti-virus SBE 2.5 no se desinstala correctamente en Windows 2008.
* eTrust Antivirus 7.1 no se desinstala en sistemas operativos de 64bits (Windows 2003 64bits y
Windows XP 64bits).
* Norton Antivirus Internet Security 2008 no se puede desinstalar en Windows Vista con UAC
activado.
* Kaspersky Anti-Virus 2010 9.0.0.459. En sistemas con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin
de permitir.
* Kaspersky Anti-Virus 8. En Windows Vista con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin
244
Gua para administradores de red
de permitir.
* BitDefender Free Edition 2009 12.0.12.0. En Windows Vista con UAC activado, durante el
proceso de desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC
la opcin de permitir.
* McAfee Total Protection Service 4.7. El desinstalador no funciona en sistemas con UAC
activado. Adems, en sistemas de 32 bits es necesaria la intervencin del usuario.
* Microsoft Live OneCare 2.5. No desinstala en Windows Small Business Server 2008.
245
Gua para administradores de red
246
Gua para administradores de red
Acceso remoto
Tecnologa que permite visualizar e interactuar con el escritorio de un dispositivo
conectado a la red de forma remota.
Adaptador de red
El adaptador de red permite la comunicacin entre los diferentes aparatos conectados
entre s y tambin permite compartir recursos entre dos o ms equipos. Tienen un
nmero de identificacin nico.
Adware
Programa que, una vez instalado o mientras se est instalando, ejecuta, muestra o
descarga automticamente publicidad en el equipo.
Agente
El agente se encarga de las comunicaciones entre los equipos administrados y los
servidores de Adaptive Defense 360, adems de la gestin de los procesos locales.
Alerta
Mensaje relativo a la Actividad de proteccin de Adaptive Defense 360 susceptible de
requerir interaccin. El administrador de la red recibe alertas mediante correo electrnico
y el usuario las recibe mediante mensajes generados por el agente que se visualizan
en el escritorio de su dispositivo.
Anlisis forense
Conjunto de tcnicas y procesos ejecutados por el administrador de la red con
herramientas especializadas que le permiten seguir la pista de un programa malicioso y
determinar las consecuencias una vez el malware ha conseguido infectar un equipo de la
red.
Anlisis heurstico
El anlisis heurstico analiza el software en base a cientos de caractersticas de cada rchivo.
Antivirus
Programas cuya funcin es detectar y eliminar virus informticos y otras amenazas.
247
Gua para administradores de red
Archivo de identificadores
Es el fichero que permite a los antivirus detectar las amenazas. Tambin es conocido
con el nombre de fichero de firmas.
Audit
Modo de configuracin de Adaptive Defense 360 que permite visualizar la actividad
de los procesos ejecutados en los equipos protegidos de la red sin desencadenar
ninguna accin de resolucin (desinfeccin o bloqueo).
Avisos
Tambin llamados Incidencias, es la forma de representar en la consola Web la actividad
de los programas maliciosos detectados por la proteccin avanzada de Adaptive Defense
360.
Bloquear
Impedir la ejecucin de los programas clasificados como malware o sin clasificar,
dependiendo de la configuracin de Adaptive Defense 360 establecida por el
administrador de la red.
Broadcast
Transmisin de paquetes en redes de datos por el mtodo de difusin. Un mismo paquete
de datos llegar a todos los equipos dentro de la misma subred. Los paquetes de
broadcast no atraviesan encaminadores y utilizan un direccionamiento distinto para
diferenciarlos de los paquetes unicast.
248
Gua para administradores de red
Consola Web
Herramienta para configurar la proteccin, distribuir el agente a todos los equipos de la
red y gestionarla. Desde la consola se puede conocer en todo el momento el estado de
la proteccin instalada en su parque informtico y extraer e imprimir los informes que sean
necesarios.
Cuarentena
Repositorio de almacenamiento de contenidos sospechosos de ser maliciosos
o no desinfectables, as como de spyware y herramientas de hacking detectadas.
Desinfectable
Fichero infectado por malware del cual se conoce el algoritmo necesario para poder
revertirlo a su estado original.
DHCP
Servicio que asigna direcciones IP a los nuevos equipos conectados a la red.
Dialer
Se trata de un programa que marca un nmero de tarificacin adicional (NTA), utilizando
para ello el mdem. Los NTA son nmeros cuyo coste es superior al de una llamada
nacional.
Direccin IP
Nmero que identifica de manera lgica y jerrquica a la interfaz de red de un
dispositivo (habitualmente un ordenador) dentro de una red que utilice el protocolo IP.
Direccin MAC
Identificador hexadecimal de 48 bits que corresponde de forma nica a una tarjeta o
interfaz de red. Es individual, cada interfaz de red tiene su propia identificacin MAC
determinada.
Directorio Activo
Implementacin propietaria de servicios LDAP (Lightweight Directory Access Protocol,
Protocolo Ligero/Simplificado de Acceso a Directorios) para mquinas Microsoft Windows.
Permite el acceso a un servicio de directorio ordenado y distribuido para buscar
informacin diversa en entornos de red.
Distribucin Linux
Conjunto de paquetes de software y bibliotecas que conforman un sistema operativo
basado en el ncleo Linux.
249
Gua para administradores de red
Dominio
Arquitectura de redes Windows donde la gestin de los recursos compartidos, permisos y
usuarios est centralizada en un servidor llamado Controlador Principal de Dominio o
Directorio Activo.
Equipos excluidos
Son aquellos equipos seleccionados por el usuario a los que no se les aplicar la
proteccin. En calidad de excluidos, la consola Web no muestra ninguna informacin
ni alerta sobre ellos. Tenga en cuenta que la exclusin puede deshacerse en cualquier
momento.
Examinador principal
Rol del equipo dentro de una red Windows que mantiene un listado de todos los
dispositivos conectados a su segmento de red.
Exploit
Fallo de software conocido y aprovechado por el malware, que provoca una cadena
de errores controlada en provecho del propio malware que lo inicia.
Firewall
Tambin conocido como cortafuegos. Es una barrera o proteccin que permite a un
sistema salvaguardar la informacin al acceder a otras redes como, por ejemplo, Internet.
Fragmentacin
En redes de transmisin de datos, cuando la MTU del protocolo subyacente es menor
que el tamao del paquete a transmitir, los encaminadores dividen el paquete en piezas
ms pequeas (fragmentos) que se encaminan de forma independiente y se
ensamblan en el destino en el orden apropiado.
250
Gua para administradores de red
Funcionalidad Proxy
Esta funcionalidad permite el funcionamiento de Adaptive Defense 360 en equipos sin
acceso a Internet, realizndose los accesos a travs de otro agente instalado en una
mquina de su misma subred.
Geolocalizar
Posicionar en un mapa un dispositivo en funcin de sus coordenadas
Goodware
Fichero clasificado como legtimo y seguro tras su estudio.
Grupo
En Adaptive Defense 360, un grupo es un conjunto de equipos informticos a los que se
aplica el mismo perfil de configuracin de la proteccin. En Adaptive Defense 360 existe
un grupo inicial o grupo por defecto -Default- en el que se pueden incluir todos los
ordenadores a proteger. Tambin se pueden crear grupos nuevos.
Grupo de trabajo
Arquitectura de redes Windows donde la gestin de los recursos compartidos, permisos y
usuarios residen en cada uno de los equipos de forma independiente.
Hardening
Modo de configuracin de Adaptive Defense 360 que bloquea los programas
desconocidos descargados de Internet as como todos los ficheros clasificados como
malware
Herramienta de distribucin
Una vez descargada de Internet al PC administrador e instalada en ste, la herramienta
de distribucin permite instalar y desinstalar a distancia las protecciones en los equipos
seleccionados. En Adaptive Defense 360, la herramienta de distribucin solo se puede
utilizar para desplegar la proteccin en equipos con sistema operativo Windows.
Herramienta de hacking
251
Gua para administradores de red
Programa que puede ser utilizado por un hacker para causar perjuicios a los usuarios
de un ordenador (pudiendo provocar el control del ordenador afectado, obtencin de
informacin confidencial, chequeo de puertos de comunicaciones, etc.).
Hoaxes
Falsos mensajes de alarma sobre amenazas que no existen y que llegan normalmente a
travs del correo electrnico.
IP (Internet Protocol)
Principal protocolo de comunicacin en Internet para el envo y recepcin de los
datagramas generados en el nivel de enlace subyacente.
Joke
No es un virus, sino bromas de mal gusto que tienen por objeto hacer pensar a los usuarios
que han sido afectados por un virus.
Malware
Es un trmino general utilizado para referirse a programas que contienen cdigo
malicioso (MALicious softWARE), ya sean virus, troyanos, gusanos o cualquier otra
amenaza que afecta a la seguridad e integridad de los sistemas informticos. El malware
tiene como objetivo infiltrarse en daar un ordenador sin el conocimiento de su dueo y
con finalidades muy diversas.
Notificaciones
Avisos al administrador relativos a condiciones importantes de la plataforma Adaptive
Defense 360 tales como nuevas versiones del endpoint, licencias a punto de caducar etc
Lock
Modo de configuracin de Adaptive Defense 360 que bloquea los programas
desconocidos y clasificados como malware
Machine learning
Es una rama de la inteligencia artificial cuyo objetivo es desarrollar tcnicas para crear
programas capaces de generalizar comportamientos a partir de una informacin no
estructurada suministrada en forma de ejemplos.
Malware freezer
252
Gua para administradores de red
Nube
La computacin en la nube (Cloud Computing) es una tecnologa que permite ofrecer
servicios a travs de Internet. En este sentido, la nube es un trmino que se suele
utilizar como una metfora de Internet en mbitos informticos.
OU (Organizational Unit)
Forma jerrquica de clasificar y agrupar objetos almacenados en directorios
Partner
Empresa que ofrece productos y servicios de Panda Security
Perfil
Un perfil es una configuracin especfica de la proteccin. Este perfil es posteriormente
asignado a un grupo o grupos y aplicado a todos los equipos que forman parte de dicho
grupo o grupos.
Phishing
Intento de conseguir informacin confidencial de un usuario de forma fraudulenta.
Normalmente la informacin que se trata de lograr tiene que ver con contraseas,
tarjetas de crdito o cuentas bancarias.
Proceso local
Los procesos locales son los encargados de realizar tareas necesarias para la correcta
implantacin y administracin de la proteccin en los equipos.
253
Gua para administradores de red
del que se quiere instalar y se presentan como necesarios para una correcta instalacin.
Al aceptar, se abre la puerta del equipo del usuario a estos programas potencialmente
no deseados.
Protocolo
Conjunto de normas y especificaciones utilizadas para el intercambio de datos entre
ordenadores. Uno de los ms habituales es el protocolo TCP- IP.
Proxy
Un servidor proxy acta como un intermediario entre una red interna (por ejemplo, una
intranet) y una conexin externa a Internet. De esta forma, se puede compartir una
conexin para recibir ficheros desde servidores Web.
Puerto
Identificador numrico asignado a un canal de datos abierto por un proceso en un
dispositivo a travs del cual tienen lugar las transferencias de informacin (entradas /
salidas) con el exterior.
Rootkits
Programa diseado para ocultar objetos como procesos, archivos o entradas del
Registro de Windows (incluyendo los propios normalmente). Este tipo de software no
es malicioso en s mismo, pero es utilizado por los piratas informticos para esconder
evidencias y utilidades en los sistemas previamente comprometidos. Existen ejemplares
de malware que emplean rootkits con la finalidad de ocultar su presencia en el sistema
en el que se instalan.
SCL (Spam Confidence Level)
Valor normalizado asignado a un mensaje que refleja la probabilidad de que sea Spam,
evaluando caractersticas tales como su contenido, cabeceras y otros.
254
Gua para administradores de red
Servidor Exchange
Es un servidor de correo de la compaa Microsoft. El servidor Exchange almacena los
correos electrnicos entrantes y/o salientes y gestiona la distribucin de los mismos en
las bandejas de entrada configuradas para ello. Para conectarse al servidor y descargar
el correo electrnico que haya llegado a su bandeja, los usuarios han de tener instalado
en su equipo un agente de correo electrnico.
Servidor SMTP
Servidor que utiliza el protocolo SMTP -o protocolo simple de transferencia de correo-
para el intercambio de mensajes de correo electrnicos entre los equipos.
Sospechoso
Programa que, tras un anlisis de su comportamiento realizado en el equipo del usuario por
la proteccin de Adaptive Defense 360, tiene una alta probabilidad de ser considerado
malware.
Spam
El trmino correo basura hace referencia a mensajes no solicitados, habitualmente de tipo
publicitario y generalmente enviados en grandes cantidades, que perjudican de alguna o
varias maneras al receptor.
Spyware
Programa que acompaa a otro y se instala automticamente en un ordenador
(generalmente sin permiso de su propietario y sin que ste sea consciente de ello) para
recoger informacin personal y utilizarla posteriormente.
255
Gua para administradores de red
Topologa de red
Mapa fsico o lgico de los nodos que conforman una red para comunicarse.
Troyanos
Programa que llega al ordenador de manera encubierta, aparentando ser inofensivo, se
instala y realiza determinadas acciones que afectan a la confidencialidad del usuario.
Red pblica
Una red de este tipo es propia de cyberlocales, aeropuertos, etc. Conlleva limitacin de su
nivel de visibilidad y en su utilizacin, sobre todo a la hora de compartir archivos, recursos y
directorios.
Red de confianza
Este tipo de red generalmente es de oficina o casera. El equipo es perfectamente visible
para el resto de equipos de la red, y viceversa. No hay limitaciones al compartir archivos,
recursos y directorios.
SYN
Bandera (flag) en el campo TOS de los paquetes TCP que los identifican como paquetes
de inicio de conexin.
Variable de entorno
Cadena compuesta por informacin del entorno, como la unidad, la ruta de acceso o el
nombre de archivo, asociada a un nombre simblico que pueda utilizar Windows. La
opcin Sistema del Panel de control o el comando set del smbolo del sistema permiten
definir variables de entorno.
Vector de infeccin
Puerta de entrada o procedimiento utilizado por el malware para infectar el equipo del
usuario. Los vectores de infeccin ms conocidos son la navegacin web, el correo
electrnico y los pendriv es.
256
Gua para administradores de red
Ventana de oportunidad
Tiempo que transcurre desde que el primer equipo fue infectado a nivel mundial por una
muestra de malware de reciente aparicin hasta su estudio e incorporacin a los ficheros
de firmas de los antivirus para proteger a los equipos de su infeccin. Durante este periodo
de tiempo el malware puede infectar equipos sin que los antivirus sean conscientes de su
existencia
Virus
Programas que se pueden introducir en los ordenadores y sistemas informticos de formas
muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables.
257
Gua para administradores de red
Ni los documentos ni los programas a los que usted pueda acceder pueden ser copiados, reproducidos, traducidos o
transferidos por cualquier medio electrnico o legible sin el permiso previo y por escrito de Panda Security, Santiago de
Compostela, 12, 48003 Bilbao (Bizkaia), ESPAA.
Marcas registradas. Windows Vista y el logotipo de Windows son marcas o marcas registradas de Microsoft Corporation
en los Estados Unidos y otros pases. Todos los dems nombres de productos pueden ser marcas registradas de sus
respectivas compaas.
Panda Security 2016. Todos los derechos reservados.
258