Knowledge base

Volver a la descripción general del soporte

Endpoint Detection and Response (EDR) es una solución integrada de seguridad de endpoints o puntos finales que utiliza datos de telemetría para detectar, analizar y corregir amenazas cibernéticas. Con la tecnología de Malwarebytes ThreatDown, EDR detiene los ataques contra estaciones de trabajo y servidores con una seguridad que detecta lo que otras soluciones pasan por alto.

Este artículo se aplica a tod@s l@s clientes de Endpoint Detection and Response.

¿Qué es la detección y respuesta de endpoints?

La detección y respuesta de endpoints o puntos finales (EDR) abarca herramientas de ciberseguridad diseñadas para monitorear y abordar continuamente las amenazas dirigidas a estos dispositivos (endpoints) en tiempo real. Estos puntos finales incluyen cualquier dispositivo conectado a la red, como computadoras, servidores, dispositivos móviles y dispositivos IoT. Las soluciones EDR son fundamentales para detectar, analizar y neutralizar actividades maliciosas en estos dispositivos.

Funcionalidades principales

EDR utiliza múltiples soluciones para proporcionar un paquete completo para la seguridad de tus endpoints y servidores. Esto incluye:

  • Monitoreo continuo: recopilación constante de datos de los puntos finales. Esto incluye la actividad de archivos, las conexiones de red, las ejecuciones de procesos y los cambios en el registro del sistema.
  • Análisis: Utilizando IA y el aprendizaje automático, EDR analiza los datos recopilados para identificar anomalías que puedan indicar actividad maliciosa.
  • Detección de amenazas: Identificación de amenazas potenciales, incluidas las vulnerabilidades de día cero.
  • Respuesta automatizada: EDR puede responder automáticamente a las amenazas descubiertas, incluida la cuarentena de archivos y el aislamiento de dispositivos infectados.

¿Cuál es la diferencia entre los servicios de detección y respuesta de endpoints (EDR) y protección de endpoints (EPP)?

EDR y EPP difieren en la forma en que abordan la seguridad de los dispositivos. EDR es una solución diseñada para detectar, investigar y responder a amenazas avanzadas en tiempo real. Proporciona una visibilidad completa de las actividades de los endpoints, lo que permite a los equipos de seguridad analizar el alcance y la naturaleza de un ataque. Al aprovechar el análisis de comportamiento y las técnicas de aprendizaje automático, EDR puede identificar amenazas conocidas, vulnerabilidades de día cero, ataques sin archivos y otras amenazas avanzadas. También ofrece herramientas para la respuesta a incidentes, como aislar dispositivos infectados o revertir cambios maliciosos.

Por el contrario, la protección de endpoints basada en firmas se basa en firmas de amenazas predefinidas para detectar y bloquear actividades maliciosas. Compara archivos o procesos con una base de datos de patrones de malware conocidos. Si bien es eficaz para prevenir amenazas conocidas, este método puede faltar en malware en evolución sin la firma correspondiente. Su enfoque principal es la prevención en lugar de la investigación o la respuesta posterior al ataque.

Cómo acceder a Endpoint Protection and Response

Se puede acceder a EDR en TeamViewer Remote o a través de la  aplicación web en la pestaña de Remote Management, en la sección Protección de Puntos Finales (Endpoint protection).

Cómo ver el estado de protección de un dispositivo específico

El método recomendado para acceder al estado de un dispositivo específico es a través del panel del dispositivos. Esto se hace haciendo clic en el nombre del dispositivo en la pestaña Dispositivo de TeamViewer Remote o dentro de la lista de dispositivos.

El panel se abrirá a la derecha; selecciona la pestaña con un escudo y una marca de verificación para acceder a la información EDR del dispositivo. El panel de dispositivos EDR proporciona la información básica del mismo; Esto incluye:

  • Política aplicada
  • Nombre y grupo de dispositivos de Malwarebytes
  • Detecciones
  • Actividad sospechosa

 

EDR se divide en las siguientes secciones:

  • Dispositivos
  • Detecciones
  • Cuarentena
  • Actividad sospechosa
  • Informes

Selecciona la pestaña correspondiente a continuación para obtener más información sobre cada sección:

Dispositivos

En la pestaña de dispositivos se proporciona una lista de todos los dispositivos, así como la siguiente información:

  • Nombre el dispositivo en la consola Nebula
  • Grupo
  • Estado del dispositivo
  • Estado
  • Fecha del último análisis
  • Fecha de la última vista

Cualquier dispositivo que requiera atención mostrará Necesita atención (Need atention) como el estado del dispositivo.

Detecciones

La pestaña Detecciones proporciona una descripción general de todas las amenazas detectadas en los endpoints. Todos los archivos de la pestaña Detecciones se han identificado, analizado y respondido en tiempo real, lo que minimiza los posibles daños.

En caso de falso positivo, puedes crear automáticamente una exclusión seleccionando la amenaza y haciendo clic en +Crear Exclusión (+Create Exclusion).

Se proporciona la siguiente información sobre cada amenaza:

  • Estado
  • Categoría
  • Amenaza
  • Dispositivo y grupo de dispositivos
  • Fecha de análisis

Al hacer clic en el estado de la amenaza, aparece un panel de amenazas, que proporciona más información sobre la detección. Esto incluye:

  • Ejecutable/Archivo detectado
  • Camino
  • Tipo de archivo
  • Acción tomada
  • Categoría de amenaza
  • Grupo de dispositivos
  • Fecha y hora del análisis y del reporte

Los archivos que se han puesto en cuarentena también se pueden restaurar o eliminar a través del panel de amenazas.

Cuarentena

Los archivos en cuarentena son detecciones que coinciden con una determinada firma u otro detalle de amenaza potencial, pero pueden ser falsos positivos. Si se pone en cuarentena una amenaza potencial, esta pestaña te permitirá restaurar (restore) o eliminar (delete) el archivo.

Actividad sospechosa

La actividad sospechosa detecta comportamientos potencialmente maliciosos mediante la supervisión de los procesos, el registro, el sistema de archivos y la actividad de red en el punto final. El monitoreo de actividades sospechosas utiliza modelos de aprendizaje automático y análisis basados en la nube para detectar cuándo ocurre una actividad cuestionable.

Ten en cuenta que no se garantiza que toda la actividad detectada sea maliciosa; Las operaciones benignas del sistema también pueden desencadenar algunas detecciones.

Cómo exportar informes

Endpoint Detection and Response proporciona una gran variedad de informes que proporcionan la información necesaria cuando se la necesita. Para crear un informe, vete a la pestaña de informes de Endpoint Protection y selecciona +Crear informe (+Create report) en la esquina superior derecha.

Coloca un nombre para el informe y selecciona el tipo de informe necesario. A continuación, ingresa la zona horaria deseada y haz clic en Continuar (Continue).

Si deseas que el informe sea creado automáticamente, introduce la programación deseada (mensual, diaria o semanal). También puedes configurarlo como solo bajo demanda para ejecutarlo cuando sea necesario.

Establece el período de informe deseado: las fechas que se incluirán en el informe. Puedes establecer un período predefinido para cada informe o introducir manualmente los períodos cada vez que ejecute el informe solicitado.

En el paso final, agrega los destinatarios que recibirán el informe. Haz clic en Crear para finalizar y ejecutar el informe inicial.

Generar y enviar informe

Independientemente de si se trata de un informe a petición o programado, puedes ejecutar cualquier informe a petición seleccionando el informe deseado y haciendo clic en ↻ Generar y enviar el informe (↻ Generate and Send the report).