Dell Endpoint Security Suite Enterprise El manual del propietario

Tipo
El manual del propietario

Dell Endpoint Security Suite Enterprise ofrece prevención avanzada de amenazas en el sistema operativo y capas de memoria, todo administrado de forma centralizada desde el servidor Dell. Con la administración centralizada, los informes de cumplimiento consolidados y las alertas de amenazas de la consola, las organizaciones pueden reforzar y verificar fácilmente el cumplimiento de los terminales.

Dell Endpoint Security Suite Enterprise ofrece prevención avanzada de amenazas en el sistema operativo y capas de memoria, todo administrado de forma centralizada desde el servidor Dell. Con la administración centralizada, los informes de cumplimiento consolidados y las alertas de amenazas de la consola, las organizaciones pueden reforzar y verificar fácilmente el cumplimiento de los terminales.

Endpoint Security Suite Enterprise for Linux
Guía del administrador v2.1
Notas, precauciónes y advertencias
NOTA: Una NOTA señala información importante que lo ayuda a hacer un mejor uso de su producto.
PRECAUCIÓN: Una PRECAUCIÓN indica un potencial daño al hardware o pérdida de datos y le informa cómo evitar el problema.
ADVERTENCIA: Una señal de ADVERTENCIA indica la posibilidad de sufrir daño a la propiedad, heridas personales o la muerte.
© 2012-2018 Dell Inc. Todos los derechos reservados. Dell, EMC, y otras marcas comerciales son marcas comerciales de Dell Inc. o de sus
subsidiarias. Otras marcas pueden ser marcas comerciales de sus respectivos propietarios.Las marcas comerciales y las marcas comerciales
registradas utilizadas en el conjunto de documentos de Data Guardian, Endpoint Security Suite Enterprise y Dell Encryption son las
siguientes: Dell™ y el logotipo de Dell, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS® y KACE™ son marcas comerciales de
Dell Inc. Cylance®, CylancePROTECT y el logotipo de Cylance son marcas comerciales registradas de Cylance, Inc. en los Estados Unidos.
y en otros países. McAfee McAfee® y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. en
los Estados Unidos y en otros países. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® y Xeon® son marcas comerciales registradas de
Intel Corporation en los EE. UU. y en otros países. Adobe®, Acrobat®, y Flash® son marcas comerciales registradas de Adobe Systems
Incorporated. Authen tec® y Eikon® son marcas comerciales registradas de Authen tec. AMD® es una marca comercial registrada de
Advanced Micro Devices, Inc. Microsoft®, Windows® y Windows Server®, Internet Explorer®, Windows Vista®, Windows 7®, Windows
10®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Outlook®, PowerPoint®, Word®, OneDrive®, SQL
Server® y Visual C++® son marcas comerciales o marcas comerciales registradas de Microsoft Corporation en los Estados Unidos o en
otros países. VMware® es una marca comercial o una marca comercial registrada de VMware, Inc. en Estados Unidos o en otros países.
Box® es una marca comercial registrada de Box. Dropbox es una marca de servicio de Dropbox, Inc. Google™, Android™, Google™
Chrome™, Gmail™ y Google™ Play son marcas comerciales o marcas comerciales registradas de Google Inc. en los Estados Unidos y en
otros países. Apple®, App Store, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod
shue®, y iPod nano®, Macintosh® y Safari® son marcas de servicio, marcas comerciales o marcas comerciales registradas de Apple, Inc.
en los Estados Unidos o en otros países. EnCase™ y Guidance Software® son marcas comerciales o marcas registradas de Guidance
Software. Entrust® es una marca comercial registrada de Entrust®, Inc. en Estados Unidos y otros países. Mozilla® Firefox® es una marca
comercial registrada de Mozilla Foundation en los Estados Unidos y/o en otros países. iOS® es una marca comercial o una marca comercial
registrada de Cisco Systems, Inc. en los Estados Unidos y en determinados países y se utiliza bajo licencia. Oracle® y Java® son marcas
comerciales registradas de Oracle y/o sus liales. Travelstar® es una marca comercial registrada de HGST, Inc. en Estados Unidos y otros
países. UNIX® es una marca comercial registrada de The Open Group. VALIDITY™ es una marca comercial de Validity Sensors, Inc. en los
Estados Unidos y en otros países. VeriSign® y otras marcas relacionadas son las marcas comerciales o marcas comerciales registradas de
VeriSign, Inc. o sus aliados o liales en los Estados Unidos y en otros países y han otorgado la licencia a Symantec Corporation. KVM on
IP® es una marca comercial registrada de Video Products. Yahoo!® es una marca comercial registrada de Yahoo! Inc. Bing® es una marca
comercial registrada de Microsoft Inc. Ask® es una marca comercial registrada de IAC Publishing, LLC. Los demás nombres utilizados
pueden ser marcas comerciales de sus respectivos propietarios.
2018 - 11
Rev. A01
Contenido
1 Introducción................................................................................................................................................... 4
Descripción general............................................................................................................................................................4
Cómo ponerse en contacto con Dell ProSupport.......................................................................................................... 4
2 Requisitos......................................................................................................................................................5
Hardware.............................................................................................................................................................................5
Software..............................................................................................................................................................................5
Puertos................................................................................................................................................................................5
Endpoint Security Suite Enterprise for Linux y Dependencias..................................................................................... 6
Compatibilidad.................................................................................................................................................................... 6
3 Tareas............................................................................................................................................................9
Ha nalizado la instalación................................................................................................................................................ 9
Requisitos previos........................................................................................................................................................ 9
Instalación con la línea de comandos.........................................................................................................................9
Ver detalles...................................................................................................................................................................11
Vericar la instalación.......................................................................................................................................................12
Solución de problemas..................................................................................................................................................... 14
Desactivar el certicado SSL de conanza............................................................................................................. 14
Agregar inventario XML y cambios en las políticas a la carpeta de registros......................................................14
Recopilar archivos de registro.........................................................................................................................................15
Aprovisionamiento de un inquilino...................................................................................................................................15
Aprovisionamiento de un inquilino.............................................................................................................................15
Solución de problemas de aprovisionamiento................................................................................................................15
Comunicación de agentes y aprovisionamiento...................................................................................................... 15
Contenido
3
Introducción
La Guía del administrador de Endpoint Security Suite Enterprise para Linux proporciona la información necesaria para implementar e instalar
el software cliente.
Descripción general
Endpoint Security Suite Enterprise para Linux ofrece Advanced Threat Prevention en el sistema operativo, capas de memoria, todo ello
administrado de forma centralizada desde Dell Server. Gracias a la administración centralizada, los informes de cumplimiento consolidados y
las alertas de amenazas de la consola, las organizaciones pueden reforzar y comprobar con facilidad el cumplimiento de los terminales.
Nuestra experiencia en seguridad se integra en el producto con características como políticas predenidas y plantillas de informes, que
ayudan a las empresas a reducir los costos de administración y la complejidad de TI.
Servidor de administración de seguridad o Servidor virtual de administración de seguridad: proporciona una administración centralizada de
las políticas de seguridad, se integra con los directorios empresariales existentes y crea informes. A efectos del presente documento, ambos
servidores se citan como Dell Server, salvo que sea necesario mencionar una versión especíca (por ejemplo, que un procedimiento sea
diferente si se utiliza Servidor virtual de administración de seguridad).
Advanced Threat Prevention para Linux tiene un archivo tar.gz, que contiene las tres RPM.
Cómo ponerse en contacto con Dell ProSupport
Llame al 877-459-7304, extensión 4310039 para obtener soporte telefónico sobre su producto Dell 24 horas al día, 7 días a la semana.
De manera adicional, puede obtener soporte en línea para los productos Dell en dell.com/support. El soporte en línea incluye controladores,
manuales, recomendaciones técnicas, P+F y posibles problemas.
Tenga su Código de servicio rápido o Etiqueta de servicio a mano cuando realice la llamada para asegúrese de ayudarnos a conectarle
rápidamente con el experto técnico adecuado.
Para obtener los números de teléfono fuera de los Estados Unidos, consulte Números de teléfono internacionales de Dell ProSupport.
1
4 Introducción
Requisitos
En este capítulo se enumeran los requisitos de hardware y software. Asegúrese de que el entorno de implementación cumple los requisitos
antes de continuar con las tareas de implementación.
Hardware
La siguiente tabla indica el hardware mínimo compatible.
Hardware
Como mínimo 500 MB de espacio de disco libre
2 GB RAM
Tarjeta de interfaz de red 10/100/1000 o Wi-Fi
NOTA: IPv6 no es compatible actualmente.
Software
La tabla a continuación muestra qué software es compatible.
Sistemas operativos (kernel de 64 bits)
CentOS Linux v7.1 a v7.5
Red Hat Enterprise Linux v7.1 a v7.5
Puertos
El puerto 443 (https) se utiliza para la comunicación y debe estar abierto en el rewall para que los agentes puedan comunicarse con la
consola de administración. Si el puerto 443 está bloqueado por cualquier motivo, no se podrán descargar las actualizaciones, así que
puede que los equipos no tengan la protección más reciente. Asegúrese de que las computadoras cliente puedan acceder a lo siguiente:
Utilizar
Protocolo de
aplicación
Protocolo de
transporte
Número de
puerto
Destino Dirección
Toda la
comunicación
HTTPS TCP 443 Permitir todo el tráco https en
*.cylance.com
Saliente
Comunicación del
Core Server
HTTPS TCP 8888 Permite la comunicación del Core Server Entrada/Salida
Para obtener más información, consulte SLN303898.
2
Requisitos 5
Endpoint Security Suite Enterprise for Linux y
Dependencias
Endpoint Security Suite Enterprise for Linux utiliza Mono y dependencias para que se pueda instalar y activar en el sistema operativo Linux.
El instalador descargará e instalará las dependencias necesarias. Después de la extracción del paquete, puede ver qué dependencias se
están aprovechando mediante el uso del siguiente comando:
./showdeps.sh
Compatibilidad
En la siguiente tabla se detalla la compatibilidad con Windows, Mac y Linux.
n/a: la tecnología no es pertinente para esta plataforma.
Campo en blanco: la política se admite en Endpoint Security Suite Enterprise.
Funciones Políticas Windows macOS Linux
Acciones de archivo
Cuarentena automática (no
segura)
x x x
Cuarentena automática
(anormal)
x x x
Carga automática
x x x
Lista segura de políticas
x x x
Acciones de memoria
Protección de memoria x x x
Explotación
Dinamización de pilas x x x
Protección de pilas x x x
Sobrescribir código x n/d
Extracción de RAM x n/d
Contenido malicioso x
Inyección del proceso
Distribución remota de
memoria
x x n/d
Asignación remota de
memoria
x x n/d
Escritura remota en la
memoria
x x n/d
Escritura remota de PE en
la memoria.
x n/d n/d
6 Requisitos
Funciones Políticas Windows macOS Linux
Sobrescribir remotamente
el código
x n/d
Desasignación remota de
memoria
x n/d
Creación remota de hebras x x
APC remota programada x n/d n/d
Inserción de DYLD x x
Escalamiento
Lectura de LSASS x n/d n/d
Asignación de cero x x
Conguración de protección
Control de ejecución x x x
Evitar la interrupción del
servicio desde el
dispositivo
x x
Eliminar los procesos en
ejecución no seguros y sus
subprocesos
x x x
Detección de amenazas en
segundo plano
x x x
Detectar nuevos archivos x x x
Tamaño máximo de archivo
de almacenamiento para
escanear
x x x
Excluir carpetas
especícas
x x x
Copiar muestras de
archivos
x
Control de la aplicación
Cambiar ventana x x
Exclusiones de carpetas x
Conguración del agente
Activar carga automática
de archivos de registro
x x x
Activar las noticaciones
de escritorio
x
Control de la secuencia de comandos
Secuencia de comandos
activa
x
PowerShell x
Macros de Oce x n/d
Requisitos 7
Funciones Políticas Windows macOS Linux
Bloquear el uso de la
consola PowerShell
x
Aprobar los scripts en
estas carpetas (y
subcarpetas)
x
Nivel de registro x
Nivel de protección
automática
x
Actualización automática x
Ejecutar una detección (de
la UI de agente)
x
Eliminar cuarentena (UI de
agente y de consola)
x
Modo desconectado x x
Datos detallados de la
amenaza
x
Lista segura de
certicados
x x n/d
Copiar muestras de
malware
x x x
Conguración de proxy x x x
Comprobación de la
política del manual (UI de
agente)
x x
8 Requisitos
Tareas
Ha nalizado la instalación
Esta sección lo guía a través de la instalación de Endpoint Security Suite Enterprise para Linux.
Requisitos previos
Dell recomienda seguir las mejores prácticas de TI durante la implementación del software cliente. Entre los que se incluyen, a modo de
ejemplo, entornos de prueba controlados para las pruebas iniciales e implementaciones escalonadas para los usuarios.
Antes de empezar este proceso, asegúrese de que se cumplen los requisitos previos siguientes:
Asegúrese de que Dell Server y sus componentes ya están instalados.
A continuación encontrará varias guías. Si todavía no ha instalado Dell Server, siga las instrucciones de la guía más adecuada.
Guía de instalación y migración de Servidor de administración de seguridad
Guía de inicio rápido y guía de instalación de Servidor virtual de administración de seguridad
Asegúrese de que dispone del nombre de host y el puerto de Dell Server. Necesita ambos para la instalación del software cliente.
Asegúrese de que la computadora de destino cuente con conectividad de red con Dell Server.
Si el certicado de servidor de un cliente se ha perdido o se ha autormado, debe deshabilitar el certicado SSL de conanza en el lado
del cliente solamente.
Instalación con la línea de comandos
Para instalar el cliente Endpoint Security Suite Enterprise mediante la línea de comandos, siga estos pasos.
Se debe usar el comando sudo para invocar privilegios administrativos durante la instalación. Cuando se le solicite, ingrese sus
credenciales.
La aprobación de la huella digital se muestra solo durante la primera instalación.
1 Busque y descargue el paquete de instalación (DellESSE-1.x.x-xxx.tar.gz) mediante su cuenta FTP de Dell.
2 Extraiga el tar.gz con el siguiente comando:
tar -xvf DellESSE*.tar.gz
3
Tareas 9
3 El siguiente comando ejecuta las secuencias de comandos de instalación para las RPM y dependencias necesarias:
sudo ./install.sh
4 En el host Dell Security Management Server ingrese el nombre completo de host de Dell Server para administrar el usuario de destino.
Por ejemplo, server.organization.com.
5 En el puerto Dell Security Management Server, verique que el puerto se congure en 8888.
6 Ingrese y cuando se le solicite instalar el paquete DellESSE y sus dependencias.
7 Ingrese y si se le pregunta por la aprobación de la Huella digital.
10
Tareas
8 Ingrese y cuando se le solicite instalar el paquete DellAdvancedThreatProtection.
9 Ingrese y cuando se le solicite instalar el paquete CylanceDellATPPlugin.
10 La instalación nalizó.
11 Consulte Vericar la instalación de Endpoint Security Suite Enterprise para Linux.
Desinstalación con la línea de comandos
Para desinstalar Endpoint Security Suite Enterprise para Linux mediante la línea de comandos, siga estos pasos.
1 Acceda a una ventana terminal.
2 Desinstale el paquete con el siguiente comando:
sudo ./uninstall.sh
3 Pulse Intro.
Endpoint Security Suite Enterprise para Linux ya está desinstalado y la computadora se puede utilizar con normalidad.
Ver detalles
Después de haber instalado Endpoint Security Suite Enterprise para Linux, Dell Server lo reconoce como terminal.
Tareas
11
atp -t
El comando atp - t muestra todas las amenazas detectadas en el dispositivo y la acción realizada. Las amenazas son una categoría de
sucesos que se acaban de detectar como archivos o programas potencialmente inseguros y que requieren correcciones guiadas.
Estas entradas detallan la acción realizada, ID de hash y la ubicación de la amenaza.
No seguro: un archivo sospechoso que probablemente sea malware
Anómalo: un archivo sospechoso que es posible que sea malware
En cuarentena: un archivo que se ha trasladado de su ubicación original, guardado en la carpeta Cuarentena y cuya ejecución se ha
impedido en el dispositivo.
Exento: un archivo que tiene permiso para ser ejecutado en el dispositivo.
Borrado: un archivo que se ha borrado en la organización. Los archivos borrados incluyen archivos exentos, archivos que se han
agregado a la lista de seguridad y archivos que se han eliminado de la carpeta Cuarentena del dispositivo.
Para obtener más información sobre las clasicaciones de amenazas de Advanced Threat Prevention, consulte AdminHelp, disponible en
Remote Management Console de Dell Server.
Vericar la instalación
De manera opcional, puede vericar que se realizó correctamente la instalación.
En el cliente, acceda a una ventana terminal.
Antes de que se reciba una secuencia de la política, el cliente se registra con Dell Server.
El archivo /var/log/dell/ESSE/DellAgent.00.log detalla la comunicación con Dell Server y la interacción complemento/servicio.
El texto adjunto conrma que el cliente recibió las políticas desde Dell Server:
El texto adjunto conrma que el servicio de Dell se detuvo para cargar el complemento Advanced Threat Prevention:
12
Tareas
El texto adjunto conrma que se cargaron los tres complementos Endpoint Security Suite Enterprise para Linux:
atp -s - Incluye lo siguiente:
Estado de registro
Número de serie: utilice este número cuando se ponga en contacto con el servicio de asistencia. Se trata del identicador único de la
instalación.
Política
El siguiente comando detalla las variables de la línea de comandos para Endpoint Security Suite Enterprise para Linux:
/opt/cylance/desktop/atp --help
Tareas
13
El comando Advanced Threat Prevention atp se agrega al directorio /usr/sbin, que se incluirá normalmente en una variable de RUTA de
shell, de modo que se puede utilizar en la mayoría de los casos sin una ruta explícita.
Solución de problemas
Desactivar el certicado SSL de conanza
Si el certicado del servidor de una computadora se perdió o se autormó, debe deshabilitar el certicado SSL de conanza en el lado del
cliente solamente.
Si utiliza un certicado poco común, importe el certicado raíz al almacén de certicados Linux, a continuación, reinicie los servicios
de Endpoint Security Suite para Linux con el siguiente comando: /usr/lib/dell/esse/agentservicecmd.sh restart
1 Acceda a una ventana terminal.
2 Ingrese la ruta de acceso de la aplicación CsfCong:
/usr/lib/dell/esse/CsfConfig
3 Ejecute CsfCong.app:
sudo ./CsfConfig
Aparecerán los siguientes valores predeterminados:
Conguración actual:
ServerHost = deviceserver.company.com
ServerPort = 8888
DisableSSLCertTrust = Falso
DumpXmlInventory = Falso
DumpPolicies = Falso
4 Escriba -help para enumerar las opciones.
5 Para desactivar el certicado SSL de conanza en la computadora de destino, ingrese el siguiente comando:
sudo /usr/lib/dell/esse/CsfConfig -disablecerttrust true
Agregar inventario XML y cambios en las políticas a la carpeta
de registros
Para agregar los archivos inventory.xml o policies.xml a la carpeta de registros:
1 Ejecute la aplicación CsfCong como se describió más arriba.
2 Para cambiar DumpXmlInventory a Verdadero, ingrese el siguiente comando:
sudo /usr/lib/dell/esse/CsfConfig -dumpinventory true
3 Para cambiar DumpPolicies a Verdadero, ingrese el siguiente comando:
sudo /usr/lib/dell/esse/CsfConfig -dumppolicies true
Los archivos de políticas solo se vuelcan si se ha producido algún cambio en la política.
4 Para ver los archivos de registro inventory.xml y policies.xml, vaya a /var/log/Dell/Dell Data Protection.
14
Tareas
NOTA: Es posible que los cambios de CsfCong no se apliquen de manera
inmediata.
Recopilar archivos de registro
Los registros de Endpoint Security Suite Enterprise for Linux se encuentran en la siguiente ubicación: /var/log/Dell/ESSE. Para generar
registros, utilice el siguiente comando: . /getlogs.sh
Para obtener información sobre cómo recopilar los registros, consulte SLN303924.
Aprovisionamiento de un inquilino
Debe aprovisionar un inquilino en Dell Server antes de que se active la aplicación de las políticas de Advanced Threat Prevention.
Requisitos previos
Lo debe llevar a cabo el administrador con el rol de administrador del sistema.
Debe tener conexión a Internet para el aprovisionamiento en Dell Server.
Debe tener conexión a Internet en el cliente para mostrar la integración del servicio en línea de Advanced Threat Prevention en la
consola de administración.
El aprovisionamiento se basa en una señal generada a partir de un certicado durante el proceso de aprovisionamiento.
Las licencias de Advanced Threat Prevention deben estar presentes en Dell Server.
Aprovisionamiento de un inquilino
1 Como administrador de Dell, inicie sesión en la Remote Management Console.
2 En el panel izquierdo de la consola de administración, haga clic en Administración > Administración de servicios.
3 Haga clic en Congurar servicio Advanced Threat Protection. Importe sus licencias Advanced Threat Prevention si se produce un
error en este punto.
4 La conguración guiada inicia una vez que se han importado las licencias. Haga clic en Siguiente para empezar.
5 Lea y acepte el EULA y haga clic en Siguiente.
6 Proporcione las credenciales de identicación a Dell Server para aprovisionar el inquilino. Haga clic en Siguiente. No se permite
aprovisionar un inquilino existente con marca Cylance.
7 Descargue el certicado. Esto es necesario para poder llevar a cabo una recuperación si se produce algún problema con Dell Server.
No se realiza automáticamente una copia de seguridad de este certicado. Realice una copia de seguridad del certicado en una
ubicación segura de otro equipo. Seleccione la casilla de vericación para conrmar que se realizó una copia de seguridad del
certicado y haga clic en Siguiente.
8 La conguración ha terminado. Haga clic en Aceptar.
Solución de problemas de aprovisionamiento
Comunicación de agentes y aprovisionamiento
Los siguientes diagramas muestran el proceso de aprovisionamiento del servicio de Advanced Threat Prevention.
Tareas
15
16 Tareas
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention.
Tareas 17
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17

Dell Endpoint Security Suite Enterprise El manual del propietario

Tipo
El manual del propietario

Dell Endpoint Security Suite Enterprise ofrece prevención avanzada de amenazas en el sistema operativo y capas de memoria, todo administrado de forma centralizada desde el servidor Dell. Con la administración centralizada, los informes de cumplimiento consolidados y las alertas de amenazas de la consola, las organizaciones pueden reforzar y verificar fácilmente el cumplimiento de los terminales.