Sunteți pe pagina 1din 258

Gua para administradores de red

Adaptive Defense 360

Gua para
administradores
de red

1
Gua para administradores de red

Tabla de contenidos

1. PRLOGO...................................................................................................................... 9

1.1. INTRODUCCIN ............................................................................................................ 10


1.2. A QUIN EST DIRIGIDA ESTA GUA? ................................................................................. 10
1.3. ICONOS ...................................................................................................................... 10

2. INTRODUCCIN ........................................................................................................... 11

2.1. INTRODUCCIN ............................................................................................................ 12


2.2. CARACTERSTICAS PRINCIPALES DE ADAPTIVE DEFENSE 360..................................................... 12
2.3. PERFIL DE USUARIO DE ADAPTIVE DEFENSE 360 ................................................................... 13
2.4. COMPONENTES PRINCIPALES DE LA ARQUITECTURA ADAPTIVE DEFENSE 360 ............................... 13
2.4.1 GRANJA DE SERVIDORES CLOUD ADAPTIVE DEFENSE 360 ............................................................14
2.4.2 SERVIDOR WEB DE LA CONSOLA DE ADMINISTRACIN ..................................................................15
2.4.3 EQUIPOS PROTEGIDOS CON ADAPTIVE DEFENSE 360...................................................................15
2.5. SERVICIOS ADAPTIVE DEFENSE 360 ................................................................................... 18
2.5.1 SERVICIO ADVANCED REPORTING TOOL ....................................................................................19
2.5.2 SERVICIO SIEMFEEDER: INTEGRACIN CON EL SERVIDOR SIEM DEL CLIENTE...................................19
2.5.3 SAMPLES FEED ......................................................................................................................19
2.5.4 IP FEEDS..............................................................................................................................20
2.5.5 MDULO REMOTE CONTROL...................................................................................................20

3. EL CICLO COMPLETO DE PROTECCIN ADAPTATIVA...................................................... 21

3.1. INTRODUCCIN ............................................................................................................ 22


3.2. EL CICLO DE PROTECCIN ADAPTATIVA ............................................................................... 22
3.3. PROTECCIN COMPLETA DEL PARQUE INFORMTICO .............................................................. 23
3.3.1 PROTECCIN DE SISTEMAS VULNERABLES Y EXPLOITS ...................................................................23
3.3.2 PROTECCIN ANTIVIRUS PERMANENTE E INTELIGENCIA COLECTIVA.................................................24
3.3.3 LA NUBE ..............................................................................................................................24
3.3.4 PROTECCIN CONTRA TCNICAS AVANZADAS DE OCULTACIN Y VIRUS DE MACRO ............................25
3.3.5 PROTECCIN DEL CORREO Y LA WEB.........................................................................................25
3.3.6 PROTECCIN DE LA RED POR CORTAFUEGOS Y SISTEMA DE DETECCIN DE INTRUSOS (IDS) ................25
3.3.7 CONTROL DE DISPOSITIVOS .....................................................................................................26
3.3.8 FILTRADO DE SPAM, VIRUS Y CONTENIDOS EN SERVIDORES EXCHANGE ...........................................26
3.3.9 CONTROL DE ACCESO A PGINAS WEB ......................................................................................27
3.4. DETECCIN Y MONITORIZACIN........................................................................................ 27
3.4.1 PROTECCIN PERMANENTE AVANZADA .....................................................................................27
3.4.2 MONITORIZACIN DE FICHEROS DE DATOS.................................................................................29
3.4.3 VISIBILIDAD DEL ESTADO DE LA RED ..........................................................................................29
3.5. RESOLUCIN Y RESPUESTA .............................................................................................. 30
3.6. ADAPTACIN ............................................................................................................... 31

4. CREACIN DE CUENTAS PANDA .................................................................................... 33

4.1. QU ES LA CUENTA PANDA? .......................................................................................... 34


4.2. CMO PUEDES CREAR UNA CUENTA PANDA? ..................................................................... 34
4.3. CMO PUEDES ACTIVAR LA CUENTA PANDA? ..................................................................... 35

2
Gua para administradores de red

5. LA CONSOLA DE ADMINISTRACIN ............................................................................... 36

5.1. INTRODUCCIN ............................................................................................................ 37


5.1.1 REQUISITOS DE LA CONSOLA WEB ............................................................................................37
5.1.2 FEDERACIN CON IDP............................................................................................................38
5.2. ESTRUCTURA GENERAL DE LA CONSOLA WEB DE ADMINISTRACIN ............................................ 38
5.2.1 MEN SUPERIOR (1)..............................................................................................................39
5.2.2 RUTA DE NAVEGACIN (2) ......................................................................................................41
5.2.3 MEN LATERAL (3) ...............................................................................................................41
5.2.4 PESTAAS (4) .......................................................................................................................41
5.2.5 BOTN DE CONFIGURACIN GENERAL (5)..................................................................................42
5.2.6 USUARIO LOGEADO (6) ..........................................................................................................44
5.2.7 BOTN PANDA CLOUD (7)......................................................................................................44
5.2.8 ELEMENTOS DE CONFIGURACIN (8) ........................................................................................44
5.2.9 NOTIFICACIONES (9) ..............................................................................................................45
5.2.10 ACCESO AL SERVICIO ADVANCED REPORTING TOOL (10) ............................................................45

6. LICENCIAS ................................................................................................................... 46

6.1. INTRODUCCIN ............................................................................................................ 47


6.2. CONTRATACIN Y RENOVACIN DE LICENCIAS ...................................................................... 47
6.2.1 MANTENIMIENTOS ................................................................................................................47
6.3. ESTADO DE LAS LICENCIAS ............................................................................................... 48
6.4. ASIGNACIN Y LIBERACIN DE LICENCIAS ............................................................................ 50
6.5. NOTIFICACIONES POR FECHA DE CADUCIDAD DE LICENCIAS CONTRATADAS ................................... 51

7. GESTIN DE CUENTAS .................................................................................................. 52

7.1. INTRODUCCIN ............................................................................................................ 53


7.2. DELEGAR LA GESTIN DE UNA CUENTA ............................................................................... 53
7.2.1 ERRORES POSIBLES AL DELEGAR LA GESTIN DE UNA CUENTA ........................................................53
7.3. UNIFICAR CUENTAS ....................................................................................................... 54
7.3.1 IMPLICACIONES DE LA UNIFICACIN DE CUENTAS ........................................................................54
7.3.2 REQUISITOS PARA UNIFICAR CUENTAS .......................................................................................54
7.3.3 PASOS PARA UNIFICAR LAS CUENTAS .........................................................................................55
7.3.4 EFECTOS DE LA UNIFICACIN DE CUENTAS EN LA CONFIGURACIN DEL SERVICIO ...............................55
7.3.5 POSIBLES MENSAJES DE ERROR AL UNIFICAR CUENTAS ..................................................................56

8. USUARIOS ................................................................................................................... 57

8.1. INTRODUCCIN ............................................................................................................ 58


8.2. CREACIN DE USUARIOS ................................................................................................. 58
8.3. MODIFICAR LOS DATOS DEL USUARIO ................................................................................. 59
8.4. BORRAR UN USUARIO .................................................................................................... 60
8.5. ASIGNACIN DE PERMISOS A USUARIOS / GRUPOS ................................................................ 61
8.5.1 HERENCIA DE LOS PERMISOS APLICADOS....................................................................................61
8.6. TIPOS DE PERMISOS ....................................................................................................... 61
8.6.1 PERMISO DE CONTROL TOTAL ..................................................................................................62
8.6.2 PERMISO DE ADMINISTRADOR .................................................................................................63
8.6.3 PERMISO DE MONITORIZACIN ................................................................................................64

3
Gua para administradores de red

9. INSTALACIN DE LA PROTECCIN ................................................................................. 65

9.1. INTRODUCCIN ............................................................................................................ 66


9.1.1 DESCARGA DEL AGENTE DESDE LA CONSOLA WEB .......................................................................66
9.1.2 GENERACIN DE URL DE DESCARGA .........................................................................................67
9.1.3 HERRAMIENTA DE DISTRIBUCIN CENTRALIZADA.........................................................................68
9.1.4 BSQUEDA DE EQUIPOS DESPROTEGIDOS ..................................................................................68
9.2. VISIN GENERAL DEL DESPLIEGUE DE LA PROTECCIN ............................................................. 71
9.3. INSTALACIN EN EQUIPOS WINDOWS ................................................................................ 74
9.3.1 REQUISITOS DE ACCESO A INTERNET .........................................................................................74
9.3.2 REQUISITOS HARDWARE Y SOFTWARE .......................................................................................76
9.4. INSTALACIN EN EQUIPOS WINDOWS CON MICROSOFT EXCHANGE ........................................... 77
9.4.1 REQUISITOS DE ACCESO A INTERNET .........................................................................................77
9.4.2 REQUISITOS HARDWARE Y SOFTWARE .......................................................................................77
9.5. INSTALACIN EN EQUIPOS LINUX....................................................................................... 78
9.5.1 REQUISITOS DE ACCESO A INTERNET .........................................................................................78
9.5.2 REQUISITOS HARDWARE Y SOFTWARE .......................................................................................78
9.6. INSTALACIN EN EQUIPOS MAC OS X ................................................................................ 79
9.6.1 REQUISITOS DE ACCESO A INTERNET .........................................................................................79
9.6.2 REQUISITOS HARDWARE Y SOFTWARE .......................................................................................79
9.7. INSTALACIN EN DISPOSITIVOS ANDROID ............................................................................ 80
9.7.1 REQUISITOS DE ACCESO A INTERNET .........................................................................................82
9.7.2 REQUISITOS HARDWARE Y SOFTWARE .......................................................................................82
9.8. INTRODUCCIN A LA INSTALACIN MEDIANTE GENERACIN DE IMGENES ................................... 82
9.9. DESINSTALACIN DE LA PROTECCIN ................................................................................. 83
9.9.1 DESINSTALACIN LOCAL .........................................................................................................83
9.9.2 DESINSTALACIN CON LA HERRAMIENTA DE DISTRIBUCIN CENTRALIZADA ......................................84
9.9.3 DESINSTALACIN DESDE LA CONSOLA WEB DE ADMINISTRACIN ..................................................85

10. ACTUALIZACIN DE LA PROTECCIN ........................................................................... 88

10.1. INTRODUCCIN .......................................................................................................... 89


10.2. ACTUALIZACIN DE SISTEMAS WINDOWS .......................................................................... 89
10.2.1 ACTUALIZACIN DE LA PROTECCIN........................................................................................90
10.2.2 ACTUALIZACIN DEL ARCHIVO DE IDENTIFICADORES ..................................................................91
10.2.3 FUNCIONALIDAD PEER TO PEER O RUMOR...............................................................................92
10.3. ACTUALIZACIN DE SISTEMAS LINUX ................................................................................ 94
10.3.1 ACTUALIZACIN DE LA PROTECCIN........................................................................................94
10.3.2 ACTUALIZACIN DEL ARCHIVO DE IDENTIFICADORES ..................................................................94
10.4. ACTUALIZACIN DE SISTEMAS MAC OS X.......................................................................... 94
10.4.1 ACTUALIZACIN DE LA PROTECCIN........................................................................................94
10.4.2 ACTUALIZACIN DEL ARCHIVO DE IDENTIFICADORES ..................................................................94
10.5. ACTUALIZACIN DE SISTEMAS ANDROID ........................................................................... 95
10.5.1 ACTUALIZACIN DE LA PROTECCIN........................................................................................95
10.5.2 ACTUALIZACIN DEL ARCHIVO DE IDENTIFICADORES ..................................................................95

11. GRUPOS .................................................................................................................... 96

11.1. INTRODUCCIN .......................................................................................................... 97


11.1.1 PERTENENCIA DE UN EQUIPO A UN GRUPO...............................................................................97
11.2. RBOL DE GRUPOS ...................................................................................................... 97

4
Gua para administradores de red

11.3. TIPOS DE GRUPOS........................................................................................................ 98


11.4. CREACIN DE GRUPOS DE TIPO MANUAL ........................................................................... 99
11.5. CREACIN DE GRUPOS AUTOMTICOS POR DIRECCIONES IP ................................................... 99
11.5.1 IMPORTACIN DESDE ARCHIVOS .CSV....................................................................................100
11.5.2 FUNCIONAMIENTO DE LOS GRUPOS AUTOMTICOS POR IP .......................................................101
11.6. CREACIN DE GRUPOS AUTOMTICOS POR DIRECTORIO ACTIVO ........................................... 101
11.6.1 REPLICACIN DE LA ESTRUCTURA DEL DIRECTORIO ACTIVO AUTOMTICA....................................101
11.6.2 REPLICACIN DE LA ESTRUCTURA DEL DIRECTORIO ACTIVO MANUAL ..........................................102
11.6.3 VISUALIZACIN DE LA RUTA DEL DIRECTORIO ACTIVO AL QUE PERTENECE EL EQUIPO .....................103
11.7. INTEGRACIN DE EQUIPOS EN UN GRUPO ........................................................................ 104
11.7.1 INTEGRACIN MANUAL ......................................................................................................104
11.7.2 INTEGRACIN EN LA INSTALACIN ........................................................................................105
11.8. EDITAR Y ELIMINAR GRUPOS ........................................................................................ 105
11.9. RESTRICCIONES DE GRUPO ........................................................................................... 108

12. PERFILES DE CONFIGURACIN .................................................................................. 109

12.1. INTRODUCCIN ........................................................................................................ 110


12.2. VISIN GENERAL Y PLANIFICACIN DE LA PROTECCIN DEL PARQUE INFORMTICO..................... 110
12.3. CREACIN Y GESTIN DE PERFILES DE PROTECCIN............................................................. 114
12.3.1 CREACIN DE PERFILES DE PROTECCIN ................................................................................114
12.3.2 COPIA DE PERFILES DE PROTECCIN ......................................................................................115
12.3.3 BORRADO DE PERFILES DE PROTECCIN .................................................................................116
12.4. CONFIGURACIN GENERAL DE PERFILES DE PROTECCIN ...................................................... 116

13. PERFILES DE PROTECCIN WINDOWS....................................................................... 119

13.1. INTRODUCCIN ........................................................................................................ 120


13.2. CONFIGURACIN GENERAL .......................................................................................... 120
13.3. CONFIGURACIN DE LA PROTECCIN AVANZADA ............................................................... 124
13.4. CONFIGURACIN DE LA PROTECCIN ANTIVIRUS ............................................................... 125
13.5. CONFIGURACIN DE LA PROTECCIN FIREWALL Y DETECCIN DE INTRUSOS .............................. 127
13.6. CONFIGURACIN DEL CONTROL DE DISPOSITIVOS .............................................................. 131
13.6.1 EXCLUSIONES DE DISPOSITIVOS ............................................................................................132
13.6.2 EXPORTAR E IMPORTAR LISTAS DE DISPOSITIVOS PERMITIDOS....................................................132
13.6.3 AUTORIZAR DISPOSITIVOS UNA VEZ BLOQUEADOS ...................................................................133
13.6.4 OBTENCIN DEL IDENTIFICADOR NICO DEL DISPOSITIVO .........................................................133
13.6.5 ALERTAS ..........................................................................................................................134
13.7. CONFIGURACIN DE LA PROTECCIN PARA SERVIDORES EXCHANGE ....................................... 134
13.7.1 ANTIVIRUS .......................................................................................................................135
13.7.2 ANTI-SPAM ......................................................................................................................135
13.8. CONFIGURACIN DEL CONTROL DE ACCESO A LAS PGINAS WEB ........................................... 137
13.9. CONFIGURAR HORARIOS DEL CONTROL DE ACCESOS A PGINAS WEB...................................... 139

14. PERFILES DE PROTECCIN LINUX .............................................................................. 140

14.1. INTRODUCCIN ........................................................................................................ 141


14.2. CONFIGURACIN GENERAL .......................................................................................... 141
14.3. CONFIGURACIN DE LA PROTECCIN ANTIVIRUS ............................................................... 142

15. PERFILES DE PROTECCIN MAC OS X ........................................................................ 144

5
Gua para administradores de red

15.1. INTRODUCCIN ........................................................................................................ 145


15.2. CARACTERSTICAS PARTICULARES DE LA PROTECCIN PARA MAC OS X ................................... 145
15.3. CONFIGURACIN GENERAL DE LA PROTECCIN PARA OS X .................................................. 146
15.4. CONFIGURACIN DE LA PROTECCIN ANTIVIRUS ............................................................... 147

16. PERFILES DE PROTECCIN ANDROID .......................................................................... 148

16.1. INTRODUCCIN ........................................................................................................ 149


16.2. CONFIGURACIN DE LA PROTECCIN ANTIVIRUS ............................................................... 149
16.3. CONFIGURACIN DE LA PROTECCIN ANTIRROBO .............................................................. 150

17. VISIBILIDAD Y MONITORIZACIN DEL MALWARE ..................................................... 152

17.1. INTRODUCCIN ........................................................................................................ 153


17.2. PANEL DE CONTROL ................................................................................................... 153
17.3. SECCIN ACTIVIDAD .................................................................................................. 153
17.4. SECCIN DETECCIONES ............................................................................................... 157
17.5. LISTADOS DE LA SECCIN ACTIVIDAD .............................................................................. 160
17.5.1 LISTADO MW ...................................................................................................................162
17.5.2 ELEMENTOS ACTUALMENTE BLOQUEADOS EN CLASIFICACIN ....................................................163
17.5.3 LISTADO PUP ...................................................................................................................165
17.5.4 LISTADO DETALLE DE DETECCIONES .......................................................................................166
17.6. GESTIN DE BLOQUEADOS Y EXCLUSIONES ....................................................................... 171
17.6.1 FICHEROS CONOCIDOS .......................................................................................................172
17.6.2 FICHEROS DESCONOCIDOS ..................................................................................................173
17.6.3 DESBLOQUEAR ELEMENTOS DESCONOCIDOS PENDIENTES DE CLASIFICACIN ................................174
17.6.4 EXCLUSIONES DE ELEMENTOS CLASIFICADOS COMO MALWARE O PUP........................................175
17.6.5 ACCESO A LA PANTALLA DE GESTIN DE LOS ELEMENTOS EXCLUIDOS ..........................................176
17.6.6 ELEMENTOS PERMITIDOS ACTUALMENTE ...............................................................................177
17.6.7 HISTORIAL........................................................................................................................180

18. VISIBILIDAD Y MONITORIZACIN DE LOS EQUIPOS ................................................... 183

18.1. INTRODUCCIN ........................................................................................................ 184


18.2. ESTADO DE LOS EQUIPOS EN LA RED ............................................................................... 184
18.3. VISIBILIDAD DE LOS EQUIPOS........................................................................................ 184
18.3.1 HERRAMIENTAS DE BSQUEDA ............................................................................................186
18.3.2 LISTADOS DE EQUIPOS ........................................................................................................187
18.3.3 ACCIONES SOBRE EQUIPOS SELECCIONADOS ...........................................................................189
18.3.4 DETALLE DE EQUIPOS WINDOWS, LINUX Y MAC OS X .............................................................190
18.3.5 DETALLES DE DISPOSITIVOS ANDROID ...................................................................................192

19. INFORMES ............................................................................................................... 194

19.1. INTRODUCCIN ........................................................................................................ 195


19.2. TIPOS DE INFORMES INCLUIDOS .................................................................................... 195
19.2.1 INFORME EJECUTIVO..........................................................................................................195
19.2.2 INFORME DE ESTADO .........................................................................................................195
19.2.3 INFORME DE DETECCIN.....................................................................................................196
19.2.4 INFORME DE AMENAZAS ....................................................................................................196

6
Gua para administradores de red

19.2.5 INFORME DE AUDITORA DE ACCESOS A LA CONSOLA ...............................................................196


19.3. GENERACIN Y ENVO DE INFORMES .............................................................................. 196
19.3.1 NOMBRE Y CONTENIDO DEL INFORME ...................................................................................197
19.3.2 ALCANCE DEL INFORME ......................................................................................................197
19.3.3 PROGRAMAR ENVO POR CORREO ........................................................................................197

20. HERRAMIENTAS DE RESOLUCIN ............................................................................. 199

20.1. INTRODUCCIN ........................................................................................................ 200


20.2. DESINFECCIN AUTOMTICA DE FICHEROS....................................................................... 201
20.3. ANLISIS / DESINFECCIN BAJO DEMANDA DE FICHEROS ..................................................... 201
20.4. DESINFECCIN AVANZADA DE EQUIPOS........................................................................... 201
20.5. REINICIAR EQUIPOS ................................................................................................... 203
20.6. ACCESO REMOTO AL ESCRITORIO ................................................................................... 204
20.6.1 VISUALIZAR EQUIPOS CON ACCESO REMOTO ..........................................................................204
20.6.2 CMO OBTENER ACCESO REMOTO .......................................................................................205
20.6.3 COMPORTAMIENTO DE LAS HERRAMIENTAS DE ACCESO REMOTO ..............................................206
20.7. PROTECCIN CONTRA ROBO......................................................................................... 207
20.7.1 ACTIVAR LA PROTECCIN ANTIRROBO ...................................................................................207

21. ANLISIS FORENSE................................................................................................... 208

21.1. INTRODUCCIN ........................................................................................................ 209


21.2. ANLISIS FORENSE MEDIANTE LAS TABLAS DE ACCIONES ...................................................... 209
21.2.1 TABLA DE ACCIONES...........................................................................................................210
21.2.2 SUJETO Y PREDICADO EN LAS ACCIONES .................................................................................212
21.3. ANLISIS FORENSE MEDIANTE GRAFOS DE EJECUCIN ......................................................... 213
21.3.1 DIAGRAMAS .....................................................................................................................213
21.3.2 NODOS............................................................................................................................214
21.3.3 LNEAS Y FLECHAS ..............................................................................................................215
21.3.4 LA LNEA TEMPORAL ..........................................................................................................216
21.3.5 ZOOM IN Y ZOOM OUT .......................................................................................................216
21.3.6 TIMELINE (LNEA TEMPORAL) ..............................................................................................217
21.3.7 FILTROS ...........................................................................................................................217
21.3.8 MOVIMIENTO DE LOS NODOS Y ZOOM GENERAL DEL GRAFO .....................................................217
21.4. INTERPRETACIN DE LAS TABLAS DE ACCIONES Y GRAFOS DE ACTIVIDAD .................................. 218
21.4.1 EJEMPLO 1: VISUALIZACIN DE LAS ACCIONES EJECUTADAS POR EL MALWARE TRJ/OCJ.A .............219
21.4.2 EJEMPLO 2: COMUNICACIN CON EQUIPOS EXTERNOS EN BETTERSURF .....................................220
21.4.3 EJEMPLO 3: ACCESO AL REGISTRO CON PASSWORDSTEALER.BT ................................................222
21.4.4 EJEMPLO 4: ACCESO A DATOS CONFIDENCIALES EN TRJ/CHGT.F................................................223

22. APNDICEI: HERRAMIENTAS DE INSTALACIN CENTRALIZADA..................................... 225

22.1. INTRODUCCIN ........................................................................................................ 226


22.2. INSTALACIN MEDIANTE DIRECTORIO ACTIVO .................................................................. 226
22.3. INSTALACIN MEDIANTE LA HERRAMIENTA DE DISTRIBUCIN ............................................... 229
22.3.1 REQUISITOS MNIMOS ........................................................................................................229
22.3.2 PASOS PARA EL DESPLIEGUE ................................................................................................230
22.3.3 PASOS PARA LA DESINSTALACIN CENTRALIZADA DE ADAPTIVE DEFENSE 360..............................232

23. APNDICE II: COMUNICACIN CON EL ENDPOINT ....................................................... 233

7
Gua para administradores de red

23.1. INTRODUCCIN ........................................................................................................ 234


23.2. COMUNICACIN DEL ENDPOINT CON INTERNET ................................................................. 234
23.2.1 INTERVALOS DE COMUNICACIN ..........................................................................................234
23.2.2 ACCESO A INTERNET ..........................................................................................................234
23.3. CONSUMO DE ANCHO DE BANDA................................................................................... 235
23.4. SEGURIDAD DE LAS COMUNICACIONES Y DE LOS DATOS ALMACENADOS................................... 237

24. APNDICE III: LISTADO DE DESINSTALADORES .......................................................... 239

25. APNDICE IV: CONCEPTOS CLAVE ............................................................................... 246

8
Gua para administradores de red

1. Prlogo
A quin est dedicada esta gua?
Iconos

9
Gua para administradores de red

1.1. Introduccin

Esta gua contiene informacin y procedimientos de uso para obtener el mximo


beneficio del producto Adaptive Defense 360.

1.2. A quin est dirigida esta gua?

La presente documentacin est dirigida a administradores de red que necesitan proteger


los equipos informticos y dispositivos mviles de la empresa, determinar el alcance de los
problemas de seguridad detectadas y establecer planes de respuesta y prevencin frente
a las amenazas y ataques dirigidos avanzados (APTs).
Aunque Adaptive Defense 360 es un servicio gestionado que ofrece seguridad garantizada
sin intervencin del administrador de la red, tambin provee informacin muy detallada y
de fcil comprensin sobre los procesos y programas ejecutados por los usuarios en los
equipos de la empresa, ya sean amenazas conocidas o desconocidas como programas
legtimos.
Para que el administrador de la red pueda interpretar correctamente la informacin
ofrecida y extraer conclusiones que alimenten nuevas iniciativas para fortalecer la
seguridad de la empresa son necesarios conocimientos tcnicos de entornos Windows a
nivel de procesos, sistema de ficheros y registro, as como entender los protocolos de red
utilizados con mayor frecuencia.

1.3. Iconos

En esta gua se utilizan los siguientes iconos:

Informacin adicional, como, por ejemplo, un mtodo alternativo para realizar una
determinada tarea.
Sugerencias y recomendaciones.

Consejo importante de cara a un uso correcto de las opciones de Adaptive Defense


360.

10
Gua para administradores de red

2. Introduccin
Caractersticas principales
Perfil del usuario
Arquitectura general
Componentes principales de la arquitectura
Adaptive Defense 360
Servicios de Adaptive Defense 360

11
Gua para administradores de red

2.1. Introduccin

Adaptive Defense 360 es una solucin basada en mltiples tecnologas de proteccin, que
permite sustituir el producto de antivirus tradicional instalado en la empresa por un servicio
mucho ms completo de seguridad gestionada.
Adaptive Defense 360 protege los equipos informticos permitiendo ejecutar nicamente
el software lcito, mientras supervisa y clasifica todos los procesos ejecutados en el parque
informtico del cliente en base a su comportamiento y naturaleza. Adems, completa su
oferta de seguridad ofreciendo herramientas monitorizacin, anlisis forense y resolucin
para poder determinar el alcance de los problemas detectados y solucionarlos.
A diferencia de los antivirus tradicionales, Adaptive Defense 360 utiliza un nuevo concepto
de seguridad que le permite adaptarse de forma precisa al entorno particular de cada
empresa, supervisando la ejecucin de todas las aplicaciones y aprendiendo
constantemente de las acciones desencadenadas por cada uno de los procesos.
Tras un breve periodo de aprendizaje Adaptive Defense 360 es capaz de ofrecer un nivel
de proteccin muy superior al de un antivirus tradicional, al tiempo que proporciona una
informacin valiosa sobre el contexto en el que se sucedieron los problemas de seguridad
a fin de poder determinar su alcance e implantar las medidas necesarias para evitar que
se vuelvan a suceder.
Adaptive Defense 360 es un servicio multiplataforma compatible con Windows, Linux, Mac
OS X, Android y alojado en la nube; por lo tanto, no requiere de nueva infraestructura de
control en la empresa, manteniendo de esta manera un TCO bajo.

2.2. Caractersticas principales de Adaptive Defense 360.

Adaptive Defense 360 ofrece un servicio de seguridad garantizada frente a amenazas y


ataques avanzados y dirigidos a las empresas a travs de cuatro pilares:

- Visibilidad: Trazabilidad de cada accin realizada por las aplicaciones en


ejecucin.
- Deteccin: monitorizacin constante de los procesos en ejecucin y bloqueo en
tiempo real de ataques Zero-day, dirigidos y otras amenazas avanzadas diseadas
para pasar desapercibidas a los antivirus tradicionales.
- Respuesta Informacin forense para investigar en profundidad cada intento de
ataque, y herramientas de resolucin.
- Prevencin: Evita futuros ataques bloqueando aquellas aplicaciones que no sean
goodware y utilizando tecnologas avanzadas anti-exploit.

12
Gua para administradores de red

2.3. Perfil de Usuario de Adaptive Defense 360

Aunque Adaptive Defense 360 es un servicio gestionado que ofrece seguridad sin
intervencin del administrador de la red, tambin provee informacin muy detallada y
comprensible sobre la actividad de los procesos ejecutados por los usuarios en toda la
infraestructura de IT de la empresa. Esta informacin puede ser utilizada por el administrador
para delimitar claramente el impacto de posibles problemas y adaptar sus protocolos de
seguridad evitando as situaciones equivalentes en el futuro.
Todos los usuarios con un agente Adaptive Defense 360 instalado en su equipo disfrutarn
de un servicio de seguridad con garantas, impidiendo la ejecucin de programas que
supongan una amenaza para el desarrollo de la empresa.

2.4. Componentes principales de la arquitectura Adaptive Defense 360

Adaptive Defense 360 se apoya en el anlisis del comportamiento de los procesos


ejecutados en el parque de cada cliente. Este anlisis se realiza aplicando tcnicas de
Machine Learning en infraestructuras Big Data alojadas en la nube; de esta forma el cliente
no tiene que instalar hardware ni recursos adicionales en sus oficinas.
A continuacin, se muestra el esquema general de Adaptive Defense 360 y los
componentes que lo forman:

13
Gua para administradores de red

Adaptive Defense 360 est formado por los elementos siguientes:


- Granja de servidores Cloud
- Servidor Web de la consola de administracin
- Equipos protegidos con Adaptive Defense 360 mediante el agente instalado
- Equipo del administrador de red que accede a la consola Web

A continuacin, se detallan los diferentes roles de la arquitectura mostrada.

2.4.1 Granja de servidores Cloud Adaptive Defense 360


El clster de servidores en la nube de Adaptive Defense 360 recopila todas las acciones
realizadas por los procesos de usuario y enviadas desde los Agentes instalados en los
equipos del cliente. Mediante tcnicas de inteligencia artificial, evala su comportamiento
y dicta una clasificacin por cada proceso en ejecucin, que es devuelta al agente para
ejecutar una decisin y mantener protegidos los equipos de la empresa.
El clster de servidores Adaptive Defense 360 est formado por una granja de servidores
alojada en la nube que configura un entorno de explotacin Big Data donde se aplican
reglas Machine Learning de forma continuada para clasificar cada proceso ejecutado.
Las ventajas de este nuevo modelo de anlisis de procesos en la nube frente al adoptado
por los antivirus tradicionales basados en el envo de muestras al proveedor y anlisis
manual son varias:

- El porcentaje de error al clasificar un proceso ejecutado en multitud de equipos a


lo largo del tiempo es del 999991% (menos de 1 error cada 100.000 ficheros
analizados) con lo que el nmero de falsos positivos y falsos negativos es cercano
a cero.
- Todos los procesos de los equipos protegidos por Adaptive Defense 360 son
monitorizados y analizados con lo que se elimina la incertidumbre de los antivirus
tradicionales, que nicamente reconocen lo que es malware y desconocen el

14
Gua para administradores de red

resto de aplicaciones.
- El retraso en la clasificacin de los procesos vistos por primera (ventana de
oportunidad) vez es mnimo ya que el agente Adaptive Defense 360 enva las
acciones que desencadena cada proceso en tiempo real y el servidor las analiza
buscando patrones sospechosos. Se disminuye por tanto de manera drstica el
tiempo de exposicin a las amenazas. Adicionalmente para los ficheros
ejecutables encontrados en el equipo del usuario y que sean desconocidos para
la plataforma Adaptive Defense 360 el agente enviar el fichero al servidor para su
anlisis.

El impacto en el rendimiento de la red del cliente debido al envo de los ejecutables


desconocidos est configurado para pasar completamente desapercibido. Un fichero
desconocido se enva una sola vez para todos los clientes que usan Adaptive Defense 360.
Adems, se han implementado mecanismos de gestin del ancho de banda y limites por agente
y hora, con el objetivo de minimizar el impacto en la red del cliente.

- La monitorizacin contina de cada proceso permite a Adaptive Defense 360


clasificar como malware elementos que inicialmente tena un comportamiento de
goodware. Este patrn de actuacin es muy habitual en los ataques dirigidos y
otras amenazas avanzadas diseadas para operar por debajo del radar.
- El anlisis en la nube libera al cliente de instalar y mantener infraestructuras de
hardware y software junto al pago de licencias y la gestin de garantas de
hardware, con lo que el TCO desciende significativamente.

2.4.2 Servidor Web de la consola de administracin


Toda la gestin de Adaptive Defense 360 se realiza a travs de la consola Web accesible
para el administrador desde la URL https://www.pandacloudsecurity.com/PandaLogin/
La consola Web es compatible con los navegadores ms comunes y es accesible desde
cualquier lugar y en cualquier momento utilizando cualquier dispositivo que tenga instalado
un navegador compatible.

Consulta el apartado La consola Web de administracin para verificar si tu navegador es


compatible con el servicio.

La consola Web es responsive, de modo que es accesible desde mviles y tablets en


cualquier momento y lugar.

2.4.3 Equipos protegidos con Adaptive Defense 360


Adaptive Defense 360 requiere de la instalacin de un componente software y que tiene
que estar instalado en todas las mquinas del parque informtico susceptibles de sufrir
problemas de seguridad.
Este componente est formado por dos mdulos: el agente de comunicaciones y el
mdulo de la proteccin.
Aunque en este captulo se diferencia entre agente y proteccin, son dos mdulos que se
instalan a la vez y son necesarios para la correcta gestin de la seguridad del equipo a proteger.
De esta forma, agente y proteccin son utilizados de forma indistinta para referirse al
componente software instalando en el equipo de cada usuario.

Agente de comunicaciones
El agente se encarga de las comunicaciones tanto entre los equipos administrados y el

15
Gua para administradores de red

servidor de Adaptive Defense 360 como de establecer un dilogo entre los equipos que
pertenecen a una misma red del cliente.
Este mdulo, adems de la gestin de los procesos locales, es el encargado de recoger los
cambios de configuracin que el administrador haya realizado a travs de la consola Web,
y de aplicarlos sobre el mdulo de Proteccin.
Para comprobar si el administrador ha realizado cambios de configuracin se utiliza la
siguiente lgica:
1. El administrador modifica la configuracin en la consola Web.
2. El servidor enva una notificacin para indicar a los equipos afectados la existencia
de cambios de configuracin que les afectan.
3. Los equipos comprueban cada 15 minutos si hay alguna notificacin para ellos. Si
la hay:
El equipo solicita al servidor de Adaptive Defense 360 las nuevas
polticas de configuracin que tiene disponibles.
El servidor se las entrega y el equipo aplica los cambios.
El agente tambin se coordina con otros agentes de diferentes equipos en su mismo grupo
mediante la funcionalidad Peer to Peer o rumor para centralizar y gestionar las descargas
de los ficheros de firmas y actualizaciones desde Internet. Consulta el captulo Actualizacin
de la proteccin para ms informacin.

Proxy dinmico
El agente guarda una lista con informacin de equipos en la red que tengan agentes que
son capaces de enviar mensajes a Internet. Estos agentes se denominan Proxys.

Para poder actuar como proxy para otros agentes, una mquina debe cumplir los siguientes
requisitos: disponer de conexin directa a Internet, y disponer al menos de 256 MB de RAM.
Adems, el equipo debe de haber concluido completamente la secuencia de instalacin.

Cuando la lista de proxys est vaca o ninguno de los agentes que estn en ella responde
(Disponibilidad = 0), el agente enva un mensaje por broadcast a la subred preguntando
quin es Proxy? para que estos le respondan y pueda mandar mensajes a Internet a travs
de ellos.
Mientras realiza la espera por datos de la lista de proxys vlidos, el mdulo del Proxy no
atender peticiones de otros mensajes.
La lista de proxys tendr un valor asociado para cada Proxy con el nmero de intentos que
se permiten fallar en la comunicacin con otro agente antes de invalidar ese agente como
proxy.
Por defecto el nmero de veces ser 3, y cuando este valor alcance 0 se entender que
ese agente no es vlido como proxy. Si en algn momento todos los proxys de la lista son
invlidos se entiende que la lista es no vlida en su conjunto y se comenzar la bsqueda
de proxys, lanzando un mensaje quin es proxy?.
Puede ocurrir que el mensaje se enve correctamente a un proxy de la lista, pero que ste
al intentar mandar el mensaje a Internet descubra que ya no tiene conexin.
En ese caso el agente remoto repetir la secuencia aqu descrita reenviando el mensaje a
un proxy de su lista, pero adems enviar por TCP al agente del que le lleg el mensaje
otro de tipo Yo no soy Proxy, para indicarle que lo borre de su lista porque ya no tiene

16
Gua para administradores de red

conexin a Internet.
Este proceso se repetir hasta que el mensaje se enve correctamente a Internet o hasta
que pase por un nmero mximo de proxy sin conseguir enviarse, en cuyo caso se perder.
Se puede configurar el nmero de proxys por los que puede pasar un mensaje. Por defecto
slo se enviar a 1, y si falla el envo desde se se perder el mensaje.
Dentro del mensaje se guarda la lista de proxys por los que ha pasado, de modo que no se
enve dos veces al mismo proxy sin conexin a Internet.

Proxy esttico
Si se desea que todos los accesos a Internet se hagan a travs de un equipo concreto
decidido por el administrador, en lugar de por equipos determinados de forma dinmica,
el agente de comunicaciones admite la posibilidad de especificar que mquina deseamos
que actu como Proxy.
La mquina que acte como Proxy esttico debe cumplir los siguientes requisitos:

- Debe tener un agente instalado


- Debe tener acceso directo a Internet
- Disponer de al menos 256 MB de memoria.
- Debe haber comunicado con el servidor en las ltimas 72 horas

Si en algn momento el equipo que se estableci para que acte como proxy esttico
deja de cumplir alguno de los requisitos necesarios para ejercer como tal, se desactivar
en la consola Web a configuracin del proxy esttico, desapareciendo el nombre del
equipo que estaba configurado y se mostrar un mensaje indicndole cul de dichos
requisitos se incumple.
El administrador podr seleccionar otro equipo para que realice las funciones de proxy
esttico. Si un equipo deja de ser proxy esttico por haber sido incluido en la lista negra,
una vez que deje de pertenecer a dicha lista, si se desea que acte de proxy esttico ser
necesario configurarlo de nuevo para que transiten por l todas las comunicaciones con
el servidor.
Cuando el agente tenga que realizar un acceso a Internet en primer lugar intentar
comunicarse utilizando el 'proxy esttico'.
Si la comunicacin con el Proxy esttico no es posible, se intentar llevar a cabo el acceso
a internet siguiendo la secuencia de comunicaciones habitual.
Si tiene una configuracin vlida almacenada, intentar la comunicacin utilizando dicha
configuracin.
En caso contrario, intentar comunicarse mediante conexin directa a Internet.
Si tampoco consigue la conexin directa, lo intentar a travs de otro equipo 'proxy
dinmico', cuyo funcionamiento se ha detallado en el apartado anterior.
Cuando el equipo que est actuando como proxy recibe una peticin de acceso a
Internet intentar realizar la conexin de forma directa. Si la conexin se realiza con xito
enviar la respuesta obtenida al agente que solicit la conexin.
La configuracin del proxy esttico se realiza editando las propiedades del perfil al que
pertenecen los agentes instalados. Para ello en la ventana Configuracin elija el perfil a

17
Gua para administradores de red

modificar en el panel de la derecha y all, en el men Windows y Linux haz clic en la pestaa
Opciones avanzadas y activa la casilla Centralizar todas las conexiones con el servidor a
travs del siguiente equipo.

Mdulo de Proteccin
Este mdulo contiene las tecnologas encargadas de proteger los equipos del cliente.
Adaptive Defense 360 rene en un mismo producto todos los recursos necesarios para
detectar el malware de nueva generacin y dirigido (APT) al tiempo que incorpora
herramientas de resolucin para desinfectar los equipos comprometidos y determinar el
alcance de los intentos de intrusin en la red del cliente.
El agente Adaptive Defense 360 se instala sin problemas en mquinas con otras soluciones de
seguridad de la competencia.

2.5. Servicios Adaptive Defense 360

18
Gua para administradores de red

Panda Security ofrece otros servicios de carcter opcional que le permiten al cliente
integrar la solucin con su infraestructura IT ya desplegada y obtener inteligencia de
seguridad desarrolla en los laboratorios de Panda Security de una forma directa.

2.5.1 Servicio Advanced Reporting Tool


Adaptive Defense 360 permite el envo automtico y transparente de toda la informacin
recogida en los equipos del cliente al servicio Advanced Reporting Tool, un servicio de
almacenamiento y explotacin de todo el conocimiento generado en la red del cliente.
Todos los procesos que se ejecutan en el parque de IT, ya sean goodware o malware, son
monitorizados por Adaptive Defense 360, y sus acciones enviadas a Advanced Reporting
Tool, una plataforma capaz de relacionar de forma flexible y visual todos los datos
recogidos con el objetivo de extraer inteligencia de seguridad y conseguir informacin
adicional sobre las amenazas y sobre el uso que los usuarios estn dando a los equipos de
la empresa.
El servicio Advanced Reporting Tool es accesible directamente desde el panel de control
de la propia consola Web de Adaptive Defense 360.
Consulta la Gua de usuario Advanced Reporting Tool accesible desde la web de producto para
configurar y sacar provecho del servicio de anlisis de conocimiento y bsquedas avanzadas.

2.5.2 Servicio SIEMFeeder: Integracin con el servidor SIEM del cliente


Adaptive Defense 360 se integra con las soluciones SIEM de proveedores externos que
implementen los clientes en su red, enviando los datos recogidos sobre la actividad de
todas las aplicaciones ejecutadas en los puestos. Esta informacin se entrega al SIEM
ampliada con todo el conocimiento de la plataforma Adaptive Defense 360 y podr ser
explotada por los sistemas de que disponga el cliente.
A continuacin, se listan los sistemas SIEM compatibles con Adaptive Defense 360:

- QRadar
- AlienVault
- ArcSight
- LookWise
- Bitacora

Consulta la Gua de usuario SIEMFeeder para una descripcin detallada de la informacin


recogida por Adaptive Defense 360 y enviada al sistema SIEM del cliente.

2.5.3 Samples Feed


Este servicio est diseado para servir como complemento indispensable en aquellas
empresas que tengan su propio laboratorio para el estudio de malware.
Mediante una API REST Panda Security entrega ejemplares del malware normalizados para
su estudio, as como de las aplicaciones goodware encontradas en la red del cliente.
Tambin se entregan automatizaciones del malware encontrado, que constan de un
completo informe de ejecucin en los entornos sandbox, formados por mquinas reales en

19
Gua para administradores de red

la infraestructura de Panda Security.

2.5.4 IP Feeds
Se trata de un ser vicio de suscripcin donde el cliente recibe bloques de direcciones IP
utilizadas por las redes de bots detectadas y analizadas por Panda Security.
Este flujo de informacin se entrega de diariamente y puede ser aprovechado por los
dispositivos de seguridad del cliente, incrementando as el nivel de proteccin de toda la
red.

2.5.5 Mdulo Remote control


Para facilitar la resolucin remota de problemas Adaptive Defense 360 pone a disposicin
de sus clientes el mdulo de control remoto desde la nube. De esta forma, el administrador
de la red dispondr de varias herramientas, tales como el escritorio remoto o la lnea de
comandos remota entre otros, para realizar labores de limpieza de malware y comprobar
el buen funcionamiento del equipo.
Todas las herramientas ofrecidas en el mdulo Remote Control son ejecutadas desde la
nube, en cualquier momento y en cualquier lugar, desde la consola de Adaptive Defense
360 y con el nico requisito de utilizar un navegador web compatible.
Consulta la Gua para el administrador de Remote control para una descripcin detallada sobre
este mdulo.

20
Gua para administradores de red

3. El ciclo
completo de
proteccin
adaptativa
El ciclo de proteccin adaptativa
Proteccin completa del parque informtico
Deteccin y monitorizacin
Resolucin y respuesta
Adaptacin

21
Gua para administradores de red

3.1. Introduccin

Este captulo ofrece una visin de la estrategia general adoptada por Adaptive Defense
360 para gestionar la seguridad de la red de la empresa.
Ms de 200.000 nuevos virus son generados diariamente y una parte muy sustancial de este
nuevo malware est diseado para ejecutarse en los equipos de los usuarios durante largos
periodos de tiempo y en segundo plano, sin dar muestras de su existencia.
Por esta razn, el enfoque tradicional de proteccin mediante archivos de identificadores
locales o en la nube ha demostrado ser gradualmente ineficiente: debido al creciente
nmero de malware desarrollado, su ventana de oportunidad es cada vez mayor,
entendida sta como el tiempo que transcurre desde que el primer equipo es infectado a
nivel mundial, hasta que los proveedores de seguridad identifican ese nuevo malware y
alimentan sus archivos de identificadores con la informacin necesaria para detectarlo.
De esta manera, toda estrategia de seguridad pasa por minimizar el tiempo de exposicin
al malware, exposicin estimada actualmente en 259 das para ataques dirigidos, cada
vez ms frecuentes y que tienen como principales objetivos el robo de datos y el espionaje
industrial.
Debido a este cambio drstico en el panorama del malware Adaptive Defense 360
propone un nuevo enfoque de seguridad basado en el ciclo de proteccin adaptativa, un
conjunto de servicios de proteccin, deteccin, monitorizacin, anlisis forense y
resolucin, todos ellos integrados y centralizadas en una nica consola Web de
administracin de manera que sea posible mostrar el ciclo completo de la seguridad de la
red en tiempo real.
Con este nuevo enfoque se evitan o minimizan las brechas de seguridad, reduciendo de
forma drstica las prdidas de productividad y el riesgo de robo de informacin
confidencial en la empresa; el administrador es liberando de la compleja tarea de
determinar qu es peligroso y porque razn, recuperando espacio y recursos para gestionar
y vigilar el estado de la seguridad.
El departamento de IT podr tomar decisiones que permitan adaptar la poltica de
seguridad de la empresa con la misma agilidad que mutan los patrones de ataque del
malware avanzado.

3.2. El ciclo de proteccin adaptativa

Adaptive Defense 360 es un servicio gestionado que libera al administrador de la


responsabilidad de decidir qu ficheros son peligrosos y por qu lo son.
En su lugar, el equipo tcnico dispondr del tiempo necesario y de una serie de
herramientas que le permitirn observar y valorar en todo momento el estado de la
seguridad de la red y de las aplicaciones ejecutadas por los usuarios.
El objetivo final es el de facilitar la adaptacin las polticas de seguridad de la empresa
para que respondan a las nuevas amenazas detectados, en un proceso de constante
refinamiento que resulte en un entorno informtico seguro y a la vez productivo para los

22
Gua para administradores de red

usuarios de la empresa.
Por otro lado, ante la llegada de problemas de seguridad, el administrador contar con
herramientas de resolucin y anlisis forense que le permitan, por una parte, revertir el
sistema a la situacin previa al intento de intrusin, y por otra conocer el alcance de la
intrusin para poder implementar las medidas de contingencia apropiadas.
El ciclo de la proteccin adaptativa adoptado por Adaptive Defense 360 se puede resumir
en la siguiente grfica, que ser detallada en las siguientes secciones.

3.3. Proteccin completa del parque informtico

La primera fase del ciclo de proteccin adaptativa incluye las herramientas necesarias
para proteger y defender de forma efectiva el parque informtico de posibles ataques e
intentos de infeccin. Adaptive Defense 360 es compatible con estaciones de trabajo y
servidores Windows, Linux y Mac OS X, as como con tablets y telfonos mviles Android.
La proteccin es un mdulo tradicionalmente desarrollado por los proveedores de
seguridad generalista que ofrecen un producto de antivirus para cubrir los vectores de
infeccin ms utilizados por los hackers. Estos productos de antivirus se alimentan de
archivos de identificadores publicados por el proveedor para su descarga en local o se
sirven del acceso en tiempo real a los mismos desde la nube.
A las tecnologas tradicionales mencionadas, Adaptive Defense 360 aade una serie de
tecnologas avanzadas para evitar la entrada del malware en la red del cliente y prevenir
as los accesos no autorizados:

3.3.1 Proteccin de sistemas vulnerables y exploits


Panda Security ha desarrollado una nueva tecnologa que refuerza sus soluciones de
seguridad y que posibilita detectar virus que ninguna otra compaa de seguridad est
detectando. El objetivo es proteger incluso a aquellos sistemas que son reconocidos por la
industria como vulnerables, debido a que han entrado en EOL (End Of Life), como es el
caso de Windows XP. Estos sistemas ya no reciben parches de seguridad y los fallos
encontrados pueden ser aprovechados por el malware en forma de exploits.
Adaptive Defense 360 detecta y neutraliza el malware que explota vulnerabilidades de da
cero (Java, Adobe, MS Office.) como Blackhole o redkit antes de que lleguen a infectar el

23
Gua para administradores de red

equipo del usuario. Para ello la estrategia pasa por utilizar un enfoque de deteccin /
proteccin basado en tres capas que permita analizar el comportamiento de los exploits
en lugar de su morfologa.
En la primera capa Adaptive Defense 360 ofrece una proteccin pasiva contra exploits
utilizando tecnologas bien conocidas como DEP, ASLR, SEHOP, Bottom up randomization y
otros.
En la segunda capa se ejecutan anlisis heursticos para detectar si un proceso ha sido
explotado por un fallo de implementacin del software aprovechado por el malware
(exploit). En esta capa se detectan estrategias ROP, Stack pivot y otras utilizadas por los
exploits para sortear los servicios de los sistemas de proteccin y ejecutar cdigo malicioso.
En la tercera capa se realiza un anlisis del comportamiento para detectar la ejecucin de
cdigo maligno desde un proceso ya explotado. Para ello se realizan anlisis de
comportamiento contextuales en local utilizando como fuente de conocimiento la
Intelitencia Colectiva de Panda Security.
Mediante este esquema de tres capas Adaptive Defense 360 protege de forma efectiva a
los sistemas con vulnerabilidades conocidas.

3.3.2 Proteccin antivirus permanente e inteligencia colectiva


La proteccin de antivirus de Adaptive Defense 360 se basa en la Inteligencia Colectiva,
una plataforma de seguridad que ofrece un alto nivel de proteccin en tiempo real,
aumentando exponencialmente la capacidad de deteccin.
La Inteligencia Colectiva consta de servidores que clasifican y procesan de forma
automtica toda la informacin que la comunidad de usuarios proporciona sobre las
detecciones que se han producido en sus equipos. Adaptive Defense 360 realiza consultas
a la Inteligencia Colectiva cuando lo necesita, consiguiendo as maximizar su capacidad
de deteccin y sin afectar negativamente al consumo de recursos de los equipos.
Cuando un nuevo ejemplar de malware es detectado en el equipo de un miembro de la
comunidad de usuarios, Adaptive Defense 360 se encarga de enviar la informacin
necesaria a los servidores de Inteligencia Colectiva alojados en la nube, de forma
totalmente automtica y annima. La informacin es procesada por dichos servidores,
entregando una solucin no slo al usuario afectado, sino tambin al resto de usuarios de
la comunidad, en tiempo real. De ah el nombre de Inteligencia Colectiva.
Sin lugar a dudas, en el contexto actual de crecimiento continuo del malware, la
Inteligencia Colectiva y los servicios alojados y servidos desde la nube vienen a
complementar a las actualizaciones tradicionales para afrontar con xito y anticipacin la
enorme cantidad de amenazas que surgen en la actualidad.
Consulta los captulos de perfiles de proteccin para Windows, Linux, OS X y Android para ms
informacin sobre el servicio de antivirus de Adaptive Defense 360 en las distintas plataformas
soportadas

3.3.3 La nube
La computacin en la nube (Cloud computing) es una tecnologa que permite ofrecer
servicios a travs de Internet. En este sentido, la nube es un trmino que se suele utilizar

24
Gua para administradores de red

como una metfora de Internet en mbitos informticos.


Adaptive Defense 360 se sirve de la nube conectndose a los servidores de Inteligencia
Colectiva y as proteger su PC desde el primer momento, aumentando la capacidad de
deteccin y evitando penalizar el rendimiento del equipo. Ahora todo el conocimiento est
en la nube y, gracias a Adaptive Defense 360, todos los usuarios pueden beneficiarse de
ello.

3.3.4 Proteccin contra tcnicas avanzadas de ocultacin y virus de


macro
Al margen de la tradicional estrategia de deteccin contrastando el payload del fichero
objeto de estudio con el fichero de firmas, Adaptive Defense 360 implemente varios motores
de deteccin que permiten analizar el comportamiento de los procesos de forma local.
De esta manera se detectan comportamientos extraos en los principales motores de
scripting (Visual basic Script, Javascript y Powershell) incorporados en todos los sistemas
Windows actuales y utilizados como extensin de la lnea de comandos. Tambin se
detectan macros maliciosas embebidas en ficheros ofimticos como Word, Excel,
PowerPoint etc.
Tambin son detectadas las ltimas tcnicas de ejecucin de malware sin fichero (los
llamados FileLess Malware) que inyectan el payload del virus directamente en el proceso
utilizado para la explotacin de la vulnerabilidad. En estos casos, al no escribir ningn
fichero en el disco duro se reducen significativamente las probabilidades de deteccin en
las soluciones de seguridad tradicionales.
Como complemento se incorporan adems los tradicionales motores heursticos y de
deteccin de ficheros maliciosos por caractersticas estticas.

3.3.5 Proteccin del correo y la Web


Adaptive Defense 360 se aleja del tradicional enfoque de seguridad de correo y Web
basado en plugins que aaden la funcionalidad de proteccin a determinados clientes de
correo y navegadores. En su lugar el funcionamiento de la proteccin consiste en una
interceptacin a bajo nivel de todas las comunicaciones que usan protocolos comunes
como HTTP, HTTPS o POP3. De esta manera se ofrece una proteccin homognea y
permanente para todas las aplicaciones de correo y Web pasadas presentes y futuras, sin
necesidad de configuraciones especificas ni de actualizaciones conforme los proveedores
de los programas de correo y navegacin vayan publicando nuevas versiones
incompatibles con plugins anteriores.
Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la
configuracin de la proteccin de correo y Web

3.3.6 Proteccin de la red por cortafuegos y sistema de deteccin de


intrusos (IDS)
Adaptive Defense 360 ofrece tres herramientas bsicas a la hora de filtrar el trfico de red
que recibe o enva el equipo protegido:

25
Gua para administradores de red

- Proteccin mediante reglas de sistema: se trata de las tradicionales reglas que


describen las caractersticas de la comunicacin: puertos, IPs, protocolos etc. con
el objetivo de permitir o denegar los flujos de datos que coincidan con las reglas
establecidas
- Proteccin de programas: establece un conjunto de reglas que permitan o
denieguen la comunicacin a determinados programas instalados en el equipo
de usuario
- Sistema de deteccin de intrusos: permite detectar patrones de trafico
malformado que afecten a la seguridad o al rendimiento del equipo protegido,
rechazando dichos patrones.
Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la
configuracin del cortafuegos y del sistema de deteccin de intrusos

3.3.7 Control de dispositivos


Dispositivos de uso comn como las llaves USB, las unidades de CD/DVD, dispositivos de
imgenes, bluetooth, mdems o telfonos mviles pueden constituir tambin una va de
infeccin para los equipos cuya seguridad es necesario preservar.
Adaptive Defense 360 permite determinar cul ser el comportamiento del dispositivo en
los equipos protegidos, bloqueando su acceso o permitiendo su uso de forma parcial (solo
lectura) o completa.
Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la
configuracin del control de dispositivos

3.3.8 Filtrado de Spam, Virus y contenidos en servidores Exchange


Analiza en busca de virus, herramientas de hacking y programas potencialmente no
deseados sospechosos, con destino a buzones situados en el servidor Exchange.
La eliminacin del correo basura -spam- es una labor que requiere de mucho tiempo de
dedicacin. El spam no solo supone un gran peligro de estafa, sino que adems es una
enorme prdida de tiempo que el usuario no tiene por qu soportar.
Para solucionar esta situacin Adaptive Defense 360 implementa una proteccin anti-spam
para servidores Exchange. De esta forma se consigue optimizar el tiempo de trabajo de los
usuarios y aumentar la seguridad de los equipos de la red.

Adaptive Defense 360 protege los servidores de correo Exchange mediante dos tecnologas
distintas:

Proteccin de buzones
Se utiliza en los servidores Exchange con el rol de Mailbox y permite analizar las carpetas /
buzones en backgroud o cuando el mensaje es recibido y almacenado en la carpeta del
usuario.
La proteccin de buzones admite la manipulacin de los diferentes elementos del cuerpo
del mensaje analizado, lo que permite sustituir los elementos peligrosos encontrados por
otros limpios, introducir nicamente los elementos peligrosos en cuarentena etc.
La proteccin de buzones permite adems el anlisis de las carpetas de usuario del servidor
Exchange en segundo plano, aprovechando los tiempos de menor carga del servidor. Este

26
Gua para administradores de red

anlisis se realiza de forma inteligente evitando volver a analizar los mensajes ya analizados.
El escenario tpico habitual es el de que analizar los buzones y la cuarentena con cada
nuevo archivo de identificadores publicado.

Proteccin de transporte
Se utiliza en servidores Exchange con el rol de Acceso de clientes, Edge Transport y Mailbox
y permite analizar el trfico que es atravesado por el servidor Exchange.
En la proteccin de transporte no se permite la manipulacin del cuerpo de los mensajes.
De esta forma el cuerpo de un mensaje peligroso es tratado como un solo bloque y las
acciones que Adaptive Defense 360 permite ejecutar aplican al mensaje por completo:
borrar el mensaje, meterlo en cuarentena, dejar pasar sin modificar etc.

Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la


configuracin de la proteccin para Microsoft Exchange

3.3.9 Control de acceso a pginas Web


Con esta proteccin el administrador de la red podr restringir el acceso a determinadas
categoras Web y configurar URLs a las que autorizar o restringir el acceso. Esto
contribuir a la optimizacin del ancho de banda de la red y a la productividad del
negocio.
Las pginas Web se agrupan en 59 categoras. Tan solo es necesario seleccionar aquellas
categoras a las que se desea denegar el acceso, y se podrn modificar las categoras
seleccionadas siempre que sea necesario.
Adems, Adaptive Defense 360 permite definir configuracin de horarios, con la que podrs
restringir el acceso a determinadas categoras de pginas Web y listas negras durante las
horas de trabajo, y autorizarlo en el horario no laborable o en el fin de semana

Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la


configuracin del control de la navegacin por categoras

3.4. Deteccin y monitorizacin

La segunda fase del ciclo de proteccin adaptativa asume que el malware o el ataque
dirigido consigui sortear las barreras establecidas en la fase de Proteccin e infect con
xito una o varias mquinas de la red, pasando esta infeccin desapercibida para el
usuario del equipo
En esta fase Adaptive Defense 360 implementa una serie de tecnologas novedosas que
permiten al administrador de la red localizar el problema.

3.4.1 Proteccin permanente avanzada


La proteccin avanzada de Adaptive Defense 360 es una novedosa tecnologa que
monitoriza de forma continuada todos los procesos que se ejecutan en los equipos
Windows de la red del cliente. Adaptive Defense 360 recoge todas las acciones

27
Gua para administradores de red

desencadenadas por los procesos del usuario y los enva al servidor donde se examinan
mediante tcnicas automticas de Machine Learning en entornos Big Data para emitir una
clasificacin (goodware o malware) con un 999991 (menos de 1 error cada 100.000
ficheros analizados) de precisin, evitando por lo tanto los falsos positivos.
Para los casos ms complicados Panda Security cuenta con un laboratorio de expertos
especialistas en diseccionar malware, con el nico objetivo de clasificar todos los
ejecutables localizados en el menor tiempo posible desde la primera vez que fueron vistos
en la red del cliente.
Adaptive Defense 360 admite tres modos de bloqueo para los procesos que todava no
han sido clasificados (desconocidos) y para los ya clasificados como malware:

Audit
En el modo Audit Adaptive Defense 360 solo informa de las amenazas detectadas, pero no
bloquea ni desinfecta el malware encontrado. Este modo es til para probar la solucin de
seguridad o para comprobar que la instalacin del producto no comprometa el buen
funcionamiento del equipo.

Hardening
En aquellos entornos donde se producen cambios constantes del software instalado en los
equipos de los usuarios o se ejecutan muchos programas desconocidos, como por ejemplo
programas de creacin propia, puede no ser viable esperar a que Adaptive Defense 360
aprenda de ellos para clasificarlos.
El comportamiento del modo Hardening consiste en balancear el riesgo de infeccin de
los equipos y la productividad de los usuarios, limitando el bloqueo de los programas
desconocidos a aquellos que se consideran peligrosos a priori. De esta forma se distinguen
cuatro escenarios:

- Ficheros ya clasificados por Adaptive Defense 360 como goodware: se permite su


ejecucin.
- Ficheros ya clasificados por Adaptive Defense 360 como malware: son enviados a
cuarentena o desinfectados.
- Ficheros sin clasificar que vienen del exterior (Internet, correo y otros): se bloquea su
ejecucin hasta que el sistema emita una clasificacin. En funcin de la
clasificacin se permitir su ejecucin (goodware) o sern movidos a cuarentena
(malware).
En muchas ocasiones la clasificacin es casi inmediata de forma que un programa descargado de
internet y desconocido para Adaptive Defense 360 ser bloqueado en un primer momento, pero
minutos despus podr ser ejecutado si resulto ser goodware.

- Ficheros sin clasificar ya instalados en el equipo del usuario antes de la


implantacin de Adaptive Defense 360: se permite su ejecucin, aunque sus
acciones se monitorizan y sern enviadas al servidor para su estudio. Una vez
clasificados se permitir su ejecucin (goodware) o sern movidos a cuarentena
(malware)

Lock

28
Gua para administradores de red

En entornos donde la seguridad sea la mxima prioridad, y con el objetivo de ofrecer una
proteccin de mximas garantas Adaptive Defense 360 deber ser configurado en modo
Lock. En este modo la ejecucin del software en proceso de clasificacin ser bloqueada
y se podr garantizar la ejecucin nicamente del software lcito.
De la misma forma que en el modo Hardening, los programas clasificados como maliciosos
sern enviados a cuarentena, mientras que para los programas desconocidos se
bloquear su ejecucin hasta ser clasificado como goodware o malware.

Ms del 99% de los programas encontrados en los equipos de los usuarios estn ya clasificados en
los sistemas de Adaptive Defense 360. Los bloqueos afectarn a una minora de programas.
Consulta el captulo de perfil de proteccin para Windows para ms informacin sobre la
configuracin de los distintos modos de bloqueo

3.4.2 Monitorizacin de ficheros de datos


Adaptive Defense 360 registra todos los accesos a ficheros de datos del usuario por parte
de los procesos ejecutados en el equipo. De esta manera, aunque el malware consiga
infectar el equipo, ser posible precisar con exactitud qu ficheros fueron modificados y en
qu momento. Tambin ser posible determinar si los ficheros fueron enviados fuera de la
empresa a travs de Internet, las direcciones IP de destino y otra valiosa informacin que
facilitar tanto el anlisis forense posterior como las acciones de resolucin. A continuacin,
se muestran los tipos de ficheros de datos que se monitorizan:

- Documentos de suites ofimticas.


- Documentos en formato PDF.
- Documentos de aplicaciones CAD.
- BBDD de escritorio.
- Almacenes de contraseas de navegadores.
- Almacenes de contraseas de clientes de correo.
- Almacenes de contraseas de clientes de FTP.
- Almacenes de contraseas de Directorio Activo.
- Almacenes de certificados y certificados de usuario.
- Almacenes de Digital Wallet.
- Configuracin de navegadores.
- Configuracin de firewall.
- Configuracin de GPO.

3.4.3 Visibilidad del estado de la red


Adaptive Defense 360 ofrece una serie de recursos para poder valorar el estado de la
seguridad de la red en un solo vistazo, a travs de un panel de control formado por paneles
de Actividad.
Algunas de estas herramientas, como los informes, son ya conocidas; sin embargo, lo
importante en este punto no solo es determinar si la red del cliente est siendo atacada y
en qu grado o forma sino contar con la informacin necesaria para poder valorar una
probabilidad de infeccin.
En los paneles de Adaptive Defense 360 se puede encontrar informacin clave en este

29
Gua para administradores de red

sentido:

- Cules son los procesos desconocidos para Adaptive Defense 360 encontrados en
los equipos de la red, y que estn siendo investigados para su posterior
clasificacin en Panda Security, junto con una valoracin preliminar de su
peligrosidad.
- Actividad detallada en forma de listados de acciones de aquellos programas
desconocidos que finalmente resultaron ser malware.
- Detecciones realizadas en los diferentes vectores de infeccin protegidos.
Con este mdulo el administrador tiene una visin global de los procesos que se ejecutan
en su red, tanto del malware reconocido que intenta entrar y es detenido en el mdulo de
proteccin, como del malware desconocido y diseado para pasar inadvertido por las
tecnologas de deteccin tradicionales y que consigui sortear los sistemas de deteccin
configurados.
El administrador finalmente tendr la posibilidad de reforzar la seguridad de su red
impidiendo toda ejecucin de software desconocido o, por el contrario, balancear de
forma muy sencilla el nivel de bloqueo en favor de una mayor flexibilidad a la hora de
ejecutar ciertos programas no conocidos.

Consulta el captulo Visibilidad y monitorizacin para ms informacin sobre Visibilidad y


monitorizacin de equipos y procesos

3.5. Resolucin y respuesta

En caso de infeccin el administrador tiene que ser capaz de actuar en dos lneas: revertir
de forma rpida el estado de los equipos afectados previo a la infeccin y poder calcular
el impacto de la 1infeccin: si hubo fuga de datos, hasta donde consigui penetrar el
ataque, qu equipos resultaron comprometidos etc. La fase Resolucin y respuesta ofrece
herramientas para estos dos escenarios

Respuesta
El administrador cuenta con la herramienta de Anlisis Forense: todas las acciones
ejecutadas por el malware son mostradas para su evaluacin, incluyendo el vector de
infeccin (cmo lleg el malware a la red), los intentos de propagacin a otros equipos o
los accesos al disco duro del usuario para obtener informacin confidencial y conexiones
a equipos externos para su extraccin.
Adems, el servicio Advanced Reporting Tool almacena todas las acciones recogidas de
todos los procesos ejecutados por los usuarios; de esta forma es posible extender la
funcionalidad del mdulo de anlisis forense y realizar bsquedas avanzadas para generar
grficas de apoyo a la interpretacin de los datos recogidos.
Consulta el captulo Anlisis forense para ms informacin sobre el uso de esta herramienta

Resolucin
Adaptive Defense 360 cuenta con varias herramientas de resolucin, unas manuales y otras

30
Gua para administradores de red

automticas.
Entre las automticas se encuentra el tradicional mdulo de desinfeccin propio de un
antivirus junto a la cuarentena que almacena los elementos sospechosos o eliminados.
Para casos de infecciones debidas a malware avanzado o desinfecciones muy complejas,
el administrador podr utilizar desde la misma consola Web de administracin la
herramienta independiente especializada en desinfeccin de Panda Security: Cloud
Cleaner.
Tambin dispondr de herramientas de acceso remoto para conectarse a los equipos y
realizar cualquier proceso manual que se pueda requerir, en funcin de las acciones
ejecutadas por el malware incluidas en el anlisis forense.
Consulta el captulo de Herramientas de resolucin y respuesta para ms informacin sobre el uso
de las herramientas de Resolucin

3.6. Adaptacin

Una vez realizado el estudio con las herramientas de Resolucin y respuesta de la fase
anterior y localizadas las causas que propiciaron la infeccin, el administrador deber de
ajustar la poltica de seguridad de la empresa para que situaciones equivalentes no
vuelvan a producirse.
La fase de Adaptacin puede reunir una gran cantidad de iniciativas en funcin de los
resultados revelados por el anlisis forense: desde cursos de educacin y sensibilizacin en
el correcto uso de Internet para los empleados de la empresa hasta la reconfiguracin de
los routers corporativos o de los permisos de los usuarios en sus mquinas personales.
Desde el punto de vista del endpoint, Adaptive Defense 360 puede reforzar la seguridad de
mltiples maneras:

Cambiando la configuracin de la proteccin avanzada.


Si los usuarios de la empresa tienden a utilizar siempre el mismo software, o algunos de ellos
suelen instalar programas de dudosa procedencia, una opcin para minimizar el riesgo de
estos equipos es implementar el modo Lock de la proteccin avanzada. De esta forma se
limita la exposicin al malware en los equipos ms problemticos impidiendo la ejecucin
de los programas que no sean legtimos.

Cambiando de la configuracin de la proteccin antivirus


Programar un mayor nmero de anlisis o activar la proteccin de vectores de infeccin
como Web o correo ayudar a proteger los equipos que reciban malware por estas dos
vas.

Limitando la navegacin Web a categoras concretas


Reconfigurar las categoras accesibles a la navegacin limita el acceso a pginas de
origen dudoso, cargadas de publicidad y propensas a ofrecer descargas en apariencia

31
Gua para administradores de red

inocentes (descarga de libros, programas piratas etc) pero que pueden infectar de
malware los equipos.

Filtrando la llegada de correo con Phising o Spam


Un vector muy utilizado para ataques de tipo phising es el correo. Reforzando la
configuracin del filtrado de contenidos y del filtro antiSpam se limita la cantidad de correo
no solicitado que llega a los buzones de los usuarios, reduciendo la superficie de ataque.

Bloqueando parcial o totalmente pen drives y otros dispositivos externos


Otro de los vectores de infeccin ms tpicos son las memorias y los mdems USB que los
usuarios se traen de casa. Limitando o bloqueando completamente su uso evitar la
infeccin por estas vas.

Limitando la comunicacin de los programas instalados con el Firewall y el Sistema


de deteccin de intrusos (IDS)
El firewall es una herramienta orientada a reducir la superficie de exposicin de los equipos,
evitando la comunicacin de programas que de por si no son malware pero que pueden
suponer una ventana abierta a la entrada del mismo. Si se ha detectado una entrada de
malware por programas de tipo chat o P2P, una correcta configuracin de las reglas del
firewall evitar la comunicacin de estos programas con el exterior.
El firewall y el IDS tambin puede ser utilizado para minimizar la propagacin del malware
una vez ha infectado el primero de los equipos de la red. Examinando las acciones que
desencaden con la herramienta de Anlisis forense se podrn generar nuevas reglas de
cortafuegos que limiten la comunicacin entre equipos o los protejan de ataques de red.

32
Gua para administradores de red

4. Creacin de
cuentas Panda
Qu es la cuenta Panda?
Cmo puedes crear una cuenta Panda?
Cmo puedes activar la cuenta Panda?

33
Gua para administradores de red

4.1. Qu es la Cuenta Panda?

Cuando adquieres Adaptive Defense 360 recibirs un mensaje de correo electrnico


procedente de Panda Security. Al hacer clic en el vnculo que contiene el mensaje,
acceders a la Web desde la que podr crear tu Cuenta Panda.
A continuacin, debers activar tu Cuenta Panda, utilizando para ello el vnculo que te ser
enviado en otro mensaje de correo electrnico.
Finalmente acceders a Panda Cloud, donde encontrars el icono de acceso directo a la
consola Web de Adaptive Defense 360.
De esta forma se incrementa el nivel de seguridad con respecto a las contraseas de
acceso, ya que, en lugar de recibirlas por correo electrnico, es el administrador quien crea
y activa su Cuenta Panda, la llave que le permitir el acceso a la consola Web de Adaptive
Defense 360.
Gracias a Panda Cloud podrs gestionar de forma rpida y sencilla las diferentes soluciones
cloud que tienes contratadas y, si lo necesitas, acceder a informacin sobre otras
soluciones de Panda Security que, sin duda, cubrirn todas las necesidades que en materia
de seguridad y proteccin tiene tu red informtica.

4.2. Cmo puedes crear una Cuenta Panda?

Tras adquirir las licencias correspondientes recibirs un mensaje de correo electrnico. Es el


momento de crear la Cuenta Panda. Para ello:
1. Abre el mensaje y haz clic en el vnculo que aparece.
2. Acceders a la pgina desde la que podrs crear la Cuenta Panda.
3. Introduce tu direccin de email y haz clic en Crear.

Utiliza el desplegable situado en la esquina inferior derecha si deseas que la pgina se


muestre en otro idioma. Tambin puedes acceder al acuerdo de licencia y la poltica de
privacidad haciendo clic en el vnculo correspondiente.
A continuacin, recibirs un mensaje de correo electrnico en la direccin que has

34
Gua para administradores de red

especificado al crear la Cuenta Panda. Utilizando ese mensaje podrs activar la cuenta.

4.3. Cmo puedes activar la Cuenta Panda?

Una vez creada la Cuenta Panda es necesario activarla. Para ello hay que utilizar el mensaje
de correo electrnico que has recibido en la bandeja de entrada de la direccin mail que
se utiliz para crear la Cuenta Panda.
1. Ve a la bandeja de entrada y localiza el mensaje.
2. A continuacin, haz clic en el botn de activacin. Al hacerlo, se confirmar como
vlida la direccin proporcionada al crear la Cuenta Panda. En caso de que el
botn no funcione, copia en el navegador el enlace que se muestra en el
mensaje.
3. La primera vez que se acceda a la Cuenta Panda se solicitar una confirmacin de
contrasea. Despus, haz clic en el botn Activar cuenta.
4. Introduce los datos necesarios y haz clic en Guardar datos. Si prefieres facilitar los
datos en otra ocasin, utiliza la opcin Ahora no.
5. Acepte el acuerdo de licencias y haga clic en Aceptar.

Has finalizado con xito el proceso de activacin de la Cuenta Panda. Ahora te encontrars
en la pgina principal de Panda Cloud. Desde aqu ya puedes acceder a la consola Web
de Adaptive Defense 360. Para ello, utiliza el icono de acceso directo que encontrars en
Mis servicios.

35
Gua para administradores de red

5. La consola de
administracin
Estructura general de la consola Web de
administracin

36
Gua para administradores de red

5.1. Introduccin

En este captulo se explicar la estructura general de la consola Web de administracin.


La consola Web es la herramienta principal del administrador para la gestin de la
seguridad. Al tratarse de un servicio Web centralizado posee una serie de caractersticas
que influirn de forma positiva en la forma de trabajo del departamento de IT:

nica herramienta para la gestin completa de la seguridad.


Con la consola Web el administrador podr distribuir los agentes de proteccin en los
equipos de la red, establecer las configuraciones de seguridad, monitorizar el estado de la
proteccin de los equipos y disponer de herramientas de resolucin y anlisis forense en
caso de problemas. Toda la funcionalidad se ofrece desde una nica consola Web,
favoreciendo la integracin de las distintas herramientas y minimizando la complejidad de
utilizar varios productos de distintos proveedores.

Gestin centralizada de la seguridad para todas las oficinas y usuarios desplazados


La consola Web est alojada en la nube de forma que no es necesario instalar nueva
infraestructura en las oficinas del cliente ni configuraciones de VPNs o redirecciones de
puertos en los routers corporativos. Tampoco sern necesarias inversiones en hardware,
licencias de sistemas operativos o bases de datos, ni gestin de mantenimientos / garantas
para asegurar la operatividad del servicio.

Gestin de la seguridad desde cualquier lugar y en cualquier momento


La consola Web de administracin es de tipo responsive / adaptable con lo que se ajusta
al tamao del dispositivo utilizado para la gestin de la seguridad. De esta manera el
administrador de la red podr gestionar la seguridad desde cualquier lugar y en cualquier
momento mediante un smartphone, un notebook o un PC de escritorio.

5.1.1 Requisitos de la consola Web


La consola Web es accesible a travs de la siguiente URL
https://www.pandacloudsecurity.com/PandaLogin/
Para acceder a la consola Web de administracin es necesario cumplir con el siguiente
listado de requisitos:

- Contar con unas credenciales validas (usuario y contrasea). Consulta el captulo


La Cuenta Panda para ms informacin de cmo crear una Cuenta Panda de
acceso a la consola Web.
- Un navegador compatible certificado (otros navegadores pueden funcionar)
Interner Explorer 10 o superior
Firefox 3.0 ltima versin
Google Chrome ltima versin
- Conexin a internet y comunicacin por el puerto 443

37
Gua para administradores de red

5.1.2 Federacin con IDP


Adaptive Defense 360 delega la gestin de las credenciales en un Proveedor de
Identidades (Identity Provider, IDP), una aplicacin centralizada responsable de gestionar
las identidades de los usuarios.
De esta forma con una nica Cuenta Panda el administrador de la red tendr acceso a
todos los productos contratados con Panda Security de forma segura y sencilla.

5.2. Estructura general de la consola Web de administracin

La consola Web de administracin cuenta con recursos que facilitan al administrador una
experiencia de gestin homognea y coherente, tanto en la administracin de la
seguridad de la red como en las tareas de resolucin y anlisis forense.
El objetivo es entregar una herramienta sencilla, pero a la vez flexible y potente, que
permita al administrador empezar a gestionar la seguridad de la red de forma productiva
en el menor perodo de tiempo posible.

38
Gua para administradores de red

5.2.1 Men superior (1)


El men superior est formado por 7 ventanas, cada una de ellas agrupa recursos y
herramientas relacionadas:

- Estado
- Equipos
- Instalacin
- Configuracin
- Cuarentena
- Informes
- Otros servicios

Ventana Estado

39
Gua para administradores de red

La ventana Estado es la primera que se muestra una vez que se accede a la consola Web.
En ella se detalla informacin sobre el estado de la proteccin y sus licencias, utilizando
para ello unos contadores que permiten determinar de un vistazo el estado de la seguridad
del parque informtico.
Si an no se ha instalado la proteccin en ningn equipo, se mostrar la ventana Equipos
con un mensaje invitando a hacerlo y las indicaciones necesarias para ello.
La ventana Estado est compuesta por paneles con informacin grfica que describe el
estado de la seguridad de la red y de licenciamiento de Adaptive Defense 360.

Consulta el Captulo Licencias para ms informacin acerca de la gestin de licencias en


Adaptive Defense 360. Consulta el captulo Visibilidad y monitorizacin y el captulo Informes para
ms informacin acerca del estado de la seguridad de la red en tiempo real y de los informes
consolidados

Ventana Equipos
Contiene la informacin de estado de los equipos de la red. La ventana Equipos mostrar
un asistente de instalacin en caso de que todava no haya ningn equipo con un agente
instalado en la red.
Desde la ventana Equipos es tambin posible agregar agentes, aunque esta tarea se
aborda de forma completa en la ventana Instalacin.

Ventana Instalacin

40
Gua para administradores de red

Contiene todas las herramientas necesarias para el despliegue de agentes Adaptive


Defense 360 en la red.

Consulta el captulo Instalacin de la proteccin para obtener ms informacin acerca del


proceso de instalacin de los agentes Adaptive Defense 360 en los equipos de la red

Ventana Configuracin
Permite la gestin de grupos y perfiles de proteccin, as como su configuracin.
Consulta los captulos Crear grupos de equipos y Crear perfiles de proteccin para ms
informacin sobre la creacin de perfiles y grupos, y los captulos de perfiles de la proteccin
para Windows, Linux, OS X y Android para la configuracin de los perfiles de proteccin
dependiendo de la plataforma a proteger (Windows, Linux, Mac OS X y Android)

Ventana Cuarentena
Contiene un listado de todos los elementos encontrados en la red que Adaptive Defense
360 ha considerado sospechosos y/o han sido borrados para evitar peligros de infeccin.
Consulta el captulo Cuarentena para obtener ms informacin

Ventana Informes
Los informes permiten obtener y enviar por correo documentos estticos consolidados en
diversos formatos sobre reas concretas del servicio de seguridad.

Consulta el captulo Informes para ms informacin

Ventana Otros servicios


Permite ponerse en contacto con el departamento tcnico de Panda Security as como
enviar comentarios y sugerencias de mejora del servicio.

5.2.2 Ruta de navegacin (2)


La ruta de navegacin muestra en todo momento el camino completo de la ventana
donde se encuentra el administrador.
Este camino est formado por los nombres de ventanas recorridos hasta llegar a la actual,
separadas por el smbolo >.
Se utilizan hipervnculos para poder retroceder de forma directa a cualquier punto del
camino explorado, sin tener que iniciar el recorrido desde el men de ventanas superior.

5.2.3 Men lateral (3)


El men lateral se muestra en varias ventanas como Instalacin o Configuracin. Contiene
una serie de entradas que el administrador puede seleccionar para mostrar paneles de
configuracin adicionales. Al hacer clic sobre estas entradas son agregadas de forma
normal a la ruta de navegacin tratado en el apartado anterior.

5.2.4 Pestaas (4)


Se utilizan para agrupar elementos comunes de configuracin en muchas ventanas de la
consola Web. Al hacer clic sobre las pestaas no se aaden a la ruta de navegacin.

41
Gua para administradores de red

5.2.5 Botn de configuracin general (5)


Muestra un men desplegable con varias opciones de configuracin de carcter general
mostradas a continuacin:

Usuarios
Permite crear nuevos usuarios de acceso a la consola Web de administracin con
diferentes niveles de acceso.

Consulta el captulo Usuarios para ms informacin sobre usuarios y permisos

Preferencias
Agrupa mltiples configuraciones que afectan al comportamiento general de la consola
Web:

- Lenguaje: permite seleccionar el idioma utilizado en la consola Web de entre los 13


disponibles.
- Alertas por correo: permite al administrador recibir alertas por correo directamente
desde la plataforma Adaptive Defense 360 con las detecciones y bloqueos que se
producen en cada equipo Windows.
Para prevenir aquellos casos en los que el servidor de correo interno de la
organizacin este cado, sea inaccesible por el endpoint o simplemente el cliente
no disponga de un servidor de correo SMTP, la plataforma Adaptive Defense
enviar tambin alertas por correo directamente a la cuenta del administrador sin
pasar por el servidor de correo interno de la empresa

Las opciones de configuracin permiten indicar las condiciones de envo de una alerta por
correo:

Malware o PUP detectado: se enviarn como mximo 2 emails por


fichero, mquina y da para evitar el bloqueo del buzn del
administrador. El envo de mails por malware o PUP detectado se
encuentra activado por defecto.
Elemento bloqueado: se enviar 1 email por fichero, mquina y da
para evitar el bloqueo del buzn del administrador. El envo de mails
por elementos bloqueados se encuentra desactivado por defecto.

42
Gua para administradores de red

Clasificacin de archivos permitidos por el administrador: esta alerta


aplica nicamente en el caso de que el administrador haya excluido
un elemento bloqueado, bien por estar sin clasificar en el momento de
la ejecucin, bien por estar clasificado como malware. Dado que sta
es una situacin de potencial peligro, el sistema enviar una alerta al
administrador cuando se haya producido un cambio en la clasificacin
del elemento excluido. El caso ms frecuente es el de una exclusin de
un elemento desconocido y bloqueado que Adaptive Defense
clasifica como malware.
- Vista por defecto: determina la forma en que se mostraran los equipos en la
consola Web: por su nombre o por su direccin IP.
- Restricciones de grupo: permite establecer el nmero mximo de equipos que
pertenecern a un grupo determinado.
Consulta el captulo Grupos para ms informacin sobre la creacin de grupos y su gestin

- Acceso remoto: permite configurar las credenciales de acceso a los equipos


administrados por Adaptive Defense 360 que tengan alguno de los productos de
escritorio remoto soportados instalados (LogMeIn, TeamViewer y VNC). Tambin
permite compartir este acceso con el proveedor de servicios para poder delegar
la gestin de los equipos.
Acceso remoto permite configurar la integracin de Adaptive Defense 360 con herramientas de
acceso remoto de terceros compatibles. Adicionalmente Adaptive Defense 360 ofrece el mdulo
Remote Control como herramienta de resolucin que no requiere productos de terceros ni
configuracin especifica. Consulte con su comercial para licenciar el mdulo Remote control de
Adaptive Defense 3650. Consulte el documento Remote control Gua para el administrador, para
ms informacin

- Gestin automtica de archivos sospechosos: permite enviar de forma


transparente al laboratorio de Panda Security los archivos clasificados como
sospechosos para su estudio.
- Gestin de cuentas: permite fusionar cuentas y delegar la administracin de los
equipos.

Consulta el captulo Gestin de cuentas para ms informacin

Ayuda
Contiene la ayuda contextual de la consola Web. Pulsa F1 para acceder a la ayuda
asociada a la pantalla mostrada en la consola Web.

Gua avanzada de administracin


Contiene la gua avanzada de administracin para su descarga.

Soporte tcnico
Permite ponerse en contacto con el departamento tcnico de Panda Security para realizar
consultas o reportar incidencias.

Buzn de sugerencias
Permite ponerse en contacto con el departamento de producto de Panda Security para
enviar comentarios y sugerencias de mejora del servicio.

Acuerdo de licencia
Muestra el EULA del producto

43
Gua para administradores de red

Acerca de
Muestra las versiones de los diversos componentes del servicio.

5.2.6 Usuario logeado (6)


Permite hacer un log out de la consola Web, mostrando la pantalla de IDP (Identity
Provider) para hacer login en la consola Web de administracin

5.2.7 Botn Panda Cloud (7)


Al pulsar sobre este botn el administrador tendr acceso a la pgina de Panda Cloud,
donde se muestran de forma rpida todos los servicios que tiene contratados con Panda
Security.

5.2.8 Elementos de configuracin (8)


La consola Web Adaptive Defense 360 utiliza controles estndar para introducir
configuraciones, como son:

- Desplegables de seleccin
- Combos de seleccin
- Botones
- Casillas de activacin y desactivacin.
- Cuadros de texto
En muchos casos la consola Web realiza un anlisis del texto introducido para comprobar
que los datos sean correctos (existencia del carcter @ en cuadros de texto para la
introduccin de direcciones de correo, comprobacin de datos numricos etc)
Para la navegacin de listados Adaptive Defense 360 utiliza tablas. Todas las tablas tienen
una cabecera que permite establecer un criterio de ordenacin. Haciendo clic sobre una
cabecera se selecciona esa columna como referente ascendente de ordenacin de la
tabla. Volviendo a hacer clic la ordenacin ser descendente.

La direccin de la flecha indica la direccin aplicada.


En la parte inferior de las tablas se encuentra la herramienta de paginacin. Dependiendo
del tipo de tabla la funcionalidad de esta herramienta vara:

- Selector del nmero de lneas por pgina


- Acceso directo a pginas especficas
- Avance de una pgina
- Retroceso de una pgina
- Avance hasta la ltima pgina
- Retroceso hasta la primera pgina

44
Gua para administradores de red

5.2.9 Notificaciones (9)


El icono de notificaciones incluye un nmero marcado en rojo con los mensajes urgentes
que el sistema necesita entregar al administrador.
Las notificaciones utilizan un cdigo de colores Azul, Naranja y Rojo para indicar la
importancia de las mismas.

5.2.10 Acceso al servicio Advanced Reporting Tool (10)


Mediante este botn se accede a la consola Web de administracin de Advanced
Reporting Tool, un servicio que permite obtener reportes detallados y realizar bsquedas
avanzadas sobre las aplicaciones del parque y la actividad de las mismas.
Consulta la Gua de usuario Advanced Reportingf Tool para ms informacin

45
Gua para administradores de red

6. Licencias
Contratacin y renovacin de licencias
Estado de las licencias
Asignacin y liberacin de licencias
Notificaciones por fecha de caducidad de
licencias contratas

46
Gua para administradores de red

6.1. Introduccin

Para utilizar el servicio es necesario adquirir licencias de Adaptive Defense 360 para
Windows /Linux / Android o de Adaptive Defense 360 para OS X en caso de requerir
proteccin para equipos de esta plataforma. De acuerdo con las necesidades del parque
informtico a proteger ser necesario instalar las protecciones en equipos, desinstalarlas,
eliminar equipos de la lista de equipos protegidos, aadir nuevos equipos a dicha lista, etc.
La utilizacin que se haga de las licencias tiene su reflejo en el nmero de licencias
disponibles
Las licencias de Adaptive Defense 360 para Windows/Linux/Android pueden ser utilizadas
indistintamente en equipos con sistema operativo Windows, Linux o Android.

Si deseas proteger equipos y servidores OS X, debers adquirir licencias especficas para ello, ya
que son independientes de las que se adquieren para equipos con sistema operativo
Linux/Windows/Android.

6.2. Contratacin y renovacin de licencias

Para la puesta en marcha del servicio es necesaria la contratacin de licencias en un


nmero igual o superior a los equipos que queramos proteger. Una licencia de Adaptive
Defense 360 es asignada a un nico equipo (estacin de trabajo o servidor).
Para contratar y/o renovar licencias consulta con tu partner asignado

6.2.1 Mantenimientos
Las licencias se agrupan en mantenimientos. Un mantenimiento es un conjunto de licencias
con las caractersticas mostradas a continuacin:

- Producto: Adaptive Defense 360, Adaptive Defense 360 + Advanced Reporting,


Panda Remote Control
- Contratadas: nmero de licencias contratadas en el mantenimiento
- Tipo: Trial para licencias de prueba (30 dias), o Release
- Caducidad: Fecha en la que las licencias caducan y los equipos dejarn de estar
protegidos.

Segn la plataforma a proteger se generan dos mantenimientos diferentes:

- Mantenimientos para Windows / Linux / Android: las licencias contratadas para


estas plataformas son intercambiables y pueden ser usadas en cualquiera de ellas
- Mantenimientos para Mac OS X: son licencias especficas de equipos OS X

En la parte superior de la consola Web se muestra el nmero total de licencias contratadas


en todos los mantenimientos activos junto con la fecha de caducidad del mantenimiento
ms prximo en el tiempo y el nmero de licencias asociadas.
Para visualizar el detalle de los mantenimientos contratados haz clic en la ventana Estado

47
Gua para administradores de red

y en Detalles

Se mostrar la ventana Listado de licencias formada por un listado de mantenimientos e


informacin adicional.

En la parte superior se muestra el estado de las licencias repartido en 2 grupos segn el tipo:

- Adaptive Defense 360: nmero de licencias contratadas (nmero de licencias


usadas, nmero de licencias sin usar) nmero de equipos sin licencia
- Endpoint Protection for OS X: nmero de licencias contratadas (nmero de
licencias usadas, nmero de licencias sin usar) nmero de equipos sin licencia
En la parte central se listan los diferentes mantenimientos con sus caractersticas. Pasando
el puntero del ratn por encima se mostrar informacin extendida sobre las caractersticas
del mantenimiento.

6.3. Estado de las licencias

En la ventana Estado se incluye el panel de control de Adaptive Defense 360 donde se


refleja el estado actual de los equipos de la red, representado mediante un crculo con
distintos colores y contadores asociados.

48
Gua para administradores de red

Al pasar el puntero del ratn por encima de cada color se mostrar un tooltip con el
nmero de equipos que coincidan con el criterio mostrado en la leyenda en el grfico.
Haciendo clic en las diferentes zonas del panel se mostrar informacin extendida del
estado de las licencias.

Equipos de la red
En la parte central del panel de licencias se muestran todos los equipos encontrados en la
red del cliente, independientemente de su estado (con licencia vlida asignada o no, con
errores etc). Este contador incluye tambin los equipos localizados por la herramienta de
descubrimiento.
Al hacer clic en el contador se mostrar la ventana Equipos

Equipos ok
La franja azul del crculo se corresponde con aquellos equipos protegidos, es decir, equipos
con una licencia de Adaptive Defense 360 vlida y que no presenten errores en sus
protecciones.
Estos equipos consumen licencia

Equipos sin licencia


Los equipos sin licencia son aquellos a los que no se les est aplicando la proteccin debido
a que no se dispone de licencias suficientes para protegerlos, o bien son equipos que
pertenecen a un grupo con una restriccin mxima configurada por el administrador.
Al hacer clic en la zona blanca se mostrar la ventana Equipos, pestaa Sin licencia con
un listado de los equipos que no tienen licencia asignada.
Estos equipos no consumen licencia

Equipos con errores


La franja roja representa a los equipos con errores, equipos con una licencia asignada que
completaron la instalacin del agente con xito pero que alguna o todas sus protecciones
han dado error.
Estos equipos consumen licencia.

Equipos excluidos

49
Gua para administradores de red

La franja azul representa a los equipos excluidos. En caso de tener un nmero de licencias
contratadas menor que el nmero total de equipos a proteger, podemos priorizar la
asignacin de unos equipos frente a otros excluyendo equipos.
Los equipos excluidos son aquellos equipos que el administrador ha determinado que no
sern protegidos temporalmente. Los equipos excluidos no compiten por obtener una
licencia libre, no se actualizan ni reportan su estado al servidor Adaptive Defense 360.
Estos equipos no consumen licencia

Equipos desprotegidos
Representados por la franja amarilla, son equipos desprotegidos debido a que el proceso
de instalacin del agente no ha sido completado con xito, son equipos descubiertos en
la red mediante la herramienta de descubrimiento o son equipos cuyo agente ha sido
desinstalado.
Estos equipos no consumen licencia.

6.4. Asignacin y liberacin de licencias

Al Instalar el agente en un equipo, del total de licencias disponibles se restar una licencia
de Adaptive Defense 360 para Windows/Linux/Android o de Adaptive Defense 360 para OS
X, en funcin del sistema operativo en el que instale la proteccin de forma automtica.
Al eliminar un equipo de la lista de equipos protegidos, al total de licencias disponibles se
sumar una licencia de Adaptive Defense 360 para Windows/Linux/Android o de Adaptive
Defense 360 para OS X, en funcin del sistema operativo del equipo eliminado y de forma
automtica.
Al disminuir en X unidades el nmero de licencias contratadas por caducidad pasarn al
estado Sin licencia tantos equipos Windows/Linux/Android u OS X como licencias del
sistema operativo en cuestin hayan disminuido.

Reasignar licencias
En los casos en los que el nmero de licencias contratadas sea menor que el nmero de
equipos a proteger en la red, este excedente de equipos pasar a formar parte de la
pestaa Sin licencia. Estos equipos competirn por cualquier incremento de licencias
disponibles que se produzca, tal y como se explica en el apartado Contratacin y
renovacin de licencias.
Para evitar que un equipo sin licencia compita por las nuevas licencias contratadas es
necesario borrarlo de la consola Web. Para ello, en la ventana Equipos, pestaa Sin licencia
seleccionar los equipos y hacer clic en el desplegable Eliminar los equipos seleccionados.
En el caso de querer liberar la licencia de un equipo correctamente licenciado es necesario
excluir el equipo con licencia. En este momento esa licencia quedar libre y ser asignada
a un equipo de la lista Sin licencia.
No se puede utilizar el borrado de un equipo con licencia ya que, en la siguiente comunicacin
con el servidor, Adaptive Defense 360 volver a dar de alta al equipo en la consola

50
Gua para administradores de red

6.5. Notificaciones por fecha de caducidad de licencias contratadas

En el rea de Notificaciones aparecern diferentes avisos en funcin de la proximidad de


la fecha de caducidad (menos de 60 das); tambin si se ha superado dicha fecha o si las
caducidades dejaran menos licencias disponibles de las usadas actualmente.
Estas notificaciones son independientes en funcin del sistema operativo que tengan los
equipos afectados por la caducidad de la licencia, es decir, se mostrarn por una parte
las notificaciones de caducidad de licencias Adaptive Defense 360 para
Windows/Linux/Android, y, por otra, de las de Adaptive Defense 360 para OS X.
En ambos casos podrs renovar la licencia ponindote en contacto con el distribuidor
habitual o comercial. Adaptive Defense 360 te lo recordar mediante un mensaje en la
ventana Estado.

Consulta el captulo Gestin de licencias para obtener ms informacin sobre las notificaciones.

51
Gua para administradores de red

7. Gestin de
cuentas
Delegar la gestin de la cuenta
Unificar cuentas

52
Gua para administradores de red

7.1. Introduccin

Los usuarios de la consola con permisos de control total pueden acceder a las
funcionalidades de gestin de cuentas que Adaptive Defense 360 pone a su disposicin:
delegar la gestin de una cuenta y unificar cuentas.
Ambas opciones estn accesibles en la ventana Gestin de cuentas, accesible desde el
men Preferencias y haciendo clic en Gestionar cuentas.

7.2. Delegar la gestin de una cuenta

Esta opcin permite que la seguridad de los equipos sea gestionada por un proveedor de
servicio (partner) o tambin modificar el proveedor al que desea encomendar la gestin
de la seguridad.

Para delegar la gestin de su cuenta en un partner necesitars el identificador de Panda Security


de dicho partner.

Para ello en el apartado Delegar seguridad a su proveedor de servicio introduce el


identificador del proveedor que gestionar la seguridad de los equipos.

7.2.1 Errores posibles al delegar la gestin de una cuenta

53
Gua para administradores de red

Al tratar de activar la funcionalidad de delegacin del servicio, pueden aparecer los


siguientes errores:

- El identificador introducido no es vlido. Por favor, revselo e introdzcalo de nuevo.


Por favor, asegrate de haber introducido correctamente todos los dgitos del
identificador del partner.
- No dispone de licencias para realizar esta operacin. Contacta con tu distribuidor
o comercial habitual para renovarlas. Si las licencias han caducado no podrs
acceder a la funcionalidad de delegacin de servicio. Por favor, contacta con tu
distribuidor o comercial habitual para renovar las licencias.
- No puede realizar esta operacin. Consulte con su distribuidor o comercial
habitual. Es posible que las caractersticas de los servicios/licencias que se
contrataron no permitan la utilizacin de la funcionalidad de delegacin de
servicio. Por favor, consulta al distribuidor o comercial habitual.
- Ha ocurrido un error y no se ha podido dar de alta la solicitud. Por favor, intntelo
de nuevo. Este error tiene lugar cuando el proceso falla por un motivo
desconocido. Por favor, vuelve a intentarlo y si no consigues realizar la activacin
del servicio, contacta con el soporte tcnico de Panda Security.

7.3. Unificar cuentas

Cuando un cliente tiene productos contratados en varias cuentas, es posible unificarlos en


una sola y posibilitar as la gestin centralizada de la seguridad de los equipos. El proceso
de unificacin o fusin de cuentas consiste en traspasar todos los datos de una cuenta-
origen a una cuenta-destino y eliminar la cuenta-origen.

El proceso de traspaso de datos no es inmediato, por lo que puede que transcurra un tiempo
hasta que pueda comprobarlo en la consola Web de su cuenta-destino.

7.3.1 Implicaciones de la unificacin de cuentas


Antes de proceder a la unificacin de cuentas, es MUY IMPORTANTE tener en cuenta las
consecuencias que ello conlleva:

- Los servicios asociados a la cuenta-origen se migrarn a la cuenta-destino y


dejarn de estar activos en la cuenta-origen. La cuenta ser eliminada y el acceso
a la consola Web de la cuenta-origen ser denegado.
- En la consola Web de la cuenta-destino, se mostrarn los datos e informaciones
sobre los equipos gestionados desde la cuenta-origen. Para comprobarlo, tan slo
tiene que acceder a la consola Web de la cuenta-destino.
- Se producir la reasignacin automtica de las protecciones instaladas en los
equipos gestionados desde la cuenta-origen, pasando a ser gestionados desde la
cuenta- destino. No ser necesario reinstalar las protecciones.

7.3.2 Requisitos para unificar cuentas


A continuacin, se muestran los requisitos que han de cumplirse para que el proceso de
unificacin de cuentas se complete con xito. Si cualquiera de los requisitos enumerados
no se cumpliera el proceso ser interrumpido y se mostrar un mensaje de error en la
consola.

- La cuenta-origen y la cuenta-destino tienen que tener el mismo producto Adaptive

54
Gua para administradores de red

Defense 360
- La cuenta-origen y la cuenta-destino tienen que tener la misma versin de
Adaptive Defense 360
- Ni la cuenta-origen ni la cuenta-destino pueden tener licencias que hayan
expirado
- La cuenta-origen y la cuenta-destino tienen que pertenecer al mismo partner
- La cuenta-origen tiene que tener menos de 10.000 licencias. La cuenta-destino s
podr tener ms de 10.000 licencias.
- La cuenta-origen y la cuenta-destino tienen que tener los mismos servicios
adicionales contratados.

7.3.3 Pasos para unificar las cuentas

- Accede a la consola Web de la cuenta-origen, la que ser dada de baja.


- Haz clic en Gestionar cuentas en la ventana Preferencias. Se mostrar la ventana
Gestin de cuentas.
- Selecciona Unificar.
- Introduce el Login Email de un usuario que disponga de permiso de control total
sobre la cuenta a la que desea traspasar los datos y el nmero de cliente
(identificador) que fue enviado en el mensaje de bienvenida.
- Si ests seguro de que deseas unificar las cuentas, haz clic en Unificar.

7.3.4 Efectos de la unificacin de cuentas en la configuracin del servicio


La unificacin de cuentas implica el traslado de informacin de configuracin y datos
sobre los equipos gestionados desde la cuenta-origen a la cuenta-destino. A continuacin,
se muestran los cambios y la informacin que se aade o se pierde en la cuenta-destino:

- Licencias: Se aaden todos los mantenimientos activos y no caducados o en


periodo de gracia de la cuenta-origen, es decir, la informacin sobre las licencias
activas, sus fechas de inicio y caducidad, tipo de licencia, etc.
- Perfiles de configuracin: Se aaden todos los perfiles de configuracin de las
protecciones de la cuenta-origen. En el caso de que en la cuenta-destino exista un
perfil con el mismo nombre (por ejemplo, Perfil Comercial), el perfil procedente de
la cuenta- origen ser "renombrado" mediante un sufijo numrico (Perfil Comercial-
1).
El perfil por defecto -perfil Default- de la cuenta-origen se traspasar a la cuenta-destino, pero
ser considerado como un perfil ms y perder la marca de perfil por defecto.

- Grupos de equipos: Se aaden todos los grupos de equipos. En el caso de grupos


de igual nombre, el funcionamiento ser similar al aplicado para los perfiles en el
punto anterior.
- Proteccin: Se aade toda la informacin de las protecciones activas y de las
correspondientes a equipos excluidos o sin licencia.
- Informes: No se aade a la cuenta-destino la configuracin de los informes
generados en la cuenta-origen.
- Estadsticas: Se incorpora toda la informacin de detecciones de la cuenta-origen
en la cuenta-destino.
- Cuarentena: Se pierden todos los elementos en la cuarentena de la cuenta-origen,
as como los elementos excluidos de cuarentena y los restaurados.
- Usuarios: Se aaden todos los usuarios de la consola Web de la cuenta-origen (con

55
Gua para administradores de red

sus correspondientes permisos), excepto el usuario por defecto -Default-.

7.3.5 Posibles mensajes de error al unificar cuentas


Al tratar de unificar dos cuentas, pueden aparecer los siguientes mensajes de error:

- No podemos realizar la operacin de unificacin porque las cuentas a unificar son


de distintos distribuidores. Por favor, contacte con su distribuidor o comercial de
Panda Security
- No podemos realizar la operacin de unificacin porque ambos clientes deben de
estar en la misma versin del producto. Por favor, verifique si no tiene pendiente de
ejecutar una actualizacin de versin, si el problema persiste contacte con su
distribuidor o comercial de Panda Security para ambos clientes tengan la misma
versin
- No podemos realizar la operacin de unificacin porque ambos clientes no
disponen de licencias del mismo producto y/o servicio. Por favor, contacte con su
distribuidor o comercial de Panda Security para que ambas cuentas tengas
licencias de los mismos productos y/o servicios
- Error,las licencias del cliente origen de la fusin han caducado.Por favor, contacte
con su distribuidor o comercial de Panda Security
- No podemos realizar la operacin de unificacin al tratarse de una operacin en
la que se ven involucrados un gran nmero de equipos, sin embargo la unificacin
podr realizarse en Panda Security. Por favor, contacte con el soporte tcnico de
su distribuidor o de Panda Security.

En el caso de que un cliente tenga varios errores se mostrar unicamente el primer


error encontrado. Cuando ste se solucione se mostrar el siguiente error y as
sucesivamente hasta que todos los errores haya sido corregidos

56
Gua para administradores de red

8. Usuarios
Creacin de usuarios
Modificar los datos de un usuario
Borrar usuario
Asignacin de permisos a usuarios / grupos
Tipos de permisos

57
Gua para administradores de red

8.1. Introduccin

En este captulo el trmino usuario se refiere a las diferentes cuentas creadas para acceder a la
consola Web, y no a los usuarios de la red que trabajan con equipos protegidos por Adaptive
Defense 360

La creacin de usuarios junto a la asignacin de permisos permite repartir las tareas de


gestin del servicio Adaptive Defense 360 entre varios administradores con distintos niveles
de acceso segn el perfil tcnico y responsabilidad que tengan en la empresa.
Toda la configuracin de usuarios y permisos se realiza en el men Usuarios

El men Usuarios distribuye la informacin en tres columnas: Login Email, Nombre y Permisos.
A medida que se vayan creando usuarios, stos aparecern en el listado, junto al tipo de
permisos que les haya otorgado.

8.2. Creacin de usuarios

Para crear un usuario:


1 En el men Usuarios, haz clic en Aadir usuario.
2 Introduce el Login Email y confrmalo.
3 Es posible aadir informacin adicional si as lo deseas, utilizando para ello la caja de
texto Comentarios.
4 Selecciona el permiso que deseas asignar al usuario. Para ms informacin consulta
el apartado Tipos de permisos.

58
Gua para administradores de red

5 En Grupos selecciona el grupo/subgrupo o grupos/subgrupos sobre los que el usuario


podr actuar, de acuerdo con los permisos asignados. El usuario con permiso de
control total podr actuar sobre todos los grupos.
6 Haz clic en Aadir. A continuacin, se mostrar un mensaje informando del envo de
un correo electrnico a la direccin que se ha especificado al crear el usuario.
7 Una vez creado el usuario, se mostrar en el listado de la ventana Usuarios.

8.3. Modificar los datos del usuario

En el men Usuarios, al hacer clic en la direccin de correo electrnico del usuario se


accede a la ventana de edicin de datos.

En esta ventana podrs modificar los comentarios, el permiso y los grupos de equipos a los
que tiene acceso, pero no se podr modificar el Login Email ni el nombre de usuario.

En el caso del usuario por defecto, solo se podr modificar el campo Comentarios.

Modificar el nombre del usuario


Si lo que deseas es cambiar el nombre de un usuario, es necesario acceder a la consola
Panda

Cloud mediante el icono situado en la parte superior izquierda o introducir las


credenciales del usuario en la pantalla de login de la consola y hacer clic en el nombre del
usuario. A continuacin, selecciona Modificar cuenta.

59
Gua para administradores de red

De este modo se acceder a la ventana de gestin de la Cuenta Panda, donde podrs


modificar los datos de ese usuario y cambiar la contrasea si lo deseas. A continuacin, haz
clic en Actualizar.

Una vez terminado el proceso ambas consolas Web (Panda Cloud y Adaptive Defense 360)
mostrarn el nuevo nombre del usuario.

8.4. Borrar un usuario

Si deseas eliminar un usuario, puedes hacerlo desde el men Usuarios seleccionando en el


listado el usuario a borrar y marcando la casilla correspondiente que est situada junto al
Login Email del usuario para, a continuacin, hacer clic en el botn Borrar.

60
Gua para administradores de red

8.5. Asignacin de permisos a usuarios / grupos

Adaptive Defense 360 permite asignar distintos tipos de acceso para un usuario concreto
de la consola sobre uno o ms grupos de equipos. De esta forma un usuario nicamente
podr gestionar la seguridad de los equipos que forman parte de los grupos a los que tiene
acceso.
Para asignar permisos a grupos edita el usuario y selecciona los grupos a los que
pertenecen los equipos que el usuario podr gestionar su seguridad.

8.5.1 Herencia de los permisos aplicados


Al aplicar permisos sobre un grupo especfico, todos sus subgrupos heredarn los permisos
asignados. Desde ese momento, todos los subgrupos de nueva creacin que dependan
de ese grupo heredarn de forma automtica los permisos asignados al grupo padre.
Si, por el contrario, se asignan permisos a un grupo padre y a algunos de sus subgrupos,
pero no a todos, la cadena de herencia se rompe de forma que futuros subgrupos que
podamos aadir no heredarn los permisos asignados al grupo padre.

8.6. Tipos de permisos

En Adaptive Defense 360 se han establecido tres tipos de permisos. En funcin del permiso
que se asigne a un usuario, ste podr realizar mayor o menor nmero de acciones que
afectarn o bien a todos o a algunos equipos y grupos.
Las acciones que el usuario podr llevar a cabo afectan a diferentes aspectos de
configuracin bsica y avanzada de la proteccin, y van desde la creacin y modificacin
de sus propias credenciales de usuario y la configuracin y asignacin de perfiles a grupos
y equipos, hasta la generacin y obtencin de diferentes tipos de informes, entre otros.
Los permisos existentes son:

- Permiso de control total

61
Gua para administradores de red

- Permiso de administrador
- Permiso de monitorizacin

8.6.1 Permiso de control total


Gestin de usuarios. El usuario puede:

- Ver todos los usuarios creados en el sistema.


- Eliminar usuarios.

Gestin de grupos y equipos. El usuario puede:

- Crear y eliminar grupos/subgrupos.


El permiso de control total sobre un grupo es extensible a todos sus
subgrupos.
En el caso de que se creen nuevos subgrupos sobre un grupo para el
que est autorizado un usuario con control total, dicho usuario tendr
automticamente permiso sobre el nuevo subgrupo creado.
- Gestionar la configuracin de los perfiles de proteccin de todos los grupos.
- Asignar equipos a todos los grupos/subgrupos.
- Mover equipos de un grupo/subgrupo a otro.
- Editar el campo Comentarios en la pantalla Detalle de equipos.
- Acceso remoto a cualquier equipo.

Gestin de perfiles e informes. El usuario puede:

- Copiar perfiles y ver todas las copias realizadas de todos los perfiles.
- Configurar anlisis programados de rutas especficas para cualquier perfil.
- Visualizar informes (informes inmediatos, no programados), de cualquier grupo.
- Crear tareas de envo de informes programados sobre cualquier grupo
- Visualizar todas las tareas de envo de informes.

Bsqueda de equipos desprotegidos. El usuario puede:

- Configurar tareas de bsqueda de equipos desprotegidos.


- Visualizar y/o eliminar cualquiera de las tareas creadas.

Desinstalacin de la proteccin. El usuario puede:

- Configurar tareas de desinstalacin de protecciones.


- Visualizar y/o eliminar cualquiera de todas las tareas creadas.

Gestin de licencias y cuentas. El usuario puede:

- Utilizar la opcin de Ampliar licencias mediante cdigo de activacin.


- Utilizar la opcin de Unificar cuentas.
- Delegar la gestin de su cuenta en un partner.

62
Gua para administradores de red

8.6.2 Permiso de administrador


Las acciones que el usuario con permiso de administrador puede llevar a cabo y que tienen
que ver con gestin de usuarios, equipos, grupos, configuracin y desinstalacin de la
proteccin, slo son aplicables a equipos o grupos sobre los que el usuario administrador
tenga permiso o que hayan sido creados por l.

Gestin de usuarios. El usuario puede:

- Modificar sus propias credenciales.


- Crear usuarios.

Bsqueda de equipos desprotegidos. El usuario puede:

- Crear tareas de bsqueda para que equipos de los grupos sobre los que se tienen
permisos realicen la bsqueda.
- Visualizar y/o eliminar cualquiera de las tareas de bsqueda de equipos creadas,
pero slo desde equipos pertenecientes a grupos sobre los que tenga permiso.

Gestin de grupos y equipos. El usuario puede:

- Crear grupos/subgrupos, ya sean manuales o automticos por direccin IP, y


gestionar la configuracin de los perfiles de los grupos sobre los que tiene permiso.
Su permiso es efectivo sobre todos los grupos existentes hasta el grupo hijo
seleccionado, es decir, el usuario administrador no podr tener acceso a un grupo
hijo sin tenerlo tambin al grupo padre.
- Eliminar los grupos sobre los que tiene permisos. Slo se podrn eliminar grupos que
no tengan equipos, por lo que antes de eliminar un grupo/subgrupo es necesario
asignar o mover sus equipos a otro grupo/subgrupo. Una vez "vaciado" el
grupo/subgrupo se podr proceder a la eliminacin.
- Editar el campo Comentarios de los equipos sobre los que tenga permisos, en la
pantalla
- Visualizar Detalle de equipos.
- Acceso remoto a aquellos equipos que pertenezcan a grupos/subgrupos sobre los
que tenga permiso.

Desinstalacin de protecciones. El usuario puede:

- Configurar tareas de desinstalacin de protecciones en equipos o grupos sobre los


que tenga permiso.
- Visualizar y/o eliminar tareas de desinstalacin, pero slo en equipos
pertenecientes a grupos sobre los que tenga permiso.

Gestin de perfiles e informes. El usuario puede:

- Crear perfiles nuevos y visualizarlos.


- Crear copias de perfiles sobre los que tiene permiso y visualizarlos.
- Configurar anlisis programados de rutas especficas para perfiles sobre los que
tenga permiso o hayan sido creados por l.
- Visualizar informes (informes inmediatos, no programados) que incluyan grupos a
los que tenga permiso, siempre y cuando el permiso sea extensible a todos los
grupos que aparezcan en el informe.

63
Gua para administradores de red

- Crear tareas de envo de informes programados sobre grupos sobre los que tenga
permisos
- Visualizar las tareas de envo de informes que incluyan grupos a los que tenga
permiso, siempre y cuando el permiso sea extensible a todos los grupos que
aparezcan en el informe. En caso contrario no podr visualizar la tarea de envo de
informes.

8.6.3 Permiso de monitorizacin


El usuario puede:

- Modificar sus propias credenciales.


- Ver y monitorizar la proteccin de los grupos/subgrupos que se le asignen.
El permiso de monitorizacin sobre un grupo es extensible a todos sus
subgrupos.
En el caso de que se creen nuevos subgrupos sobre un grupo para el
que est autorizado un usuario con permiso de monitorizacin, ste
tendr automticamente permiso sobre el nuevo subgrupo creado.
- Visualizar los perfiles asignados a grupos/subgrupos sobre los que tenga permiso.
- Visualizar las tareas de bsqueda de equipos protegidos realizadas desde equipos
pertenecientes a grupos/subgrupos sobre los que tenga permiso.
- Visualizar las tareas de desinstalacin de los grupos/subgrupos sobre los que tiene
permiso.
- Visualizar informes (informes inmediatos) de grupos/subgrupos sobre los que tenga
permisos.
- Visualizar las tareas de envo de informes que incluyan grupos/subgrupos a los que
tenga permiso, siempre y cuando el permiso sea extensible a todos los
grupos/subgrupos que aparezcan en el informe. En caso contrario no podr
visualizar la tarea de envo de informes.

64
Gua para administradores de red

9. Instalacin de
la proteccin
Visin general del despliegue de la proteccin
Instalacin en equipos Windows
Instalacin en equipos Windows con Microsoft
Exchange
Instalacin en equipos Linux
Instalacin en equipos Mac OS X
Instalacin en dispositivos Android
Introduccin a la instalacin mediante
imgenes
Desinstalacin de la proteccin

65
Gua para administradores de red

9.1. Introduccin

La instalacin es el proceso que distribuye en los equipos el software necesario para activar
el servicio de proteccin avanzado, la monitorizacin y la visibilidad del estado de la
seguridad de la red.
Es importante instalar la proteccin en todos los equipos de la red del cliente para evitar
brechas de seguridad que ms tarde puedan ser aprovechadas por los atacantes
mediante malware dirigido especficamente a los equipos vulnerables.
Adaptive Defense 360 ofrece varias herramientas que facilitan la instalacin de la
proteccin, estas herramientas estn disponibles o no dependiendo de la plataforma
destino de la proteccin.
A continuacin, se muestra una tabla con las herramientas incorporadas en Adaptive
Defense 360 y su disponibilidad segn la plataforma de destino.

Herramienta Plataforma

Windows Linux Mac OS X Android

Descarga del
agente desde la SI SI SI SI
consola

Generacin de
URL de SI SI SI SI
descarga

Herramienta de
distribucin SI No No No
centralizada

Bsqueda de
equipos SI No No No
desprotegidos

9.1.1 Descarga del agente desde la consola Web


Consiste en descargar el paquete de instalacin directamente desde la consola de
administracin. Para ello en la ventana Instalacin elige la plataforma a proteger: Windows
Linux, Android y Mac OS X

66
Gua para administradores de red

Haciendo clic en el icono se inicia la descarga del paquete apropiado. Hay que tener en
cuenta que, si bien en general este mtodo de instalacin es muy parecido para todos los
sistemas operativos (Windows, Linux, OS X, Android), es recomendable consultar ms
adelante en este mismo captulo el apartado de instalacin correspondiente a cada
plataforma, con el fin de conocer a fondo las peculiaridades del proceso de instalacin.

Tanto en Linux como en Windows el instalador es el mismo para plataformas de 32 y de 64 bits. Se


recomienda consultar los requisitos que los equipos y dispositivos deben cumplir antes de
descargar el instalador.

9.1.2 Generacin de URL de descarga


Este mtodo permite la creacin de una URL de descarga que podr ser enviada por
correo a los usuarios para iniciar una instalacin manual en cada equipo.

El mtodo de distribucin de la URL de descarga implementado de forma directa en


Adaptive Defense 360 es mediante correo, haciendo clic en el botn Enviar por email.
Adems, es posible establecer la pertenencia del equipo instalado a un grupo
determinado de forma automtica en el momento de la instalacin. Para ello es necesario
seleccionar en el desplegable el grupo apropiado. Por defecto la pertenencia estar
establecida en el grupo DEFAULT
Automticamente los usuarios recibirn un correo electrnico con el enlace de descarga
correspondiente a su sistema operativo. Al hacer clic en el enlace, se iniciar la descarga

67
Gua para administradores de red

del instalador.

9.1.3 Herramienta de distribucin centralizada


La herramienta de distribucin permite instalar y desinstalar la proteccin de forma
centralizada en los equipos de la red con sistema operativo Windows, evitando as la
intervencin manual de los usuarios a lo largo del proceso.
En la ventana Instalacin haz clic en Descargar herramienta de distribucin remota.

En el cuadro de dilogo de descarga de archivo selecciona Guardar, y cuando la


descarga haya finalizado ejecuta el archivo desde el directorio en el que se haya
guardado. El asistente te guiar a lo largo del proceso de instalacin.
Adaptive Defense 360 es compatible adems con a instalacin centralizada mediante
herramientas de terceros como por ejemplo Active Directory de Microsoft.

El funcionamiento de la herramienta de distribucin centralizada y la instalacin con herramientas


de terceros se detallan en el Anexo I: Herramientas de instalacin centralizada

9.1.4 Bsqueda de equipos desprotegidos


Adaptive Defense 360 dispone de un sistema de descubrimiento de equipos que permite
que el administrador pueda tener una visin general de cules son los equipos de su red
que no se encuentran protegidos.
Este sistema se basa en la configuracin y ejecucin de tareas de bsqueda, que se llevan
a cabo desde un equipo descubridor, que ha de reunir una serie de requisitos para poder
actuar como tal:

- Tener instalado el agente y la proteccin, y estar integrado correctamente en el


servidor de Adaptive Defense 360
- No deber de estar en la pestaa de Equipos excluidos, en la ventana Equipos
- Deber haberse conectado durante las ltimas 72 horas con el servidor de
Adaptive Defense 360.
- No deber estar realizando una tarea de desinstalacin. El equipo no podr estar
en ninguno de los siguientes estados en una tarea de desinstalacin:
En espera
Iniciando
Desinstalando
- Debe disponer de conexin a Internet, ya sea directamente, o a travs de otros
equipos (funcionalidad 'proxy')
- Debe disponer de conexin a Internet, ya sea directamente, o a travs de otros
equipos (funcionalidad 'proxy')
La configuracin de las tareas de bsqueda se realiza desde la ventana de Instalacin, en
el men Bsqueda

68
Gua para administradores de red

En esta pantalla se muestra un listado de las bsquedas anteriores, editables haciendo clic
en cada una de ellas. Adems, haciendo clic en el botn Nueva bsqueda accederemos
a una nueva pantalla de configuracin de bsquedas.

Al configurar la tarea de bsqueda, es necesario proporcionar la siguiente informacin

- Nombre de la tarea (de 50 caracteres como mximo)


- No se permitir crear tareas con el mismo nombre dentro del mismo cliente
- No se permitir la introduccin de los siguientes caracteres en el nombre de las
tareas <,
- >, , , &
- Equipo desde donde se lanzar la tarea de descubrimiento de equipos ('equipo
descubridor), seleccionndolo de la lista de equipos protegidos.

Tipos de bsqueda

69
Gua para administradores de red

Se podr limitar el alcance del barrido de la red, eligiendo una de las siguientes opciones:

La subred del equipo que realiza el descubrimiento (opcin seleccionada por


defecto)
Esta opcin utilizada la mscara de subred de la configuracin TCP/IP del equipo que
realiza el barrido para limitar el rango de dispositivos a buscar.
Las bsquedas por subred muestran todos dispositivos encontrados en la red, no solo equipos
Windows

Uno o varios rangos de direcciones IP (IPv4) introducidos por el usuario


Si se introducen rangos con direcciones IP en comn se realizar el descubrimiento una
nica vez.
Las bsquedas por rangos de direcciones IP muestran todos dispositivos encontrados en la red,
no solo equipos Windows

Uno o varios dominios introducidos por el usuario


La enumeracin de equipos pertenecientes a un dominio Adaptive Defense 360 requiere
que el servicio Examinador de equipos de Windows est funcionando en el equipo que
realiza la bsqueda. El servicio localizar al equipo en su segmento de red que tenga el rol
de Examinador Principal.

Dependiendo de si la red es un grupo de trabajo o un dominio se distinguen dos escenarios


posibles:

- Red con Primary Domain Controller (PDC / BDC) o Active Directory (AD) instalado
El servidor PDC o AD toma el rol de Domain Master Browser y genera una nica la lista
completa que obtiene de cada Examinador Principal con los equipos encontrados en
cada segmento de red. El administrador podr ver un nico listado en la consola Adaptive
Defense 360 con todos los equipos de la red.

- Red sin Primary Domain Controller (PDC / BDC) ni Active Directory (AD) instalado.
Al no existir un equipo que haga las veces de Domain Master Browser el Examinador
Principal de cada segmento de red solo contiene la lista de los equipos que pertenecen a
ese segmento. El equipo Adaptive Defense 360 que realiza la bsqueda nicamente
obtendr la lista del segmento al que pertenece.
Para obtener un resultado completo ser necesario programar desde la consola Adaptive
Defense 360 una bsqueda independiente para cada segmento de red.

Estados de la tarea de bsqueda

- En espera: El 'Equipo descubridor' se descargar la orden de descubrimiento del


servidor. El servidor tendr constancia de esta accin y modificar el estado de la
tarea.
- Iniciando:
El 'Equipo descubridor' recalcular la prioridad de la nueva tarea, junto
con las tareas que ya estuviesen a la espera de ser ejecutadas.
Esperar a que le llegue el turno, segn la lgica de prioridades.

70
Gua para administradores de red

El 'Equipo descubridor' comprobar que cumple con los requisitos para


poder ejecutar la tarea.
Se enviar un mensaje al servidor indicando el comienzo de la
ejecucin de la tarea.
- En curso
El 'Equipo descubridor' realizar el barrido de la red, en busca de
equipos.

Secuencia de la tarea de bsqueda


La secuencia de acciones segn el tipo de barrido elegido es la siguiente:

- Por IP (Rangos de IP y Subred)


Se hace un ping a cada IP mediante el protocolo ICMP
Se espera la respuesta al ping
Se intenta resolver el nombre de las IPs que responden
- Por dominio
Se enumeran los equipos pertenecientes al dominio
Determinar si las mquinas que tenemos en la lista tienen el agente
instalado
Se enva un mensaje al agente
Se espera respuesta

Resultados de la tarea de bsqueda


El equipo descubridor enviar siempre al servidor el listado completo de equipos no
protegidos descubiertos, aunque no haya sufrido modificacin con respecto al listado
enviado anteriormente por el mismo equipo.
El listado de equipos descubiertos contendr:

- Equipos sin agente instalado.


- Equipos integrados en otra Cuenta Panda: al no ser posible la comunicacin con
agentes de otras Cuentas Panda no se recibir respuesta y por lo tanto se asumir
que el equipo no est protegido.
El tiempo de espera de la respuesta ser= 3 seg * Nmero de equipos que han respondido
a peticin del protocolo ICMP (ping) + 30 seg (margen de seguridad).
Los equipos excluidos no se considerarn equipos no protegidos descubiertos, y por lo tanto
NO se incluirn en el listado de equipos descubiertos.

Detalle de los equipos no protegidos


De cada 'Equipo descubierto', se obtendr:

- Direccin IP, siempre.


- Nombre de equipo, si el 'Equipo Descubridor' fue capaz de resolverlo.

9.2. Visin general del despliegue de la proteccin

71
Gua para administradores de red

El proceso de instalacin comprende una serie de pasos a seguir dependiendo del estado
de la red en el momento del despliegue y del nmero de equipos a proteger. Para
desarrollar un despliegue con garantas de xito es necesario elaborar una plantificacin
que comprenda los puntos enumerados a continuacin:

1. Localizar y determinar las caractersticas y el nmero de dispositivos desprotegidos


en la red

Mediante la herramienta de Bsqueda de equipos desprotegidos localizaremos los equipos


Windows que no tienen instalada proteccin en la red del cliente.

2. Determinar si disponemos del nmero de licencias suficiente para el despliegue

Comparar el resultado de la bsqueda, al cual se aadirn todos los dispositivos de


plataformas no compatibles con la herramienta de bsqueda (Android, Mac OS X y Linux)
que queramos proteger, con el nmero de licencias libres, teniendo en cuenta las
particularidades descritas en el captulo Licencias.

3. Determinar el procedimiento de instalacin

Dependiendo del nmero total de equipos Windows ser preferible realizar una instalacin
con la Herramienta de distribucin centralizada o con herramientas de terceros, o por el
contrario utilizar la herramienta Generacin de URL de descarga para su envo por email al
usuario y as efectuar una instalacin manual.

4. Verificar si los equipos tienen otro antivirus ya instalado

Si deseas instalar Adaptive Defense 360 en un equipo en el que ya se encuentra instalada


alguna otra solucin de seguridad ajena a Panda Security, puedes elegir entre instalarlo sin
desinstalar la otra proteccin, de tal manera que ambas soluciones de seguridad convivan
en el mismo equipo o, por el contrario, desinstalar la otra solucin de seguridad y funcionar
exclusivamente con Adaptive Defense 360.
En funcin del tipo de versin de Adaptive Defense 360 que desees instalar, el
comportamiento por defecto vara.

Versiones Trials
En versiones de evaluacin por defecto Adaptive Defense 360 se instalar en un equipo
que ya dispone de otra solucin ajena a Panda Security. De esta forma podrs evaluar
Adaptive Defense 360 comprobando cmo registra amenazas avanzadas que pasan
inadvertidas para el antivirus tradicional instalado.

Versiones comerciales
En este caso, por defecto Adaptive Defense 360 no se instalar en un equipo que ya
dispone de otra solucin ajena a Panda Security. Si Adaptive Defense 360 dispone del
desinstalador de dicho producto, lo desinstalar y a continuacin se lanzar la instalacin
de Adaptive Defense 360

72
Gua para administradores de red

360. En caso contrario, se detendr la instalacin.


Puedes consultar una lista de los antivirus que Adaptive Defense 360 desinstala
automticamente en el Apndice III. Si la solucin a desinstalar no est en la lista, ser
necesaria su desinstalacin manual.

Este comportamiento por defecto es configurable tanto en versiones trials como en


versiones comerciales desde la ventana de Configuracin / (pulsar sobre el perfil a editar)
/ Windows y Linux / Opciones Avanzadas.

Productos de proteccin antivirus de Panda Security


Si el equipo est protegido previamente con Endpoint Protection, Endpoint Protection Plus
o Panda Fusion la proteccin es actualizada sin necesidad de desinstalar ni reinstalarla.
Si el equipo est protegido previamente con Admin Secure (Panda Security for Business) las
reglas a aplicar son las mismas que si se tratara de un antivirus de la competencia.

5. Determinar si se cumplen los requisitos mnimos de la plataforma destino

Los requisitos mnimos de cada plataforma se describen ms adelante en este captulo, en


la seccin correspondiente a cada plataforma.

6. Determinar si ser necesario el reinicio del equipo para finalizar la instalacin

Todos los servicios de proteccin de Adaptive Defense 360 excepto el cortafuegos y el


sistema de prevencin de intrusos (IDS) en plataformas Windows comenzarn a funcionar
sin necesidad de reiniciar los equipos. Si se requiere el funcionamiento del cortafuegos ser
necesario programar una ventana reinicio en los equipos de la red.
Es posible que se requiera un reinicio del cliente o se produzca un pequeo micro corte en la
conexin con algunas versiones anteriores de Citrix.

73
Gua para administradores de red

7. Establecer si es necesario la instalacin en horario no laboral

La instalacin de Adaptive Defense 360 provoca un micro corte de menos de 4 segundos


de duracin sobre las conexiones establecidas por los programas en funcionamiento en el
equipo. Las aplicaciones que no implementen mecanismos para detectar cortes de
conexin requerirn un reinicio. Si no es posible este reinicio y adems la aplicacin no se
comporta adecuadamente tras el micro corte, se recomienda la instalacin del agente
Adaptive Defense 360 fuera del horario laboral.

9.3. Instalacin en equipos Windows

Para obtener un resultado completo ser necesario programar desde la consola Adaptive
Defense una bsqueda independiente para cada segmento de red.

La instalacin de Adaptive Defense 360 en dispositivos Windows puede realizarse de forma


manual descargando el instalador desde la consola Web o enviado la URL de descarga
por correo al usuario, o de forma automtica con la herramienta de distribucin
centralizada, explicada en el Anexo I: Herramientas de instalacin centralizada

9.3.1 Requisitos de acceso a Internet


Para la correcta instalacin y funcionamiento de Adaptive Defense 360 es necesario que
se permita el acceso a una serie de URLs desde los equipos donde se instalar el agente
de proteccin.
En caso de que se disponga de un firewall, proxy, o cualquier tipo de restriccin en la red,
ser necesario que se permita el acceso a las URLs mencionadas a continuacin para el
correcto funcionamiento de Adaptive Defense 360.
El proceso de instalacin clasifica de forma automtica las aplicaciones ms utilizadas por el
usuario en su equipo, sin necesidad de esperar a que sean ejecutadas. El objetivo es agilizar el
proceso de clasificacin y evitar el bloqueo de aplicaciones en el proceso de arranque del
equipo, cuando la red puede no estar disponible. Por esta razn es muy importante que en el
proceso de instalacin del endpoint Adaptive Defense 360 se satisfagan todos los requisitos de
acceso a internet descritos a continuacin

Consola Web de administracin

- https://www.pandacloudsecurity.com/
- https://managedprotection.pandasecurity.com/
- https://pandasecurity.logtrust.com

Actualizaciones

- http://acs.pandasoftware.com/member/installers/
- http://acs.pandasoftware.com/member/uninstallers/
- http://enterprise.updates.pandasoftware.com/pcop/pavsig/
- http://enterprise.updates.pandasoftware.com/pcop/files/

74
Gua para administradores de red

- http://enterprise.updates.pandasoftware.com/pcop/nano
- http://enterprise.updates.pandasoftware.com/pcop/sigfiles/sigs
- http://acs.pandasoftware.com/free/
- http://acs.pandasoftware.com/sigfiles
- http://acs.pandasoftware.com/pcop/uacat
- http://enterprise.updates.pandasoftware.com/pcop/uacat/
- http://enterprise.updates.pandasoftware.com/updates_ent/
- https://pcopsupport.pandasecurity.com
- http://pcoplinux.updates.pandasecurity.com/updates/nanoupdate.phtml (Linux
systems)
- http://pcoplinux.downloads.pandasecurity.com/nano/pavsignano/nano_1/ (Linux
systems)
- http://www.intego.com (OS X systems)

Comunicaciones con el servidor

- https://mp-agents-inst.pandasecurity.com
- http://mp-agents-inst.pandasecurity.com/Agents/Service.svc
- https://mp-agents-inst.pandasecurity.com/AgentsSecure/Service.svc
- http://mp-agents-sync.pandasecurity.com/Agents/Service.svc
- https://mp-agents-sync.pandasecurity.com/AgentsSecure/Service.svc
- http://mp-agents-async.pandasecurity.com/Agents/Service.svc
- https://agentscomp.pandasecurity.com/AgentsSecure/Service.svc
- https://pac100pacprodpcop.table.core.windows.net
- https://storage.accesscontrol.pandasecurity.com
- https://prws.pandasecurity.com
- http://beaglecommunity.appspot.com (Panda Cloud Cleaner)
- http://waspproxy.googlemail.com (Panda Cloud Cleaner)

Comunicaciones con los servidores de Inteligencia Colectiva

- http://proinfo.pandasoftware.com
- http://proinfo.pandasoftware.com/connectiontest.html
Si la conexin con las URLs arriba indicadas no es posible, el producto intentar
conectarse a http://www.iana.org.
- https://euws.pandasecurity.com
- https://rpuws.pandasecurity.com
- https://rpkws.pandasecurity.com/kdws/sigs
- https://rpkws.pandasecurity.com/kdws/files
- https://cpg-kw.pandasecurity.com
- https://cpp-kw.pandasecurity.com
- https://cpg-fulg.pandasecurity.com
- https://cpp-fulg.pandasecurity.com
- https://cpg-fusm.pandasecurity.com
- https://cpp-fusm.pandasecurity.com

75
Gua para administradores de red

- https://cpg-fuo.pandasecurity.com
- https://cpp-fuo.pandasecurity.com
- https://ows.pandasecurity.com

Comunicaciones con plataforma Cloud Cleaner

- https://sm.pandasecurity.com/csm/profile/downloadAgent/

Antispam y URL Filtering


http://*.pand.ctmail.com
http://download.ctmail.com

Es necesario habilitar los puertos (intranet del cliente) TCP 18226 y UDP 21226 para una
correcta comunicacin entre los agentes de comunicaciones de Adaptive Defense, as
como los puertos 443 y 80 en el proxy.
En dispositivos de tipo perimetral, tales como cortafuegos avanzados, que inspeccionan y
bloquean comunicaciones en funcin de su contenido se recomienda agregar reglas
adicionales que permitan el trfico libre a las URLs mencionadas

9.3.2 Requisitos hardware y software

- Procesador: Pentium 300 Mhz. o equivalente


- Memoria RAM: 256 MB
- Espacio para la instalacin: 650 MB
- Navegador: Internet Explorer 6.0 o superior

Estaciones:
Sistemas operativos: Windows 10, Windows 8.1, Windows 8, Windows 7
(32 y 64-bit), Windows Vista (32 y 64-bit), Windows XP (32 y 64-bit) SP2 y
superior.
Memoria RAM: Para la proteccin Antivirus: 64 MB y para la proteccin
Firewall: 128 MB
- Servidores
Sistemas operativos: Windows Server 2003 (32 y 64 bits) SP1 y superior,
Windows Server 2008 (32 y 64 bits)*, Windows Server 2008 R2*, Windows
Server 2012 y Windows Server 2012 R2.
Memoria RAM: 256 MB
Los servidores Windows Server Core no son directamente compatibles con el producto. No
obstante, instalando el sistema grfico permitir ejecutar Adaptive Defense 360 sin problemas.

- Otras aplicaciones compatibles:


VMWare ESX 3.x,4.x, , 5,x y 6.x
VMWare Workstation 6.0, 6.5, 7.x, 8.x, 9.x, 10.x, 11.x y 12.x
Virtual PC 6.x
Microsoft Hyper-V Server 2008, 2008R2, 2012, 2012R2 y 2016 3.0

76
Gua para administradores de red

Citrix XenDesktop 5.x, XenClient 4.x, XenServer y XenApp 5.x y 6.x

Para distribuir desde la herramienta de distribucin a mquinas con Windows server 2008 R2, se
debe activar la opcin de Activar la gestin remota del servidor desde otro ordenador. Esta
opcin, est desactivada por defecto, y es necesario que est activada y permitida por el
firewall. Para activar esta opcin, se deben seguir las instrucciones de Microsoft especificadas en
el siguiente artculo: http://support.microsoft.com/kb/976839.

9.4. Instalacin en equipos Windows con Microsoft Exchange

9.4.1 Requisitos de acceso a Internet


Los requisitos de acceso a Internet del agente para Windows con Microsoft Exchange son
los mismos que los del agente para Windows.

9.4.2 Requisitos hardware y software


Los requisitos de hardware para instalar la proteccin de Servidores Exchange son los que
marca el propio Exchange Server:

- Exchange 2003:
http://technet.microsoft.com/es-es/library/cc164322(v=exchg.65).aspx

- Exchange 2007:
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.80).aspx

- Exchange 2010:
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.141).aspx

- Exchange 2013
http://technet.microsoft.com/es-es/library/aa996719(v=exchg.150).aspx

- Exchange 2016
https://technet.microsoft.com/es-es/library/aa996719(v=exchg.160).aspx

Las versiones de Microsoft Exchange Server soportadas por Adaptive Defense 360 son:

- Microsoft Exchange Server 2003 Standard (SP1 / SP2)


- Microsoft Exchange Server 2003 Enterprise (SP1 / SP2)
- Microsoft Exchange Server 2007 Standard (SP0 / SP1 / SP2 / SP3)
- Microsoft Exchange Server 2007 Enterprise (SP0 / SP1 / SP2 / SP3)
- Microsoft Exchange Server 2007 included in Windows SBS 2008
- Microsoft Exchange Server 2010 Standard (SP0 / SP1 / SP2)
- Microsoft Exchange Server 2010 Enterprise (SP0 / SP1 / SP2)
- Microsoft Exchange Server 2010 included in Windows SBS 2011
- Microsoft Exchange Server 2013 Standard
- Microsoft Exchange Server 2013 Enterprise
- Microsoft Exchange Server 2016 Standard
- Microsoft Exchange Server 2016 Enterprise

77
Gua para administradores de red

Los Roles en los que se instala la proteccin Servidores Exchange en Exchange 2007 y
Exchange 2010 son:

- Mailbox
- Hub Transport
- Edge Transport

Los Roles en los que se instala la proteccin Servidores Exchange en Exchange 2013 son:

- Mailbox

Sistemas operativos soportados:

- Exchange 2003: Windows Server 2003 32 bits SP1+ y Windows Server 2003 R2 32 bits
- Exchange 2007: Windows Server 2003 64 bits SP1+, Windows Server 2003 R2 64 bits,
Windows 2008 64 bits y Windows 2008 R2
- Exchange 2010: Windows 2008 64 bits y Windows 2008 R2
- Exchange 2013: Windows Server 2012 y Windows Server 2012 R2
- Exchange 2016: Windows Server 2012, Windows Server 2012 R2 y Windows Server
2016.

9.5. Instalacin en equipos Linux

La instalacin de Adaptive Defense 360 en dispositivos Linux puede realizarse de forma


manual descargando el instalador desde la consola Web o enviado la URL de descarga
por correo al usuario.

9.5.1 Requisitos de acceso a Internet


Adems de las URLs listadas en el apartado Windows, las URLs listadas a continuacin
deben de ser accesibles desde el agente Linux:

- http://pcoplinux.updates.pandasecurity.com/updates/nanoupdate.phtml
- http://pcoplinux.downloads.pandasecurity.com/nano/pavsignano/nano_1/

9.5.2 Requisitos hardware y software


Distribuciones soportadas

- Ubuntu (32/64 bits) versin 12 o superior


- Red Hat Enterprise (64 bits) versin 6.0 o superior
- Debian Squeeze (32/64 bits)
- OpenSuse (32/64 bits) versin 12 o superior
- Suse Enterprise Server de 64 bits versin 11SP2 o superior
- CentOS 6.x o superior

78
Gua para administradores de red

Prerrequisitos
Para que el producto funcione correctamente el sistema debe cumplir los siguientes
requisitos:

- Debe estar instalada la utilidad lsb_release (en RedHat y Debian).


En Debian se debe descargar e instalar el paquete:
lsb-release_3.2-23.2squeeze1_all.deb

En RedHat se debe descargar e instalar el paquete:


redhat-lsb.i686

- Dependencias de la proteccin PavSL (todas las distribuciones). La proteccin


PavSL necesita de la instalacin de las siguientes libreras:
libsoup-2.4.so.1 (Librera cliente / servidor HTTP para GNOME)
libgthread-2.0
libmcrypt.so.4 (Funciones de encriptacion MCrypt)
libz.so.1 (librera de compresin y descompresin zlib)
- Comprobar que en el directorio /opt/PCOPAgent/PCOPScheduler/pavsl-
bin/ se encuentran todas las dependencias de la proteccion PavSL
- AT/CRON se encuentra correctamente instalado y habilitado (en todas las
distribuciones). Verifica que los servicios de AT y CRON se encuentran
correctamente instalados y activados en los servicios del sistema.
- Es necesario que est disponible el comando whiptail para ejecutar el script de
configuracin del proxy.

9.6. Instalacin en equipos Mac OS X

La instalacin de Adaptive Defense 360 en dispositivos Mac OS X puede realizarse de forma


manual descargando el instalador desde la consola Web o enviado la URL de descarga
por correo al usuario.

9.6.1 Requisitos de acceso a Internet


Adems de las URLs listadas en el apartado Windows, las URLs listadas a continuacin
deben de ser accesibles desde el agente Linux:

- mp-agents-inst.pandasecurity.com (OS X systems)


- mp-agents-sync.pandasecurity.com (OS X systems)
- mp-agents-async.pandasecurity.com (OS X systems)
- http://www.intego.com (OS X systems)
- http://www.integodownload.com (OS X systems)
- http://www.netupdate2.intego.com (OS X systems)
- https://www.netupdate2.intego.com (OS X systems)

9.6.2 Requisitos hardware y software

79
Gua para administradores de red

Sistemas operativos soportados


Adaptive Defense 360 soporta los siguientes sistemas OS X:

- Mac OS X 10.6 Snow leopard (Procesador Intel Core 2 Duo o superior)


- Mac OS X 10.7 Lion
- Mac OS X 10.8 Mountain Lion
- Mac OS X 10.9 Mavericks
- Mac OS X 10.10 Yosemite
- Mac OS X 10.11 El Capitan
- MacOS 10.12 Sierra

Hardware

- Procesador: Intel Core 2 Duo


- Disco duro: 1.5 GB espacio libre en disco
- Navegador: Internet Explorer: 5.5 o superior, Firefox y Chrome

9.7. Instalacin en dispositivos Android

La instalacin de Adaptive Defense 360 en dispositivos Android puede realizarse de forma


manual descargando el instalador desde la consola Web, enviando la URL de descarga
por correo al usuario, o mediante un sistema EMM compatible con Android for Work.
La instalacin de forma manual y mediante la URL de descarga tienen la particularidad de
que, una vez instalado Adaptive Defense en el dispositivo Android, ser necesario realizar
una tarea adicional para vincular el dispositivo Android con el grupo de equipos en el que
se integrar en la consola Web de Adaptive Defense 360. De esta forma, la consola Web
detectar la existencia del dispositivo y lo reconocer como tal dentro del listado de
equipos protegidos.

Instalacin enviando la URL de descarga


En este caso, la instalacin se realiza desde el dispositivo Android, mediante una URL de
instalacin que se enva por correo electrnico.
En la consola Web de Adaptive Defense 360, selecciona el grupo en el que se desee
integrar el dispositivo (por defecto est seleccionado el grupo Default) y haz clic en Enviar
por correo.
Automticamente los usuarios recibirn un correo electrnico que contiene dos URL. La
primera de ellas es la de instalacin. Al hacer clic en ella, se accede a la pgina de
Adaptive Defense 360 de Google Play desde donde podr realizar la instalacin.
Una vez instalada la proteccin, es necesario abrir Adaptive Defense 360 desde el
dispositivo y a continuacin hacer clic en la segunda URL que contiene el correo recibido
anteriormente.

Instalacin desde la consola Web

80
Gua para administradores de red

Para la instalacin desde la consola es necesario que el usuario acceda a la consola de


Adaptive Defense 360 desde el dispositivo Android y haga clic en el icono de Android del
men Instalacin. Una vez all podr elegir entre la instalacin mediante un cdigo QR o
desde la Play Store.

Para leer el cdigo QR es necesaria la instalacin de un programa de tipo scanner de cdigos QR


como por ejemplo Barcode Scanner.

Una vez instalado el agente Adaptive Defense 360 en el dispositivo Android ser necesaria
su vinculacin a un grupo concreto. Para ello es necesario seleccionar en la consola el
grupo apropiado en el desplegable Grupo y hacer clic en Aadir este dispositivo al grupo
en el dispositivo Android para escanear el segundo cdigo QR mostrado.

Instalacin desde un sistema EMM compatible con Android for Work


Un EMM (Enterprise Mobility Management) es un software que, entre otras cosas, permite
instalar aplicaciones, localizar y rastrear equipos, administrar dispositivos mviles y
sincronizar los archivos de los dispositivos con los de un servidor.
Todas las operaciones se llevan a cabo de forma remota e independientemente de la
operadora de telefona de que se trate o de quin sea el proveedor de servicios.

En el caso de Adaptive Defense 360, puedes utilizar un EMM compatible con Android for
Work para instalar e integrar la app en los dispositivos Android que deseas proteger.
Para ello, necesitars configurar dos parmetros en tu EMM:

URL de integracin
En este parmetro debes introducir la URL que aparece en la pantalla de instalacin,
dentro de Generar URL de instalacin, una vez has seleccionado el grupo en el que quieres
integrar el dispositivo

81
Gua para administradores de red

Nombre automtico
Dependiendo de la seleccin que hagas (True o False) el nombre que se asignar al
dispositivo ser diferente. La opcin por defecto es False.

- True
Si seleccionas esta opcin, se asignar automticamente un nombre al dispositivo. Este
nombre ser el que se mostrar en la consola Web de Adaptive Defense 360, y tendr el
siguiente formato:
<Modelo de dispositivo>_<identificador nico>

- False
En este caso, tendrs que introducir el nombre que deseas asignar al dispositivo.

Descarga de la app de Adaptive Defense 360


La app puedes descargarla desde aqu:
https://play.google.com/store/apps/details?id=com.pandasecurity.pcop

9.7.1 Requisitos de acceso a Internet


Adems de las URLs listadas en el apartado Windows, las URLs listadas a continuacin
deben de ser accesibles desde el agente Android:

- https://dmp.devicesmc.pandasecurity.com
- https://pcopsupport.pandasecurity.com
- https://rpuws.pandasecurity.com
- https://rpkws.pandasecurity.com/kdws/sigs
- http://iext.pandasecurity.com/ProyIEXT/ServletIExt

Para que las notificaciones push funcionen correctamente desde la red de la empresa es
necesario abrir los puertos 5228, 5229 y 5230 a todo el bloque ASN 15169 de IPs
correspondientes a Google

9.7.2 Requisitos hardware y software


Adaptive Defense 360 es compatible con todos los terminales Android con versin 2.3
Gingerbread y superiores. Se requieren 15 megabytes de espacio en la memoria interna
para su funcionamiento.

9.8. Introduccin a la instalacin mediante generacin de imgenes

En redes formadas por equipos muy homogneos o equipos virtuales, el procedimiento de


instalacin del sistema operativo y de las herramientas que lo acompaan puede
automatizarse.
Esta automatizacin consiste en generar una imagen base (tambin conocida como
master, imagen gold o imagen plataforma) instalando en un equipo virtual o fsico el

82
Gua para administradores de red

sistema operativo ya actualizado, as como todo el software que el usuario vaya a


necesitar, incluyendo las herramientas de seguridad. Una vez preparado para funcionar el
equipo se extrae una copia del disco duro que se vuelca en el resto de equipos de la red,
reduciendo el tiempo de despliegue de forma muy sustancial.
Si el administrador sigue este procedimiento de despliegue automatizado y Adaptive
Defense 360 forma parte de la imagen base, sern necesarios algunos pasos adicionales
sobre el procedimiento mostrado para su correcto funcionamiento.
La instalacin del endpoint Adaptive Defense 360 en cualquier equipo lleva asociada la
asignacin automtica de un identificador nico que es utilizado por Panda Security para
referenciar al equipo en la consola de administracin. Si posteriormente se genera una
imagen gold con el endpoint Adaptive Defense 360 ya instalado y se clona en otros
equipos, todos los equipos que reciban esa imagen heredarn el mismo identificador de
Adaptive Defense 360, de forma que la consola nicamente mostrar un equipo.
Para evitar esta situacin es necesaria la utilizacin de un programa que borre el
identificador generado. Este programa se llama reintegra.zip y se puede descargar
de la pgina de soporte de la web de Panda Security
http://www.pandasecurity.com/spain/support/card?id=500201

En esta pgina adems encontrars instrucciones precisas sobre el procedimiento de


instalacin del agente Adaptive Defense 360 en una imagen gold o master.

9.9. Desinstalacin de la proteccin

Adaptive Defense 360 ofrece tres herramientas para la desinstalacin de las protecciones
instaladas. A continuacin, se muestra una tabla con la disponibilidad de cada mtodo
segn la plataforma a desinstalar.

Herramienta Plataforma

Windows Linux Mac OS X Android

Desinstalacin
SI SI SI SI
local

Desinstalacin
con herramienta
SI No No No
de distribucin
centralizada
Desinstalacin
desde la
SI No No No
consola de
administracin

9.9.1 Desinstalacin local

83
Gua para administradores de red

La desinstalacin de Adaptive Defense 360 se realiza de forma manual desde el panel de


control del sistema operativo, siempre y cuando el administrador de la proteccin no haya
establecido una contrasea de desinstalacin al configurar el perfil de la proteccin para
su PC. Si lo ha hecho, necesitar autorizacin o disponer de las credenciales necesarias
para poder desinstalar la proteccin.
Consulta el captulo Perfiles de proteccin Windows para ms informacin acerca de la
contrasea de administrador

En Windows 8 o superior:

- Panel de Control > Programas > Desinstalar un programa.


- Tambin puedes realizar la desinstalacin tecleando, en el men Metro:
"desinstalar un programa".

En Windows Vista, Windows 7, Windows Server 2003 y superiores:

- Panel de Control > Programas y caractersticas > Desinstalar o cambiar.

En Windows XP:

- Panel de Control > Agregar o quitar programas.

En OS X:

- Finder > Aplicaciones > Arrastre el icono de la aplicacin que desea desinstalar a
la papelera.

En dispositivos Android:

- Accede a Configuracin de Android. Seguridad > Administradores de dispositivos.


- Desactiva la casilla correspondiente a Adaptive Defense 360. A continuacin,
Desactivar > Aceptar.
- De nuevo en la pantalla de Configuracin de Android selecciona Aplicaciones
instaladas. Haz clic en Adaptive Defense 360 > Desinstalar > Aceptar.

9.9.2 Desinstalacin con la herramienta de distribucin centralizada


La desinstalacin mediante la herramienta de distribucin centralizada solo est disponible para
equipos Windows.

En la ventana principal de la consola Web, haz clic en Instalacin y, a continuacin, en la


opcin Desinstalacin del men situado a la izquierda de la ventana. Selecciona
Desinstalacin centralizada. Acceders a la pantalla Desinstalacin centralizada para
proceder a la descarga de la herramienta de distribucin centralizada.

84
Gua para administradores de red

Consulta el Apndice I Herramientas de instalacin centralizada para ms informacin

9.9.3 Desinstalacin desde la consola Web de administracin


La desinstalacin desde la consola de administracin solo est disponible para equipos Windows

Con la desinstalacin remota es posible desinstalar la proteccin desde la consola Web de


forma sencilla y eficaz, y sin necesidad de desplazarse hasta el lugar donde se encuentran
los equipos. Este tipo de desinstalacin supone, por tanto, un abaratamiento en costes y
desplazamientos.
El proceso se inicia con la creacin y configuracin de tareas de desinstalacin. Para ello,
el administrador seleccionar el grupo y los equipos del grupo a los que afectar la
desinstalacin, y, finalmente, podr comprobar cules han sido los resultados del proceso
de desinstalacin y acceder a detalles sobre cada uno de ellos

Creacin de tareas de desinstalacin remota


1 En la ventana principal de la consola Web, haz clic en Instalacin y, a continuacin,
en la opcin Desinstalacin del men situado a la izquierda de la ventana.
2 Selecciona Desinstalacin remota. Acceder a la pantalla Desinstalacin remota.

85
Gua para administradores de red

Para establecer tareas de desinstalacin el usuario que accede a la consola de administracin


debe poseer permiso de control total o administrador. Para ms informacin, consulta el captulo
Usuarios.

3 Para establecer una tarea de desinstalacin, haz clic en Nueva desinstalacin. A


continuacin, en la pantalla Edicin de desinstalacin podrs nombrar la tarea y
seleccionar el grupo en el que estn los equipos cuya proteccin se quiere desinstalar.
Los grupos mostrados sern aquellos sobre los que el administrador tenga permisos.
4 Si el grupo seleccionado tiene aplicado un perfil de configuracin que incluye una
contrasea de desinstalacin, introdcela en la caja de texto Contrasea.
5 Selecciona los equipos en el listado de equipos que se muestran en la pestaa Equipos
disponibles, y haz clic en Agregar. Al seleccionarlos, se mostrarn en la pestaa
Equipos seleccionados.

Visualizacin del desarrollo de la instalacin remota.


Las tareas de desinstalacin aparecern listadas en la pantalla Desinstalacin remota,
desde donde podr tambin eliminarlas si as lo desea, utilizando para ello el botn Eliminar.
En esta pantalla la informacin se organiza en las siguientes columnas:

- Nombre: muestra el nombre que se ha dado a la tarea de desinstalacin cuando


se ha creado.
- Estado: indica mediante iconos el estado en que se encuentra la tarea de
desinstalacin.
- Protecciones desinstaladas: detalla el nmero de protecciones desinstaladas.
- Fecha creacin: fecha en que se cre la tarea de desinstalacin. Creado por:
usuario que cre la tarea de desinstalacin.

86
Gua para administradores de red

Segn el tipo de permiso del que disponga el usuario de la consola, se podrn crear,
visualizar o eliminar tareas de desinstalacin de protecciones.
Si deseas ver los detalles de alguna de las desinstalaciones, haz clic sobre el nombre de la
desinstalacin y acceder a la pantalla Resultado de la desinstalacin.

Resultado de la desinstalacin remota


Al hacer clic en nombre de una tarea de desinstalacin se acceder a la pantalla
Resultado de la desinstalacin. Adems del nombre y las fechas de comienzo y final de la
desinstalacin, esta pantalla tambin proporcionar informacin sobre los equipos
afectados por la desinstalacin y el estado en el que sta se encuentra.
En el caso de que la tarea est en estado En espera, la fecha de inicio mostrar un guin
(-). Lo mismo suceder con la fecha de fin si la tarea no ha finalizado.
Si deseas consultar la configuracin de la tarea de desinstalacin, utiliza el vnculo Ver
configuracin.

Incompatibilidad entre tareas de bsqueda de equipos desprotegidos y desinstalacin


remota
Si un equipo est involucrado en una tarea de desinstalacin (En espera, Iniciando, o En
curso), no es posible crear otra tarea de desinstalacin sobre l ni seleccionarlo como
equipo desde el que lanzar bsquedas de equipos desprotegidos.
Si un equipo est ejecutando una tarea de descubrimiento de equipos desprotegidos, no
es posible crear una tarea de desinstalacin sobre l

87
Gua para administradores de red

10. Actualizacin de la
proteccin
Actualizacin de sistemas Windows
Actualizacin de sistemas Linux
Actualizacin de sistemas Mac OS X
Actualizacin de sistemas Android

88
Gua para administradores de red

10.1. Introduccin

Adaptive Defense 360 es un servicio cloud gestionado que no requiere por parte del
administrador la ejecucin de taras relativas a la actualizacin de los servidores o de la
infraestructura de back-end encargada de soportar el servicio de proteccin; sin embargo,
s es necesaria la actualizacin de los agentes instalados en los equipos de la red del cliente.
Los elementos instalados en el equipo del usuario son dos:

- Motor de la proteccin
- Archivo de identificadores

Dependiendo de la plataforma a actualizar el procedimiento y las posibilidades de


configuracin varan como se indica en la tabla mostrada a continuacin:

Mdulo Plataforma

Windows Linux Mac OS X Android

Automtico y
Proteccin Local Automtico Automtico
configurable

Archivo de Automtico y
Automtico Automtico Automtico
identificadores configurable

- Automtico y configurable: la actualizacin es configurable mediante la consola y


el despliegue es remoto.
- Automtico: la actualizacin no es configurable pero el despliegue es remoto
- Local: la actualizacin se realiza de forma manual o mediante herramientas de
distribucin centralizada de terceros.

10.2. Actualizacin de sistemas Windows

La configuracin de las actualizaciones forma parte del perfil de proteccin asignado al


equipo, de modo que para acceder a su configuracin es necesario hacer clic en la
ventana Configuracin y elegir un perfil a editar. Una vez elegido, en el men de la
izquierda haremos clic en Windows y Linux y elegiremos la pestaa Actualizaciones

89
Gua para administradores de red

10.2.1 Actualizacin de la proteccin

- Marca la casilla de activacin de las actualizaciones.


- Utiliza el desplegable para establecer cada cunto tiempo deseas que se
busquen nuevas actualizaciones.

Si es necesario se puede establecer la fecha en la que tendrn lugar


las actualizaciones automticas y la franja horaria. Se permite
seleccionar: El da o los das de la semana en los que se quiere realizar
la actualizacin.

90
Gua para administradores de red

-
El intervalo de das del mes en los que se realizar la actualizacin.

-
El intervalo de fechas en los que se realizar la actualizacin.

-
Indica qu familias de equipos se reiniciarn de forma automtica
despus de aplicar una actualizacin.
La actualizacin no se aplicar hasta el reinicio del equipo. Si no se activa la casilla de reinicio
automtico y el equipo no se reinicia de forma manual pasados 15 das, el agente empezar a
mostrar mensajes al usuario para que reinicie el equipo.

- Adems, es posible definir la franja horaria en la que se realizar la actualizacin

10.2.2 Actualizacin del archivo de identificadores

- Marca la casilla para activar la actualizacin automtica.


- Selecciona en el desplegable la periodicidad con la que deseas que se realice la
bsqueda de actualizaciones.

91
Gua para administradores de red

- Selecciona si es necesario ejecutar un anlisis en segundo plano cada vez que el


archivo de identificadores se haya actualizado.
Se recomienda deshabilitar esta opcin en entornos virtuales ya que al existir varias mquinas
compitiendo por el mismo hardware fsico, al actualizarse las firmas en todas ellos se podran llegar
a dar problemas de rendimiento

10.2.3 Funcionalidad Peer to Peer o Rumor


La tecnologa Peer to Peer, tambin conocida como "rumor", consiste en una funcionalidad
de tipo P2P que reduce el consumo de ancho de banda de la conexin a Internet, dando
prioridad a que los equipos que ya han actualizado un archivo desde Internet lo compartan
con otros que tambin necesitan actualizarlo. As se evitan los accesos masivos a Internet y
los consiguientes colapsos.
La funcionalidad P2P es de gran utilidad en el despliegue de Adaptive Defense 360 a la
hora de descargarse el programa de instalacin. Cuando una de las mquinas ha
descargado de Internet el programa de instalacin, las otras tienen conocimiento de ello
por medio de sus respectivos agentes de comunicacin, que han sido activados y han
puesto en marcha el proceso de instalacin de Adaptive Defense 360.
En lugar de acceder a Internet acceden a la mquina que posee el programa de
instalacin y lo cogen directamente de ella. A continuacin, se realiza la instalacin.

Pero esta funcionalidad es muy til tambin en el caso de actualizaciones del motor de la
proteccin y del archivo de identificadores, y se implementa en los dos procesos locales
que necesitan descargar ficheros de Internet: WalUpd y WalUpg.
La activacin se hace en los ficheros de configuracin walupd.ini y walupg.ini,
situados en la carpeta InstallDir del directorio de instalacin de Adaptive Defense 360:
WALUPD.ini
[GENERAL]
UPDATE_FROM_LOCAL_NETWORK=1
WALUPG.ini
[GENERAL]
UPGRADE_FROM_LOCAL_NETWORK=1

92
Gua para administradores de red

La funcionalidad P2P funciona de forma independiente en cada uno de estos procesos


locales, pudiendo estar activo nicamente en uno de ellos.

Funcionamiento
Cuando una mquina termina de actualizar los ficheros de firmas o alguna proteccin (o
el propio agente) enva por broadcast la informacin de los ficheros que tiene disponibles
al resto de mquinas de la red.
En cuanto al envo de la informacin para WALUpg, en caso de ser necesario algn reinicio
despus de la instalacin/actualizacin de las protecciones, si el usuario opta por no
reiniciar el equipo inmediatamente sino ms tarde, la informacin de la funcionalidad P2P
se enviar de forma inmediata en lugar de esperar al reinicio.
El funcionamiento se muestra en el siguiente diagrama:

Las mquinas que reciben el mensaje guardarn la informacin que han recibido para
utilizarla cuando la necesiten.

93
Gua para administradores de red

Si una mquina necesita algn fichero, antes de intentar descargarlo de Internet


comprobar si puede obtenerlo de otra mquina. Si es as enviar un mensaje a la mquina
que lo tiene disponible para solicitrselo. El fichero se recibir de forma asncrona y se
esperar un tiempo mximo a recibirlo antes de reintentar.
La mquina que tiene el fichero recibir un mensaje de solicitud y como respuesta enviar
un mensaje con el fichero.
La mquina que pidi el fichero lo recibir y podr proseguir con la actualizacin o
upgrade.

10.3. Actualizacin de sistemas Linux

10.3.1 Actualizacin de la proteccin


En equipos con sistema operativo Linux no es posible realizar una actualizacin remota, por
lo que cuando exista una nueva versin de la proteccin sta deber instalarse de nuevo
en los equipos.
Cuando transcurran 7 das desde que exista una versin de la proteccin superior a la que
los equipos tienen instalada, los equipos con sistema operativo Linux aparecern como
"desactualizados" en la ventana Estado.

10.3.2 Actualizacin del archivo de identificadores


En equipos con sistema operativo Linux, no es posible configurar la periodicidad de la
actualizacin automtica del archivo de identificadores. Se har siempre cada 4 horas.

10.4. Actualizacin de sistemas Mac OS X

10.4.1 Actualizacin de la proteccin


En equipos con sistema operativo OS X la actualizacin de la proteccin se realiza de forma
automtica, aunque es posible desactivarla desde la consola de administracin.
Transcurridas 72 horas desde que exista una versin de la proteccin superior a la que los
equipos tienen instalada, los equipos se mostrarn como desactualizados en la ventana
Estado.

10.4.2 Actualizacin del archivo de identificadores


En el caso de los equipos con sistema operativo OS X, no es posible configurar la
periodicidad de la actualizacin automtica del archivo de identificadores, por lo que se
realizar cada hora.
Transcurridas 48 horas desde que exista una versin del archivo de identificadores superior
a la que los equipos tienen instalada, los equipos se mostrarn como desactualizados en la
ventana Estado.

94
Gua para administradores de red

10.5. Actualizacin de sistemas Android

10.5.1 Actualizacin de la proteccin


La actualizacin de la proteccin Android se publicar en la Google Play y el agente
mostrar un aviso de forma automtica para que el usuario acepte a la actualizacin
desde el propio terminal.

10.5.2 Actualizacin del archivo de identificadores


Las actualizaciones del archivo de identificadores se pueden realizar de forma automtica.
Adems, tambin se puede elegir que estas actualizaciones se realicen exclusivamente
por medio de redes Wi-Fi.

95
Gua para administradores de red

11. Grupos
rbol de grupos
Tipos de grupo
Creacin de grupos de tipo manual
Creacin de grupos automticos por
direcciones IP
Creacin de grupos automticos por Directorio
activo
Mover equipos de forma manual a un grupo
Editar y eliminar grupos
Restricciones de grupo

96
Gua para administradores de red

11.1. Introduccin

Adaptive Defense 360 permite organizar mediante agrupaciones los equipos de la red con
caractersticas de proteccin y seguridad comunes.
De esta forma, en redes de ms de 10 PCs es usual crear varios grupos que contengan a
todos los equipos con requisitos de seguridad similares, como por ejemplo los PCs de un
departamento, los equipos manejados por usuarios de una misma categora en la empresa
o con conocimientos informticos equivalentes etc.
La creacin y gestin de grupos se realiza desde la ventana Equipos o desde la ventana
Configuracin mediante los tres iconos situados en la parte inferior del rbol de grupos.

11.1.1 Pertenencia de un equipo a un grupo


En Adaptive Defense 360 un equipo nicamente puede pertenecer a un grupo en un
momento concreto. La pertenencia de un equipo a un grupo u otro se establece de varias
formas:

- En el momento de la instalacin del agente en el equipo tal y como se indica en el


captulo Instalacin de la proteccin
- Moviendo de forma manual los equipos desde la consola de administracin.
Consulta el apartado Mover equipos de forma manual a un grupo en este mismo
captulo.
- Moviendo de forma automtica los equipos que pertenecen a grupos de tipo
automtico. Consulta el apartado Creacin de grupos automticos por IP y el
apartado Creacin de grupos automticos por Directorio Activo en este mismo
captulo para configurar reglas que permitan definir de forma automtica la
pertenencia de los equipos a grupos.

11.2. rbol de grupos

97
Gua para administradores de red

El rbol de grupos es un recurso accesible desde la ventana Equipos y desde la ventana


Configuracin y permite observar la jerarqua de grupos y subgrupos creada hasta el
momento.

El nodo padre est situado en la parte superior y de l cuelgan todos los grupos y subgrupos
definidos por el administrador. Adaptive Defense 360 se entrega con un grupo DEFAUL pre
generado que, por defecto agrupar a todos los dispositivos con un agente instalado.

El nodo padre recibe el nombre de Todos y est representado por el icono .


No se podr modificar, borrar ni asignar perfiles de proteccin al nodo padre

Cada nodo del rbol de grupos cuenta con una flecha situada a la izquierda que permite
desplegarlo en caso de que contenga subgrupos.

11.3. Tipos de grupos

Grupo manual

Se identifican en la consola Web con el icono


Son grupos de tipo esttico: la pertenencia de los equipos a este tipo de grupo no vara a
lo largo del tiempo a no ser que el administrador los mueva de forma manual mediante la
herramienta Mover. Consulta ms adelante el apartado Mover equipos de forma manual.

Grupo automtico por direcciones IP


Se identifican en la consola Web con el icono
Este tipo de grupo est formado por subgrupos y cada uno de ellos lleva asociadas reglas
configuradas por el administrador que describen los rangos de IPs de los equipos que
contienen. De esta forma, al mover un equipo a un grupo de tipo Automtico por
direcciones IP Adaptive Defense 360 consulta la IP del equipo y mueve el equipo de forma
automtica al subgrupo que concuerde con las reglas definidas en l.

Grupo automtico basado en Directorio Activo

Se identifican en la consola Web con el icono


Este tipo de grupo est diseado para replicar la estructura del Directorio Activo de la
organizacin. Al aadir un equipo a un grupo automtico basado en Directorio Activo,

98
Gua para administradores de red

Adaptive Defense 360 crear en la consola Web de forma automtica la estructura de


subgrupos necesaria para poder mover el equipo al grupo al que pertenece en el
Directorio Activo.

11.4. Creacin de grupos de tipo manual

- Haz clic en la pestaa Configuracin.


- Si se quiere crear un subgrupo selecciona primero el grupo padre en el rbol de
grupos.
- Si se quiere crear un grupo de primer nivel selecciona el grupo padre Todos

- A continuacin, haz clic en el icono Se mostrar una ventana con los


parmetros a configurar

- Introduce el nombre del grupo y selecciona el perfil de proteccin que deseas


asignar al grupo aadido. Para obtener ms informacin sobre perfiles de
proteccin consulta el captulo Perfiles de proteccin.
No es posible crear grupos cuyo nombre coincida con el de otro grupo del mismo nivel

- Selecciona el Tipo de grupo: Manual.


Haz clic en Aadir. El grupo creado se aadir en el rbol de grupos.

11.5. Creacin de grupos automticos por direcciones IP

El proceso de creacin de estos grupos es el mismo que los grupos manuales, pero
seleccionando Automtico por direcciones IP en Tipo de grupo.
Una vez creado el grupo se mostrar la ventana de edicin. Desde esta ventana se podrn
crear y configurar las reglas automticas para el grupo que se acaba de crear.

99
Gua para administradores de red

Haciendo clic en el icono se mostrar la pantalla de creacin de reglas.

En la pantalla de creacin de reglas ser necesario especificar:

- El nombre de la regla
- El perfil de proteccin que se asignar a la regla
- El o los rangos de IPs que forman la regla.

Una vez terminada la configuracin haz clic en Ok para finalizar la creacin de la regla.
Cada una de las reglas as creadas genera automticamente un subgrupo dentro del
grupo de tipo Automtico por direcciones IP creado en el paso previo. Los equipos que
pertenezcan a un grupo de tipo Automtico por direcciones IP se movern
automticamente al subgrupo apropiado en funcin de su direccin IP.

11.5.1 Importacin desde archivos .csv


A la hora de establecer las reglas automticas para el grupo, stas pueden ser importadas
desde un archivo .csv. Haz clic en Importar y Seleccionar para localizar el archivo .csv en
tu disco duro.

Formato del archivo .csv que se desea importar


El archivo .csv debe mostrar los datos de la siguiente forma:

En cada lnea se podrn mostrar de una a tres cadenas de datos separadas por tabulador,
en el siguiente orden:

- Ruta del grupo a crear (desde el origen de la importacin sin incluir el grupo
Todos), por ejemplo: \Justicia, palacio\sala1
- Rango de IP, con dos posibilidades: IP-IP o IP-mscara (este campo es opcional)

100
Gua para administradores de red

- Perfil (este campo es opcional)

En el caso de no especificar rango de IP pero s perfil, habr que utilizar doble tabulador
entre los dos campos visibles (ruta del grupo y perfil):
\PalacioJusticia PJusticia

Otros ejemplos:
\Hospital\Urgencias\Ambu1 10.10.10.10-10.10.10.19
\Hospital\Urgencias
\Hospital\Urgencias\Ambu2 10.10.10.20-10.10.10.29 PAmbulancia
\Hospital\AmbulatorioAreilza 10.10.20.10/22 PerfilAmbulatorio
\Justicia,Palacio\Segunda Instancia 10.10.50.10/12 Justicia 2

Si al importar grupos mediante un archivo .csv la informacin de alguna de las lneas del
fichero no es correcta, se mostrar un error especificando la lnea y cadena cuyo formato
no es vlido. En caso de error en al menos una de las lneas ningn grupo del archivo .csv
ser importado.
Una vez se hayan importado satisfactoriamente grupos mediante un archivo .csv dentro de un grupo
automtico por IP, ya no ser posible volver a repetir esta accin para ese mismo grupo

11.5.2 Funcionamiento de los grupos automticos por IP


La clasificacin de un equipo que pertenece a un grupo automtico por IP y posterior
movimiento al subgrupo apropiado segn su IP se produce en el momento de la instalacin
del agente en el equipo. Si posteriormente ese equipo es movido a otro grupo no se
realizar una reclasificacin.
Los grupos automticos por IP tienen en cuenta todas las IPs del equipo (equipos con alias
de red o varias tarjetas de red fsicas), quedndose con la primera coincidencia que se
encuentre
La bsqueda de grupo se realiza por nivel y despus por orden de creacin de grupo. La
navegacin de los grupos es siempre descendente, si no se encuentra un subgrupo que
coincida con ningn criterio definido, el equipo ser movido al grupo padre

11.6. Creacin de grupos automticos por Directorio Activo

El proceso de creacin de estos grupos es el mismo que los grupos manuales, pero
seleccionando Automtico por Directorio Activo en Tipo de grupo.

11.6.1 Replicacin de la estructura del Directorio Activo automtica


El proceso de generacin y actualizacin de los subgrupos dentro de un grupo automtico
por Directorio Activo en la consola Web se produce de forma automtica para cada
equipo que pertenezca a este tipo de grupo. La cadena de eventos que se ejecuta es la

101
Gua para administradores de red

siguiente:

- El administrador mueve de forma manual el equipo al grupo automtico por


directorio activo o la pertenencia del equipo a este tipo de grupo queda
determinada en su instalacin.
- El agente Adaptive Defense 360 recupera la informacin de Directorio activo al
que pertenece el equipo: Unidad Organizativa, nombre del PC etc.
- Esta informacin es enviada al servidor Adaptive Defense 360. En el servidor se
comprueba si el subgrupo equivalente a la Unidad Organizativa existe en la
consola:
Si no existe se crea de forma automtica y se mueve el equipo al
subgrupo recin creado. Se le asigna el perfil de proteccin Default por
defecto.
Si ya existe el equipo se mueve al subgrupo apropiado.
El rbol de subgrupos que cuelga de un grupo automtico por directorio activo se actualiza
de forma automtica en el caso de que equipos que ya pertenecan al mismo se muevan
otras Unidades Organizativas del Directorio Activo: Adaptive Defense 360 crear de forma
automtica el nuevo subgrupo si fuera necesario y mover el equipo.
No se requiere ninguna configuracin particular en el Directorio Activo, ni en los agentes
Adaptive Defense 360 instalados ni en la consola de administracin. Cada agente recupera
la informacin del Directorio Activo al que pertenece y la enva de forma automtica al
servidor Adaptive Defense 360, actualizando el rbol mostrado en la consola Web.
El envo de los cambios desde el agente Adaptive Defense 360 al servidor se realiza segn lo
configurado en el apartado Opciones de conexin con el servidor del perfil de proteccin
asignado al equipo.

11.6.2 Replicacin de la estructura del Directorio Activo manual


La importacin manual de la estructura del Directorio Activo obedece a uno de los dos
escenarios mostrados a continuacin:

- No todos los equipos de la red tienen un agente Adaptive Defense 360 instalado
que pueda reportar la Unidad Organizativa a la que pertenece, pero el
administrador desea disponer de la estructura del Directorio Activo completa en la
consola Web de administracin.
- El administrador quiere disponer de la estructura completa de grupos y subgrupos
desde el principio y sin necesidad de comenzar el despliegue de los agentes de
Adaptive Defense 360.
Una vez creado el grupo se nos presentar la pantalla de edicin.

Haciendo clic en el botn Import se ofrece la posibilidad de precargar la estructura del


Directorio Activo previamente exportada en formato csv.
El archivo a importar debe tener el siguiente formato:

- Ser un archivo con extensin .csv

102
Gua para administradores de red

- Cada lnea del archivo debe incluir la ruta del grupo, y si se desea el perfil
asociado a ese grupo. Ambos datos debern estar separados por tabulador, es
decir: Group Path tabulador Nombre del Perfil [Opcional]

Ejemplo de fichero .CSV:


activedirectory.org ProfileName
activedirectory.org\Domain Controllers ProfileName
activedirectory.org\Computers ProfileName
activedirectory.org\OrganizationUnit1 ProfileName
activedirectory.org\OrganizationUnit1\Departament1
ProfileName
activedirectory.org\OrganizationUnit1\Departament2
ProfileName

A la hora de realizar la importacin, se visualiza un enlace que mostrar ayuda sobre cmo
generar el archivo csv para la importacin

11.6.3 Visualizacin de la ruta del Directorio activo al que pertenece el


equipo
En la ventana Equipos, seleccionando el equipo que queremos ver accederemos a la
ventana Detalles donde el apartado Ruta del Directorio activo contendr la informacin
solicitada

103
Gua para administradores de red

11.7. Integracin de equipos en un grupo

11.7.1 Integracin manual


Un equipo o grupo de equipos siempre se puede mover a cualquier grupo de forma
manual, ya sea el grupo de tipo manual, Automtico por IP o Automtico por Directorio
Activo.

- En la ventana Equipos, dentro de la pestaa Protegidos, selecciona en el listado


el/los equipos que deseas asignar.
- Haz clic en el botn Mover.

- En la ventana Mover equipos selecciona el grupo/subgrupo en el que desea incluir


el/los equipos.
- Haz clic en el botn Mover.

104
Gua para administradores de red

La asignacin de equipos no es posible realizarla si el permiso del usuario utilizado en la


consola es el de monitorizacin. Para conocer ms sobre permisos de usuario, consulta el
captulo Usuarios.
En caso de intentar mover equipos a un grupo que haya alcanzado su nmero mximo de
instalaciones, se mostrar un mensaje advirtiendo de la imposibilidad de realizar la accin.
Consulta Restricciones de grupos ms adelante en este captulo.

11.7.2 Integracin en la instalacin


Al iniciar el proceso de instalacin de la proteccin en un equipo mediante la descarga
del instalador, hay que seleccionar el grupo en el que se integrar el equipo una vez
terminada la instalacin.
Si el equipo se integra en un subgrupo automtico por direcciones IP, Adaptive Defense 360
mover el grupo al subgrupo apropiado. Si el equipo no encaja con ningn subgrupo
definido ser colocado en el grupo padre.

11.8. Editar y eliminar grupos

Desde la ventana Equipos y Configuracin es posible acceder a las opciones de crear,


eliminar y editar grupo.
El escenario tpico de edicin de un grupo suele ser un cambio de nombre o el cambio del
perfil asignado al grupo y/o a todos los grupos que cuelgan de l.

Editar un grupo manual

Para editar un grupo manual seleccinalo en el rbol y haz clic en el icono

105
Gua para administradores de red

A continuacin, podrs editar el nombre del grupo y asignarle el perfil de la proteccin


que desees, elegido de entre la lista de perfiles que se mostrarn.

En el caso de que el grupo posea subgrupos, podrs aplicar a todos ellos el perfil
seleccionado. Para ello, marca la casilla Asignar el perfil al grupo seleccionado y a todos
sus subgrupos y haz clic en Aceptar.

Editar un grupo automtico por direcciones IP


En este tipo de grupo se distinguen dos casos: la edicin del grupo padre y la edicin de
subgrupos con reglas de IP asociadas.
El caso de la edicin del grupo padre es idntico al caso de un grupo manual, si bien desde
la ventana Configuracin es posible acceder a la edicin de los subgrupos mediante el
botn Editar grupo

106
Gua para administradores de red

Haciendo clic en el botn Editar grupo se acceder a la ventana de edicin donde se


mostrarn las reglas de IPs y subgrupos asociados al grupo automtico por IP.

Editar un grupo automtico por Directorio activo


En este tipo de grupo se distinguen dos casos: la edicin del grupo padre y la edicin de
subgrupos con la estructura del Directorio activo de la empresa.
El caso de la edicin del grupo padre es idntico al caso de un grupo manual, si bien desde
la ventana Configuracin es posible acceder a la edicin de los subgrupos mediante el
botn Editar grupo
No se podr cambiar el nombre de los subgrupos de un grupo automtico por Directorio activo
ya que cualquier modificacin dejara desalineada la estructura generada en la consola de
Adaptive Defense con respecto a la estructura del Directorio activo de la empresa. En este
escenario cualquier modificacin sera revertida en la consola de administracin creando de
nuevo el subgrupo que cambi de nombre y moviendo a ste los equipos.

Eliminar un grupo
Para eliminar un grupo, seleccinalo en el rbol de grupos y a continuacin haz clic en el
icono

A la hora de eliminar un grupo es importante tener cuenta que no es posible eliminarlo si

107
Gua para administradores de red

contiene grupos o subgrupos. Por ello, antes de eliminar un grupo es necesario proceder a
mover los equipos que lo integran, es decir, es necesario asignarlos a otro grupo/subgrupo.
Una vez realizada la asignacin, entonces s se podr eliminar el grupo/subgrupo en
cuestin.

11.9. Restricciones de grupo

Las restricciones de grupo sirven para controlar el nmero de equipos que pueden
pertenecer a un determinado grupo y es especialmente til para partners que desean
asignar un determinado grupo a un cliente concreto. Para ello el administrador puede
establecer el nmero total de equipos que pueden pertenecer a un grupo de forma
simultnea y la duracin de esta pertenencia.
Se recomienda el uso del producto gratuito para partners Panda Partner Center para la gestin
completa del ciclo de vida del cliente. Consulte a su comercial para habilitar el acceso al servicio.

Para activar las restricciones de grupo, en el men Preferencias activa la casilla Permitir
asignar restricciones a los grupos en la zona Restricciones de grupo.
Una vez activada, en las ventanas de creacin de grupo se aadirn dos configuraciones
adicionales:

- Seleccionar fecha de caducidad: Se puede establecer la fecha mxima de


pertenencia de un equipo al grupo. Una vez pasada esa fecha el equipo pasara a
estado Sin licencia.
- Seleccionar nmero mximo de instalaciones: permite determinar el nmero
mximo de equipos que pertenecen al grupo.
Si se intenta mover un equipo a un grupo que ya alcanz el nmero
mximo de instalaciones se visualizar un error en la consola Web de
administracin.

Si se intenta instalar un equipo en un grupo que ya alcanz el nmero


mximo de instalaciones se mostrara un error en el agente local del
equipo.

108
Gua para administradores de red

12. Perfiles de
configuracin
Visin general y planificacin de la proteccin
del parque informtico
Creacin y gestin de perfiles de proteccin
Configuracin general de perfiles de proteccin

109
Gua para administradores de red

12.1. Introduccin

En este captulo sirve de introduccin a la configuracin de los perfiles de seguridad.


El perfil de seguridad es la herramienta principal utilizada en Adaptive Defense 360 para
distribuir la poltica de seguridad definida por el administrador entre los equipos de la red
que ya cuenten con un agente instalado.
Un perfil de seguridad es una configuracin especfica de los mdulos de proteccin, que
se aplica a uno o varios grupos de dispositivos.
Un perfil de seguridad puede contener configuraciones que afecten a plataformas de
distinto tipo, como por ejemplo Windows y Mac OS X. De esta manera, con un nico perfil
de seguridad es posible dar una configuracin de la proteccin a todos los dispositivos de
la red, independientemente del tipo del dispositivo que la reciba.

12.2. Visin general y planificacin de la proteccin del parque


informtico

Para desplegar la configuracin de la seguridad de forma eficiente, es recomendable que


el administrador siga una serie de pasos generales que facilitarn la implementacin de la
poltica de seguridad definida en la empresa, al tiempo que se minimizan posibles fallos y
brechas de seguridad:

1. Estudio y definicin de la poltica de seguridad de empresa

El primero paso que debe de afrontar el equipo responsable de la seguridad en la empresa


es la creacin de una serie de documentos que establezcan el marco de seguridad
requerido por la compaa.
Este marco o poltica de seguridad deber ser compatible con las necesidades de acceso
a la informacin de los usuarios de la red y contemplar el uso de las herramientas
requeridas por los trabajadores para desempear sus tareas sin problemas.
El objetivo final es describir un entorno productivo y seguro para los equipos de la red y para
la integridad de los datos manejados por la compaa, protegiendo sus activos informticos
de accesos no autorizados y evitando las fugas de informacin que puedan daar su
imagen y causar graves perjuicios econmicos.
Para la elaboracin de este documento el equipo encargado de la seguridad necesita
conocer las caractersticas de seguridad y deteccin de comportamientos sospechosos
implementadas en las herramientas de proteccin que utilizar para garantizar un entorno
confiable y productivo; a continuacin, se muestra una tabla de las funcionalidades
asociadas a la seguridad de Adaptive Defense 360 y su disponibilidad en las diferentes
plataformas para dispositivos de usuario.

110
Gua para administradores de red

Caractersticas /
Windows Linux Mac OS X Android
plataforma mnima
Proteccin avanzada
permanente (Audit, x
Hardening, Lock)

Deteccin de robo de
X
datos

Proteccin ante
X
sistemas vulnerables

Proteccin contra virus


X X x
permanente

Proteccin contra virus


X x X x
bajo demanda

Programacin de
X x x x
tareas de anlisis

Proteccin del correo X

Proteccin Web X

Cortafuegos de red X

Cortafuegos de
X
aplicaciones

Sistema de deteccin
X
de intrusos

Filtrado de URL por


X
categoras

Control de dispositivos x

Proteccin antirrobo x

Para servidores de ficheros y correo Adaptive Defense 360 ofrece las siguientes
caractersticas:

111
Gua para administradores de red

Caractersticas / plataforma Windows Microsoft


Mac OS X Linux
mnima Server Exchange
Proteccin avanzada
permanente (Audit, X* X*
Hardening, Lock)

Deteccin de robo de datos X* X*

Proteccin ante sistemas


X* X*
vulnerables

Proteccin contra virus


X X X
permanente

Proteccin contra virus bajo


X X X X
demanda

Programacin de tareas de
X X X X
anlisis

Proteccin de buzones del


X
correo

Proteccin del trfico entre


servidores de correo X
(transporte)

Proteccin antispam X

Filtrado de contenidos X

Cortafuegos de red X X

Cortafuegos de
X X
aplicaciones

Sistema de deteccin de
X X
intrusos

Filtrado de URL por


X X
categoras

Control de dispositivos x X

(*) Tecnologa compatible con plataformas Windows Server, Workstation y Exchange.


Requiere de la ejecucin del PEs sospechoso para su funcionamiento.

112
Gua para administradores de red

2. Generacin de un listado con todos los dispositivos de la empresa a proteger

El objetivo de este punto es determinar los dispositivos de la empresa que recibirn una
configuracin de seguridad de Adaptive Defense 360. Para ello es necesario conocer el
sistema operativo del dispositivo, su rol dentro del parque informtico (servidor, puesto de
trabajo, dispositivo mvil) y el perfil del usuario que lo utilizar, as como el departamento al
que pertenece.

3. Verificar que todos los dispositivos listados tienen un agente Adaptive Defense 360
instalado

Para que los equipos queden integrados en la consola de Adaptive Defense 360 y
protegidos es necesario que tengan instalado un agente y posean una licencia vlida
asignada. Consulta el captulo Instalacin de la proteccin para verificar los
procedimientos de instalacin. Consulta el captulo Gestin de licencias para comprobar
el estado de las licencias de Adaptive Defense 360.

4. Agrupar los dispositivos segn sus caractersticas de seguridad comunes

Desarrollar una estrategia clara de agrupacin de dispositivos es un factor clave a la hora


de gestionar la seguridad de la red; una configuracin de seguridad se aplicar a uno o
ms grupos de equipos, es por lo tanto necesario localizar y reunir a aquellos dispositivos
que tengan idnticos requisitos de seguridad.
Para poder segmentar la red en diferentes grupos es necesario establecer los criterios de
agrupacin que se utilizarn; para ello ser necesario tener en cuenta la informacin del
equipo y del usuario que lo utiliza obtenida en el segundo punto, perfil del usuario que lo
utilizar, plataforma utilizada etc.

5. Creacin de perfiles de seguridad

Un perfil de seguridad es una plantilla de configuracin que se asigna a uno o varios grupos
de dispositivos y define el comportamiento de la proteccin.
Algunas caractersticas configurables dentro de un perfil de seguridad son por ejemplo el
tipo de anlisis que se realizar y sobre qu elementos, nivel de acceso del usuario a los
dispositivos conectados en su equipo, cada cunto tiempo se actualizar la proteccin y
otra serie de parmetros.
El administrador necesitar crear tantos perfiles de seguridad como comportamientos de
seguridad distintos requiera la distribucin de equipos en grupos realizada en el punto
anterior.

6. Asignacin de perfiles de seguridad a grupos

A la hora de asignar perfiles a los grupos creados, las opciones son varias dependiendo del
tamao de la red de la empresa: un mismo perfil se puede aplicar a varios grupos, cada
grupo creado puede tener un perfil diferente o se puede dar el caso de que slo se
necesiten un nico perfil y un nico grupo para redes pequeas o muy homogneas.

113
Gua para administradores de red

Una vez aplicado el perfil de seguridad los dispositivos que forman el grupo quedarn
protegidos segn el comportamiento de la proteccin descrito en el perfil de seguridad
asignado.

12.3. Creacin y gestin de perfiles de proteccin

Toda la gestin de perfiles de proteccin se realiza desde la ventana Configuracin

12.3.1 Creacin de perfiles de proteccin


Si es necesario crear perfiles nuevos, a medida que se creen se mostrarn en la ventana
Configuracin junto al perfil Default ya existente, acompaados de informacin sobre las
protecciones que incluyen.
Despus podrs modificar en cualquier momento la configuracin de un perfil haciendo
clic sobre su nombre y accediendo a la ventana Editar perfil.
Si se intenta asignar a un perfil un nombre ya utilizado para otro, se mostrar un mensaje de
error.

Si no es posible visualizar un perfil que ya existe probablemente no se disponga de permisos para


ello. Consulta el captulo Usuarios para ms informacin.

Para crear un perfil haz clic en el icono en la ventana Configuracin y acceders a


la ventana Editar perfil. Desde aqu podrs configurar el perfil nuevo.

114
Gua para administradores de red

La configuracin de la proteccin de un perfil de proteccin se trata de forma general ms


adelante en este captulo.

12.3.2 Copia de perfiles de proteccin


Adaptive Defense 360 ofrece la posibilidad de realizar copias de perfiles existentes. Esto
resulta til cuando se prevea que la configuracin bsica de un perfil que ya est creado
es susceptible de ser aplicada a otros grupos de equipos con cambios en la poltica de
proteccin.
De esta manera en lugar de crear dicha configuracin bsica cada vez, podr copiar el
perfil para despus personalizarlo y adaptarlo a las circunstancias concretas de proteccin
que necesite.
En la pantalla Configuracin, posiciona el cursor sobre los iconos que muestran las

protecciones activas del perfil que deseas copiar, y haz clic en el icono .

Una vez copiado el perfil, ste se mostrar en la lista bajo el perfil original con el mismo
nombre que tiene el perfil original, aadiendo el texto (copia) al final.

115
Gua para administradores de red

En el caso del perfil DEFAULT, es posible hacer una copia de l, pero el perfil copiado no
tendr la condicin de perfil por defecto ni ser asignado automticamente a ningn
equipo. El perfil DEFAULT original ser siendo el predeterminado.
La copia de perfil ser posible en funcin del tipo de permiso del que se disponga.

12.3.3 Borrado de perfiles de proteccin

De la misma forma seleccionando el icono borraremos el perfil seleccionado.

El borrado de un perfil de proteccin solo es posible si se cumplen todas las condiciones


mostradas a continuacin:

- El perfil de proteccin no es el perfil DEFAULT.


- El usuario que accede a la consola Web de administracin para borrar el perfil de
proteccin tiene permisos suficientes
- El perfil de proteccin no est asignado a ningn grupo de equipos.

Si alguno de los puntos anteriores no se cumple el borrado del perfil de proteccin fallar y
se mostrar un error en la consola Web de administracin.

12.4. Configuracin general de perfiles de proteccin

Una vez creado el perfil podremos configurarlo haciendo clic en el mismo, con lo que se
mostrar una nueva ventana con un men lateral de dos niveles donde se agrupan las
caractersticas, distribuidas segn la plataforma del equipo a proteger (Windows, Linux,

116
Gua para administradores de red

Mac OS X y Android)

La configuracin general se distribuye en tres pestaas

Pestaa Informacin
Se podr dar un nombre al perfil y aadir una descripcin adicional que sirva para
identificar el perfil y seleccionar el idioma en el que se instalar la proteccin.
La configuracin del idioma por defecto de la proteccin slo afectar a los equipos
Windows, ya que la proteccin de Adaptive Defense 360 para OS X se instala siempre en
ingls. En el caso de los dispositivos Android, la proteccin se instalar en el idioma del
dispositivo y, si no est soportada, en ingls.

Pestaa Proxy
Establece cul es la conexin a Internet del equipo, si sta se realiza a travs de proxy y si
se requiere una autenticacin para ello.
Para equipos en roaming con proxy configurado en el perfil de proteccin aplicado, o para
aquellos casos en los que el proxy deje de estar accesible debido a un fallo temporal, el agente
intentar conectarse a Internet por otros medios disponibles.

En el caso de los equipos con sistema operativo Linux, esta configuracin de la conexin a
Internet es necesario hacerla desde el equipo mediante la lnea de comandos.
Seleccionando la casilla Solicitar datos de acceso a Internet en caso de no detectarse
conexin si el agente no consigue acceder a Internet mostrar una ventana al usuario para
que introduzca los datos de conexin.

117
Gua para administradores de red

Pestaa Aplica a
Segn el perfil se vaya asignando a algn grupo o grupos, stos aparecern listados aqu.

118
Gua para administradores de red

13. Perfiles de
proteccin
Windows
Configuracin general
Configuracin de la proteccin avanzada
Configuracin de la proteccin antivirus
Configuracin de la proteccin Firewall y
deteccin de intrusos
Configuracin del control de dispositivos
Configuracin de la proteccin para servidores
Exchange
Configuracin del control de acceso a las
pginas Web

119
Gua para administradores de red

13.1. Introduccin

Toda la configuracin de un perfil de seguridad que aplicar a equipos Windows se realiza


desde la ventana Configuracin, seleccionando el perfil a configurar en el panel de Perfiles
y despus el men lateral Windows y Linux.
Cada uno de los mdulos de proteccin Windows cuenta con una entrada propia en el
men lateral.

13.2. Configuracin general

Haciendo clic en la entrada Windows y Linux del men lateral se muestra una seccin que
contiene cuatro pestaas de configuracin y que permiten determinar el comportamiento
del agente en lo relativo a actualizaciones, anlisis programados, alertas y configuraciones
avanzadas de instalacin y conectividad.

Actualizaciones
Consulte el captulo Actualizacin de la proteccin para obtener informacin sobre las
actualizaciones

120
Gua para administradores de red

Anlisis programados
Utiliza las opciones que se muestran en la pestaa Anlisis programados para crear tareas
de anlisis, peridicas, puntuales o inmediatas y determinar si afectarn a todo el PC o a
determinados elementos del mismo.
Tambin podrs optar por programar anlisis exclusivos de los discos duros o especificar las
rutas concretas en las que se encuentran las carpetas o archivos que deseas analizar.
A medida que se vayan creando tareas de anlisis, stas se irn aadiendo en el listado
principal de la pestaa Anlisis programados de la ventana Editar perfil, desde donde
podrs editarlas o eliminarlas.
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:

- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.

- En la nueva ventana introduce la siguiente informacin:


Nombre: indica el nombre con el que quieres identificar el anlisis que
va a programar.
Tipo de anlisis: selecciona el tipo de anlisis que vas a crear:
Anlisis inmediato: Una vez configurado el anlisis, ste
tendr lugar en el momento en que se produzca la
conexin del equipo con el servidor de Adaptive Defense
360 y se constate que se ha producido alguna modificacin
en la configuracin de la proteccin.
Anlisis programado: el anlisis tendr lugar en la hora y
fecha que se determine en Fecha de comienzo y Hora de
comienzo. Mediante el desplegable es posible determinar si
la hora de comienzo configurada est referida al servidor
Adaptive Defense 360 o es tomada del equipo del usuario.
Anlisis peridico: determine la fecha y hora de comienzo,
y selecciona en el desplegable Repeticin la periodicidad
que desea adjudicar al anlisis.
Analizar: selecciona la opcin que deseas:
Todo el PC: este tipo de anlisis incluye los discos duros y
unidades USB
Discos duros
Otros elementos: Utiliza esta opcin para analizar elementos
concretos almacenados (archivos, carpetas,...). Ser
necesario introducir la ruta en la que se encuentra el
elemento a analizar. El formato de la ruta ha de empezar
por \\equipo, \\IP o (letra de unidad):\
Ejemplos:

121
Gua para administradores de red

\\equipo\carpeta
c:\carpeta1\carpeta2
El nmero mximo de rutas a analizar que podrs introducir
por cada perfil es 10. En funcin del permiso que se posea
se podrn establecer rutas especficas de anlisis.

- Haciendo clic en el link Opciones avanzadas de anlisis accederemos a una


ventana adicional donde se podrn configurar aspectos complementarios de los
anlisis programados:
Si deseas activar el anlisis de archivos comprimidos, marca la casilla
correspondiente.
Selecciona el software malintencionado que deseas analizar. Virus
siempre estar activo.
Puedes analizar todo por defecto o excluir del anlisis determinadas
extensiones, carpetas o archivos. En este caso utiliza los botones Aadir,
Vaciar y Eliminar para conformar la lista de exclusiones.

Alertas
Aqu se podrn configurar los dos tipos de alertas generadas por el endpoint Adaptive
Defense 360:

- Alertas locales: son las alertas que mostrar el agente en el equipo del usuario
cuando se detecte malware en los equipos, intentos de intrusin o dispositivos no
permitidos

- Alertas por correo: son las alertas que enviar al administrador el agente Adaptive
Defense 360 por correo, alertando del malware encontrado en los equipos y de las
violaciones de las polticas definidas en el mdulo de Control de Dispositivos.

Al activar la casilla Enviar alertas por correo se podr introducir informacin relativa al

122
Gua para administradores de red

correo electrnico que contendr la alerta:

- Desde: permite indicar la direccin de correo origen de la alerta. Esta direccin


deber de corresponder a un buzn gestionado por el servidor de correo indicado
ms adelante, o al menos ser aceptada por el servidor de correo configurado
para su reenvo. En caso de no indicar una direccin de correo la alerta se enviar
con el campo origen nombre_equipo@panda.local
- Asunto del mensaje: permite aadir un asunto al mensaje para que el
administrador pueda aadir filtros a su cliente de correo que le permitan ordenar
los mensajes de alertas recibidos.
- Direccin de correo: se pueden indicar varias direcciones de correo separadas por
el carcter ;
- Servidor SMTP que enviar la alerta: direccin IP del servidor de correo de la
empresa. Deber ser accesible desde el endpoint Adaptive Defense 360
- El servidor requiere autenticacin: si el servidor de correo no es open relay para las
direcciones IP internas de la empresa, ser necesario suministrar credenciales para
el envo del correo. El envo de las credenciales es compatible con el protocolo
ESMTP extensin AUTH LOGIN.

El endpoint enviar un correo al administrador con informacin bsica de la alerta:

- Tipo de malware: se especifica la categora del malware detectado


- Equipo afectado: nombre del equipo donde se ha producido la alerta
- Ruta (si aplica)
- Fichero (si aplica): nombre del fichero donde se detect la amenaza
- Accin aplicada: medida de resolucin automtica realizada por el endpoint

Se enviar una alerta cada vez que se realice una de las siguientes acciones:

- Deteccin de malware
- Deteccin de operacin no autorizada sobre un dispositivo por el mdulo de
Control de dispositivos

Para evitar el bloqueo del buzn de correo del administrador, Adaptive Defense 360 entrar
en modo epidemia cuando se detecten ms de 20 eventos del mismo malware o del
mismo dispositivo en menos de un minuto. A partir de este momento se enviar un nico
correo cada cinco minutos con un resumen del nmero de sucesos detectados. Para salir
del modo epidemia es necesario que en el ltimo minuto no se hayan producido dos o
ms sucesos de ese tipo.

Opciones avanzadas
Aqu se podrn especificar aspectos que tienen que ver con la instalacin de la proteccin
en los equipos, as como con la conexin de stos a Internet y a los servidores de Adaptive
Defense.
Tambin se podrn configurar opciones relacionadas con la cuarentena de los archivos
sospechosos.

- Instalacin: Especifica en qu directorio quieres instalar la proteccin. Adaptive


Defense 360 muestra por defecto una ruta que podr ser modificada.
- Desinstalar automticamente otras protecciones: Se podr especificar si Adaptive

123
Gua para administradores de red

Defense 360 desinstalar productos de la competencia instalados previamente en


el equipo o si, por el contrario, ambos productos podrn convivir. Consulta el
captulo Instalacin de la proteccin para ms informacin.
- Conexin con la Inteligencia Colectiva: El administrador podr desactivar los
anlisis con la Inteligencia Colectiva. Es recomendable mantener activa esta
opcin si desea disfrutar de toda la proteccin que la Inteligencia Colectiva
proporciona.
- Conexin con el servidor: Determina cada cunto tiempo deseas que el equipo
enve informacin a los servidores de Adaptive Defense 360 acerca del estado de
la proteccin instalada. El intervalo debe de estar entre 12 y 24
Centralizar todas las conexiones con el servidor a travs del siguiente
equipo: Especifica el equipo a travs del cual desea que se centralicen
las conexiones con el servidor de Adaptive Defense 360. Para ello,
marca la casilla y haz clic en el botn Seleccionar. En la pantalla
Seleccin de equipo elije el equipo o bscalo mediante el botn
Buscar. A continuacin, haz clic en Aceptar.
- Opciones de cuarentena: permite establecer la ruta dentro del equipo del usuario
donde se depositarn los elementos restaurados de la cuarentena.
- Contrasea de administracin: La contrasea de administracin le permite realizar
tareas de desinstalacin y configuracin de la proteccin local en modo
administrador. Es decir, con la misma contrasea podrs desinstalar Adaptive
Defense 360 de los equipos en los que est ha instalado o permitir que sea el
usuario de dichos equipos quien active o desactive las protecciones desde la
consola local de Adaptive Defense 360. No se trata de opciones excluyentes, por
lo que se puede optar por seleccionar ambas a la vez.

13.3. Configuracin de la proteccin avanzada

La proteccin avanzada establecer los diferentes modos de bloqueo frente al malware


desconocido y proteger al equipo de APTs y amenazas avanzadas.

Modo

- Auditoria: En el modo auditoria Adaptive Defense 360 solo informa de las


amenazas detectadas, pero no bloquea ni desinfecta el malware encontrado.
- Hardening: permite la ejecucin de los programas desconocidos ya instalados en
el equipo del usuario. Los programas desconocidos que vienen del exterior
(Internet, correo y otros) sern bloqueados hasta su clasificacin. Los programas
clasificados como malware sern movidos a cuarentena.
No informar del bloqueo al usuario del equipo: las notificaciones del
agente generadas por el bloqueo de programas desconocidos y
origen externo no se muestran al usuario.
Informar del bloqueo al usuario del equipo: Adaptive Defense 360
mostrar un mensaje en el equipo del usuario cada vez que se bloquee
la ejecucin de un programa.
- Lock: Bloquea la ejecucin de todos los programas desconocidos hasta que estn
clasificados.
No informar del bloqueo al usuario del equipo
Informar del bloqueo al usuario del equipo: el usuario recibe un aviso
del agente instalado explicando la razn del bloqueo
Dar la opcin de ejecutar: muestra al usuario una ventana en su equipo
durante 1 minuto que le permitir elegir si el elemento desconocido se

124
Gua para administradores de red

ejecutar bajo su responsabilidad o no. Esta exclusin es permanente


hasta que el administrador modifique su configuracin desde la
consola Web.
Exclusiones

Esta configuracin afecta tanto a la proteccin antivirus como a la proteccin avanzada.

Permite configurar elementos en los equipos de la red que no sern analizados por la
proteccin Adaptive Defense 360

- Extensiones: permite especificar extensiones de ficheros que no sern analizadas.


- Carpetas: permite especificar carpetas cuyo contenido no ser analizado.
- Ficheros: permite especificar ficheros concretos que no sern analizados.

Uso de la red
Para los ficheros ejecutables encontrados en el equipo del usuario y que sean
desconocidos para la plataforma Adaptive Defense 360 el agente enviar el fichero al
servidor para su anlisis. El impacto en el rendimiento de la red del cliente debido al envo
de los ejecutables desconocidos est configurado de forma predeterminada (mximo de
50 Mbytes por hora y agente) para pasar completamente desapercibido. Un fichero
desconocido se enva una sola vez para todos los clientes que usan Adaptive Defense 360.
Adems, se han implementado mecanismos de gestin del ancho de banda con el
objetivo de minimizar el impacto en la red del cliente.
Para configurar el nmero mximo de megas que un agente podr enviar en una hora
introducir el valor y hacer clic en Ok. Para establecer transferencias ilimitadas dejar el valor
a 0.

Privacidad
Para que Adaptive Defense 360 pueda incluir el nombre y la ruta completo de los ficheros
enviados para su posterior visualizacin en los informes y en las herramientas de anlisis
forense, activar la casilla apropiada en la pestaa Privacidad.

13.4. Configuracin de la proteccin antivirus

Mediante las pestaas Archivos, Correo y Web podrs configurar el comportamiento


general de la proteccin antivirus para el perfil que ests creando.
La accin a ejecutar por Adaptive Defense 360 ante un fichero de tipo malware o
sospechoso queda definida en los laboratorios de Panda Security y sigue las siguientes
pautas:

Ficheros conocidos como malware desinfectables


Se desinfectan y se elimina el fichero original quedando sustituido por una copia
desinfectada y sin peligro para el usuario.

Ficheros conocidos como malware no desinfectable

125
Gua para administradores de red

Para los casos en los que no sea posible una desinfeccin el fichero ser movido a
cuarentena

Archivos
En esta pestaa se puede configurar el comportamiento bsico de la proteccin antivirus
en lo que a la proteccin del sistema de ficheros se refiere

- Selecciona la casilla Activar proteccin permanente de archivos.


- A continuacin, marca la casilla correspondiente si deseas que la proteccin de
archivos incluya a los archivos comprimidos.
- Selecciona los tipos de malware que deseas que sean detectados por la
proteccin.
Virus: proteccin contra programas que se pueden introducir en los
ordenadores produciendo efectos nocivos e incluso destructivos e
irreparables
Herramientas de hacking y PUPs: proteccin contra programas que
puede ser utilizados por un hacker para causar perjuicios a los usuarios
de un ordenador y proteccin contra Programas potencialmente no
deseados
Si la proteccin permanente de archivos esta activada la deteccin de Virus no se podr
desactivar.

A continuacin, selecciona las tecnologas de deteccin por comportamiento:

- Bloquear acciones maliciosas: activas tecnologas anti exploit que analizan


localmente el comportamiento de los procesos buscando actividad sospechosa.
Para definir exclusiones haz clic en Opciones avanzadas donde se mostrar la pestaa
Exclusiones explicadas en el apartado anterior Configuracin de la proteccin avanzada

Correo
En esta pestaa se podr configurar cul va a ser el comportamiento de la proteccin
antivirus del perfil que est creando, en lo que a correo electrnico se refiere.

- Activa la proteccin permanente de correo y la de archivos comprimidos si deseas


que la proteccin se aplique tambin a este tipo de archivos.
- Selecciona el tipo de malware que desea detectar marcando la casilla
correspondiente.
Virus
Hacking tools y PUPs
Sospechosos
Phishing: programas que intenta conseguir informacin confidencial de
un usuario de forma fraudulenta. Normalmente la informacin que se
trata de lograr tiene que ver con contraseas, tarjetas de crdito o
cuentas bancarias.

En Opciones avanzadas acceders a la ventana de exclusiones donde se pueden definir


extensiones de ficheros adjuntos que no sern tratadas por la proteccin
Para acceder a opciones avanzadas de proteccin de correo consulta el apartado dedicado a
Exchange Server ms adelante en este mismo captulo.

126
Gua para administradores de red

Web
En esta pestaa se podr configurar el funcionamiento de la proteccin para la
navegacin Web. De esta manera el administrador evitar que los usuarios se vean
afectados por malware o phishing procedente de pginas Web.
Esta proteccin va desactivada por defecto. Para activarla, sigue los siguientes pasos:

- Marca la casilla para activar la proteccin permanente para navegacin Web en


estaciones y/o servidores Windows.
- Si deseas activar la deteccin de phishing en las pginas Web, marca la casilla
correspondiente.
La deteccin de virus se encuentra siempre activada.

13.5. Configuracin de la proteccin Firewall y deteccin de intrusos

Adaptive Defense 360 ofrece tres herramientas bsicas a la hora de filtrar el trfico de red
que recibe o enva el equipo protegido:

- Proteccin mediante reglas de sistema: se trata de las tradicionales reglas que


describen las caractersticas de la comunicacin: puertos, IPs, protocolos etc. con
el objetivo de permitir o denegar los flujos de datos que coincidan con las reglas
establecidas.
- Proteccin de programas: establece un conjunto de reglas que permitan o
denieguen la comunicacin a determinados programas instalados en el equipo
de usuario
- Sistema de deteccin de intrusos: permite detectar patrones de trfico
malformado que afecten a la seguridad o al rendimiento del equipo protegido,
rechazando dichos patrones.
Lo primero que debe hacerse a la hora de configurar la proteccin del firewall es decidir si
los usuarios configurarn el firewall desde sus equipos (firewall en modo usuario) o si ser el
administrador quien se encargue de ello (firewall en modo administrador).

Firewall en modo usuario


Selecciona la opcin que permite que la configuracin del firewall la establezca el usuario
de cada equipo.
En este caso el usuario podr acceder a la configuracin del firewall desde el agente de
su equipo.

Firewall en modo administrador


Si, por el contrario, prefieres que la configuracin se realice desde la consola Web, ser el
propio administrador quien establezca las limitaciones, bloqueos, permisos y, en definitiva,
la configuracin del firewall que se aplicar a los equipos que elegidos.
Si se opta por este mtodo de administracin centralizada del firewall desde la consola
Web, mantn la opcin por defecto Aplicar la siguiente configuracin al firewall.
Tambin tendrs que establecer si la configuracin de la proteccin firewall se aplicar a
servidores y/o estaciones Windows. Utilice para ello las casillas correspondientes.

127
Gua para administradores de red

General
Los equipos de usuario porttiles pueden conectarse a redes con un grado de seguridad
muy diverso, segn se trate de accesos pblicos, como pueden ser las redes wifi de un
cibercaf, o redes gestionadas o de acceso limitado como la red de la empresa. Para
ajustar el comportamiento por defecto del cortafuegos el administrador de la red deber
de seleccionar el tipo de red al que se conectan usualmente los equipos del perfil
configurado.

- Red pblica: Una red de este tipo es propia de cibercaf, aeropuertos, etc.
Conlleva limitacin de su nivel de visibilidad y en su utilizacin, sobre todo a la hora
de compartir archivos, recursos y directorios
- Red de confianza: Este tipo de red generalmente es de oficina o casera. El equipo
es perfectamente visible para el resto de equipos de la red, y viceversa. No hay
limitaciones al compartir archivos, recursos y directorios
La variacin del comportamiento del endpoint Adaptive Defense 360 segn la red
seleccionada se refleja en la consola en el nmero de reglas aadidas de forma
automtica. Estas reglas se pueden ver en la pestaa Programas y Sistema como reglas de
Panda

Programas
En esta pestaa se pueden establecer qu programas del usuario se podrn comunicar
con la red y cules no.
Para desarrollar una correcta estrategia de proteccin es necesario seguir los pasos
mostrados a continuacin en el orden indicado:

1. Establecer la accin por defecto en Accin por defecto.

- Permitir acceso establece la estrategia de permitir las conexiones de los programas


que no haya sido definido su comportamiento mediante una regla en el siguiente
paso. Este es el modo por defecto y considerado bsico.
- Denegar acceso establece la estrategia de denegar las conexiones de los
programas que no haya sido definido su comportamiento mediante una regla en
el siguiente paso. Este es el modo avanzado ya que requiere aadir reglas con
todos los programas que los usuarios utilizan de forma habitual; de otro modo las
comunicaciones de esos programas sern denegadas, afectando probablemente
a su buen funcionamiento.

2. Haz clic en el botn Aadir para definir el comportamiento especfico de una


aplicacin concreta:

- Permitir entrantes y salientes: El programa se podr conectar a la red (Internet y


redes locales) y tambin permitir que otros programas o usuarios se conecten con
l. Existen ciertos tipos de programas que requieren este tipo de permisos para
funcionar correctamente: programas de intercambio de archivos, aplicaciones de
chat, navegadores de Internet, etc.
- Permitir salientes: El programa se podr conectar a la red, pero no aceptar
conexiones externas por parte de otros usuarios o aplicaciones.
- Permitir entrantes: El programa aceptar conexiones externas de programas o
usuarios procedentes de Internet, pero no tendr permisos de salida.
- No permitir ninguna conexin: El programa no podr acceder a la red.

128
Gua para administradores de red

Prevencin de intrusiones
La prevencin de intrusiones permite detectar y rechazar trfico mal formado y preparado
para impactar en el rendimiento o la seguridad del equipo a proteger. Este tipo de trfico
puede provocar un mal funcionamiento de los programas del usuario que lo reciben y
puede derivar en problemas serios de seguridad, permitiendo la ejecucin de aplicaciones
del usuario de forma remota por parte del hacker, extraccin y robo de informacin etc.
Adaptive Defense 360 identifica 15 tipos de patrones genricos que pueden ser activados
o desactivados haciendo clic en la casilla apropiada. A continuacin, se detallan los tipos
de trfico mal formado soportados y una explicacin de cada uno de ellos:

- IP explicit path: Se rechazan los paquetes IP que tengan la opcin de explicit


route. Son paquetes IP que no se encaminan en funcin de su direccin IP de
destino, en su lugar la informacin de encaminamiento es fijada de ante mano.
- Land Attack: Comprueba intentos de denegacin de servicios mediante bucles
infinitos de pila TCP/IP al detectar paquetes con direcciones origen y destino
iguales.
- SYN flood lanza inicios de conexin TCP de forma masiva para obligar al equipo a
comprometer recursos para cada una de esas conexiones. Se establece un lmite
mximo de conexiones TCP abiertas para evitar una sobrecarga del equipo
atacado.
- TCP Port Scan: detecta si un equipo intenta conectarse a varios puertos del equipo
protegido en un tiempo determinado. Detiene el ataque denegando las
respuestas al equipo sospechoso. Adicionalmente filtra las respuestas para que el
origen del trfico de scaneo ni siquiera obtenga respuesta de puerto cerrado
- TCP Flags Check: Detecta paquetes TCP con combinaciones de flags invlidas.
Acta como complemento a las defensas de Port Scanning al detener ataques
de este tipocomo "SYN & FIN" y "NULL FLAGS" y a la de OS identification ya que
muchas de estas pruebas se basan en respuestas a paquetes TCP invlidos
- Header lengths
IP: Se rechazan los paquetes entrantes con un tamao de cabecera IP
que se salga de los lmites establecidos.
TCP: Se rechazan los paquetes entrantes con un tamao de cabecera
TCP que se salga de los lmites establecidos.
Fragmentation control: Realiza comprobaciones sobre el estado de los
fragmentos de un paquete a reensamblar, protegiendo de ataques de
agotamiento de memoria por ausencia de fragmentos, redireccionado
de ICMP disfrazado de UDP y scanning de mquina disponible.
- UDP Flood: Se rechazan los paquetes UDP que llegan a un determinado
puerto si exceden en cantidad a un nmero determinado en un periodo
determinado.
- UDP Port Scan: Proteccin contra escaneo de puertos UDP.
- Smart WINS: Se rechazan las respuestas WINS que no se corresponden con
peticiones que el equipo haya enviado
- Smart DNS: Se rechazan las respuestas DNS que no se corresponden con peticiones
que el equipo haya enviado
- Smart DHCP: Se rechazan las respuestas DHCP que no se corresponden con
peticiones que el equipo haya enviado
- ICMP Attack: Este filtro implementa varias comprobaciones:
SmallPMTU: Mediante la inspeccin de los paquetes ICMP se detectan
valores invlidos en el tamao del paquete utilizados para generar una
denegacin de servicio o ralentizar el trfico saliente.
SMURF: Envo de grandes cantidades de trfico ICMP (echo request) a

129
Gua para administradores de red

la direccin de broadcast de la red con la direccin de origen


cambiada (spoofing) a la direccin de la vctima. La mayora de los
equipos de la red respondern a la vctima, multiplicando el trfico por
cada equipo de la subred. Se rechazan las respuestas ICMP no
solicitadas si ests superan una determinada cantidad en un segundo.
Drop unsolicited ICMP replies: Se rechazan todas las respuestas ICMP no
solicitadas o que hayan expirado por el timeout establecido.
- ICMP Filter echo request: se rechazan las peticiones de Echo request.
- Smart ARP: Se rechazan las respuestas ARP que no se corresponden con peticiones
que el equipo protegido haya enviado para evitar escenarios de tipo ARP cache
poison.
- OS Detection: Falsea datos en respuestas al remitente para engaar a los
detectores de sistemas operativos y as evitar posteriores ataques dirigidos a
aprovechar las vulnerabilidades asociadas al sistema operativo detectado. Esta
defensa se complementa con la de TCP Flags Check.

Sistema
En esta pestaa se pueden definir reglas tradicionales de filtrado de trfico TCP/IP. Adaptive
Defense 360 extrae el valor de ciertos campos de las cabeceras de cada paquete que
reciben o envan los equipos protegidos y explora el listado de reglas introducido por el
administrador. Si alguna regla coincide con el trfico examinado se ejecuta la accin
asociada.
Mediante las reglas de sistema se pueden establecer reglas de conexin que afectarn a
todo el sistema, independientemente del proceso que las gestione, y son prioritarias con
respecto a las reglas configuradas anteriormente para la conexin de los programas a la
red.
Para desarrollar una correcta estrategia de proteccin frente a trfico no deseado o
peligroso es necesario seguir los pasos mostrados a continuacin, en el orden que se indica:

1. Establecer la accin por defecto del cortafuegos en Accin por defecto, situada
en la pestaa Programas.

- Permitir acceso establece la estrategia de permitir las conexiones que no hayan


sido definido su comportamiento mediante reglas en el siguiente paso. Por la
misma razn expuesta anteriormente en la pestaa Programas, este es el modo
bsico de configuracin: todas las conexiones no descritas mediante reglas vistas
ms adelante en el paso 2 sern aceptadas.
- Denegar acceso establece la estrategia de denegar las conexiones que no haya
sido definido su comportamiento mediante reglas en el siguiente paso. Por la
misma razn expuesta anteriormente en la pestaa Programas, este es el modo
avanzado de configuracin: todas las conexiones no descritas mediante reglas
vistas ms adelante en el paso 2 sern automticamente denegadas.

2. Haz clic en el botn Aadir para agregar reglas que describen conexiones de
forma especfica junto a una accin asociada.

El orden de las reglas en la lista no es aleatorio, su aplicacin se evala en orden


descendente y, por lo tanto, al desplazar una regla hacia arriba o abajo en la lista, se
modificar la prioridad en su aplicacin.

130
Gua para administradores de red

A continuacin, se describen los campos que forman una regla de sistema:


- Nombre de regla: nombre de la regla. No se admiten repetidas
- Accin a realizar: Establece la accin que ejecutar Adaptive Defense 360 si la
regla coincide con el trfico examinado.
Permitir: permite el trfico
Denegar: bloquea el trfico. Se hace un Drop de la conexin
- Sentido: establece la direccin del trfico para protocolo orientados a conexin
como TCP
Salientes: trafico saliente
Entrantes: trafico entrante
- Zona
- Protocolo: permite especificar el protocolo de la regla. Segn el protocolo
elegido el campo local ports cambiar para ajustarse a sus caractersticas
TCP
UDP
ICMP
IP Types
- Puertos locales / Servicios / Protocolos: dependiendo del tipo de protocolo elegido
se mostrar un campo u otro:
Puertos locales: permite especificar los puertos locales de TCP y UDP. Se
muestra un desplegable con los puertos ms comunes y un campo
personalizado para agregar cualquier puerto entre el rango 0-65535.
Para introducir varios puertos independientes es necesario separarlos
por comas. En caso de querer utilizar rangos es necesario utilizar el
guin. (Ej: 80, 25, 120-134)
Servicios: permite especificar el subtipo de mensaje ICMP
Protocolos: permite especificar el protocolo de nivel superior que
viajar en el paquete IP examinado.

13.6. Configuracin del control de dispositivos

Dispositivos de uso comn como las llaves USB, las unidades de CD/DVD, dispositivos de
imgenes, bluetooth, mdems o telfonos mviles pueden constituir tambin una va de
infeccin para los equipos cuya seguridad es necesario preservar.
La opcin de configuracin del control de dispositivos permite determinar cul ser el
comportamiento de este tipo de proteccin para el perfil que se est creando. Para ello
hay que seleccionar el dispositivo o dispositivos que se desea autorizar y asignar un nivel de
utilizacin.
Para activar el control de dispositivos sigue los pasos mostrados a continuacin:

- Marca la casilla Activar el control de dispositivos.


- Elige en el desplegable correspondiente el nivel de autorizacin que se desea
aplicar al dispositivo que es interesante configurar
En el caso de las llaves USB y las unidades CD/DVD se puede elegir
entre bloquear, Permitir lectura o Permitir lectura y escritura.
Para Bluetooth, dispositivos de imgenes, modems USB y telfono

131
Gua para administradores de red

mviles las opciones son Permitir y Bloquear.

13.6.1 Exclusiones de dispositivos


Se puede dar el caso de que no se permita el uso de determinado tipo de dispositivos y
que, sin embargo, sea necesario autorizar el uso de un dispositivo en particular de ese tipo
en concreto.
Se puede solventar esta situacin elaborando una "lista blanca", es decir, una lista de
dispositivos cuyo uso se permitir, aunque pertenezcan a grupos de dispositivos que se
hayan marcado como no autorizados.
Para ello Adaptive Defense 360 elabora un listado de dispositivos conectados por cada
equipo. Haciendo clic en Aadir dentro de Dispositivos permitidos se nos mostrar este
listado del cual podremos elegir aquellos dispositivos que queramos excluir del bloqueo
general configurado.

13.6.2 Exportar e importar listas de dispositivos permitidos


Una vez la lista de dispositivos permitidos est finalizada podrs exportarla a un archivo de

132
Gua para administradores de red

texto. Esta operacin tambin puede realizarse a la inversa: es decir, configurar en un


archivo de texto la lista con los datos de los dispositivos que se desean permitir y a
continuacin importar esa lista desde la consola Web de Adaptive Defense 360.
Para exportar e importar listados de exclusiones ya configurados utiliza los botones Exportar
e Importar

13.6.3 Autorizar dispositivos una vez bloqueados


Cada vez que un dispositivo no autorizado intenta conectarse al equipo, Adaptive Defense
360 toma nota de ello y lo refleja en el Detalle de detecciones.
Este listado de detecciones est disponible desde el panel de control en la ventana Estado
> Origen de las detecciones > Dispositivos bloqueados.
Dentro del detalle de la deteccin encontrars el botn Permitir este dispositivo.

Al hacer clic en dicho botn podrs seleccionar a qu perfiles de la proteccin afectar


la autorizacin del dispositivo, es decir, el dispositivo se incluir en la lista de Dispositivos
permitidos para los perfiles seleccionados.

13.6.4 Obtencin del identificador nico del dispositivo


En el caso de querer utilizar dispositivos sin restricciones, pero sin esperar a que el usuario
conecte los dispositivos en su equipo para poder excluirlos de forma manual, es posible
obtener el identificador de estos dispositivos. Para ello sigue los pasos siguientes:

- En el Administrador de dispositivos de Windows, accedemos a las propiedades del


dispositivo USB que queremos identificar de forma nica para excluirlo
- Accedemos a la pestaa Detalles y seleccionamos la propiedad Recursos en el
desplegable Propiedad. A continuacin, debera mostrarse un valor llamado
CM_DEVCAP_UNIQUEID

133
Gua para administradores de red

- De nuevo en el desplegable Propiedad, seleccionamos Ruta de acceso a instancia


del dispositivo y obtendremos el identificador nico de dispositivo
En el supuesto de que no se nombre ningn valor denominado CM_DEVCAP_UNIQUEID no
ser posible realizar la identificacin del dispositivo de forma nica. Lo que s podremos
hacer es utilizar como identificador el correspondiente al hardware del dispositivo.
En el desplegable Propiedad selecciona Identificador de hardware y se mostrar el
identificador correspondiente, que ser el que podremos utilizar. En este caso al usar este
identificador se excluir del control de dispositivos a todos los productos USB de la gama
que posean ese identificador, ya que no habr manera de diferenciar a unos de otros.
Una vez que tengamos los identificadores nicos podremos elaborar una lista blanca e
importarla tal y como se ha mostrado en el punto anterior.

13.6.5 Alertas
Segn cmo sea la configuracin para los dispositivos, se mostrar al usuario un aviso
advirtiendo de ello.

- Dispositivos no permitidos
Cuando la proteccin detecte que se ha conectado al equipo un dispositivo cuyo uso no
est permitido por el perfil de seguridad que se ha aplicado para ese equipo, se mostrar
un aviso al respecto advirtiendo al usuario que no tiene permiso para acceder a dicho
dispositivo.

- Dispositivos con permiso de solo lectura


El dispositivo conectado se mostrar con normalidad en el directorio Mi PC del equipo. Al
hacer doble clic sobre la unidad, se mostrar un aviso advirtiendo de que el usuario no
tiene permiso para escribir en el dispositivo.

13.7. Configuracin de la proteccin para servidores Exchange

Si se disponen de las licencias apropiadas, desde la consola Web se podr activar la


proteccin para servidores Exchange y aplicarla a cualquier servidor Exchange
administrando.
La proteccin para servidores Exchange es aplicable a las versiones 2003, 2007, 2010, 2013 y
2016

La proteccin para servidores Exchange est compuesta por los mdulos Antivirus, Anti-
spam y Filtrado de contenidos
Adems, segn el momento de anlisis de Adaptive Defense 360 en el flujo de correo, se
distinguen dos formas de proteccin: proteccin de buzones y proteccin de transporte.
Como los modos de proteccin no estn disponibles para todos los mdulos de proteccin
ni para todas las versiones de Exchange, la tabla mostrada a continuacin muestra las
combinaciones admitidas

134
Gua para administradores de red

Mdulo / modo Antivirus AntiSpam Filtrado de contenidos

Buzn 2003, 2007, 2010

2003, 2007, 2010, 2003, 2007, 2010, 2003, 2007, 2010, 2013,
Transporte
2013, 2016 2013, 2016 2016

Proteccin de buzones
Se utiliza en los servidores Exchange con el rol de Mailbox y permite analizar las carpetas /
buzones en backgroud o cuando el mensaje es recibido y almacenado en la carpeta del
usuario.
La proteccin de buzones solo se ofrece para el mdulo Antivirus en los servidores Exchange
2003, 2007 y 2010

Proteccin de transporte
Se utiliza en servidores Exchange con el rol de Acceso de clientes, Edge Transport y Mailbox
y permite analizar el trfico que es atravesado por el servidor Exchange.

13.7.1 Antivirus
Analiza en busca de virus, herramientas de hacking y programas potencialmente no
deseados sospechosos, con destino a buzones situados en el servidor Exchange
El administrador tiene la posibilidad de activar o desactivar la proteccin de buzones y/o
de transporte haciendo clic en la casilla apropiada.

Proteccin de los buzones


El comportamiento de la proteccin de los buzones es ligeramente diferente segn se trate
de Exchange 2013 2016 y el resto.

- En Exchange 2013 y 2016 no se permite manipular el mensaje; si contiene un


elemento peligroso se introduce ntegro en cuarentena. El usuario protegido con
Adaptive Defense 360 recibir un mensaje con el asunto original, pero con el
cuerpo sustituido por un mensaje de advertencia, indicando que en caso de
querer recuperar el mensaje original contacte con el administrador de la red.
- En el resto de versiones de Exchange se realiza la accin programada por Panda
Security ante la deteccin de un elemento clasificado como malware: desinfectar
el adjunto si es posible o introducirlo en cuarentena si no es posible. El usuario
protegido con Adaptive Defense 360 recibir el mensaje con los adjuntos
desinfectados o, en caso de que no fuera posible su desinfeccin, contendrn un
fichero security_alert.txt de sustitucin describiendo el motivo de la deteccin.

13.7.2 Anti-spam
Para activar o desactivar esta proteccin, utiliza la casilla de verificacin Detectar spam

Accin para mensajes de spam

- Dejar pasar el mensaje: Se aadir la etiqueta Spam al Asunto de los mensajes.


Esta ser la opcin configurada por defecto.

135
Gua para administradores de red

- Mover el mensaje a... Ser necesario especificar la direccin de correo electrnico


a la que se mover el mensaje, con la etiqueta Spam aadida en el Asunto.
- Borrar el mensaje
- Marcar con SCL (Spam Confidence Level).

SCL
SCL -Spam Confidence Level- es una escala de valores comprendidos entre el 0 y el 9 que
se aplican a los mensajes de correo electrnico susceptibles de ser spam. El valor 9 se
asigna a los mensajes que con total probabilidad son spam. El 0 es el valor que se aplica a
los mensajes que no son spam. Este valor SCL se puede utilizar para marcar los mensajes
que posteriormente sern tratados en funcin de un umbral configurable en el Directorio
Activo: la proteccin adjudica al mensaje el valor SCL correspondiente y le permite pasar.
A continuacin, ser el administrador, en funcin del umbral determinado en el Directorio
Activo, quien seleccione la accin que finalmente se realizar con el mensaje.

Direcciones y dominios permitidos y denegados


Utilizando los botones Aadir, Eliminar y Vaciar, podrs configurar listas de direcciones y
dominios cuyos mensajes no sern analizados por la proteccin anti-spam (lista blanca) o,
por el contrario, otra lista de dominios y direcciones cuyos mensajes sern interceptados
por la proteccin y eliminados (lista negra).
A la hora de configurar las listas es importante tener en cuenta lo siguiente:

- Si un dominio se encuentra en la lista negra y una direccin perteneciente a dicho


dominio se encuentra en la lista blanca, se permitir dicha direccin, pero no el
resto de direcciones del dominio.
- Si un dominio se encuentra en la lista blanca y una direccin perteneciente a
dicho dominio se encuentra en la lista negra, dicha direccin no ser aceptada,
pero s el resto de direcciones de dicho dominio.
- Si un dominio (por ejemplo: domain.com) se encuentra en la lista negra y un
subdominio de este (ej: mail1.domain.com) se encuentra en la lista blanca, se
permitirn direcciones de dicho subdominio, pero no el resto de direcciones del
dominio o de otros subdominios diferentes.
- Si un dominio se encuentra en la lista blanca tambin se considerarn incluidos en
la lista blanca todos sus subdominios.

Filtrado de contenidos
El filtrado de contenidos le permite filtrar los mensajes de correo electrnico en funcin de
cul sea la extensin de los archivos adjuntos incluidos en ellos.
Una vez establecida la lista de mensajes susceptibles de albergar adjuntos sospechosos,
podr indicar qu accin desea que la proteccin realice con dichos mensajes.
Tambin se puede aplicar el filtrado de contenidos a mensajes que incluyan adjuntos con dobles
extensiones

- Considerar archivos adjuntos peligrosos los que tienen las siguientes extensiones:
Marca esta casilla si deseas considerar como peligrosos los archivos adjuntos con
alguna extensin determinada. Una vez marcada la casilla, utiliza los botones
Aadir, Eliminar, Vaciar o Restaurar para configurar la lista de extensiones que
deseas bloquear.

136
Gua para administradores de red

- Considerar archivos adjuntos peligrosos todos los que tienen doble extensin,
excepto en los siguientes casos: el filtrado de contenidos impedir la entrada de
todos los mensajes de correo electrnico con adjuntos de doble extensin,
excepto aquellos cuyos adjuntos tengan las extensiones que usted seleccione.
Utilice los botones Aadir, Eliminar, Vaciar o Restaurar para configurar la lista de
dobles extensiones que s permitir.
- Accin a realizar: selecciona si deseas que los mensajes se borren o si prefieres
desviarlos a otra direccin de correo electrnico. Esto puede resultarle til para
analizar a posteriori, con calma, los adjuntos recibidos y modificar si as lo desea la
lista de extensiones seleccionadas como peligrosas

Registro de detecciones
Todas las detecciones producidas en un servidor Exchange son almacenadas localmente
en un archivo CSV. De esta forma se ofrece al administrador de la red la posibilidad de
obtener informacin adicional acerca de la imposibilidad de entrega de los mensajes a sus
destinatarios.
El fichero recibe el nombre ExchangeLogDetections.csv y se almacena en la carpeta
%AllUsersProfile%\Panda Security\Panda Cloud Office
Protection\Exchange

El contenido del fichero se dispone en formato tabular con la siguiente distribucin de


campos:

- Date: fecha de la llegada del correo al servidor Exchange


- From: remitente del correo
- To: destinatario del correo.
- Subjet: asunto del correo.
- Attachments: listado con los ficheros adjuntos al correo.
- Protection
- Action

13.8. Configuracin del control de acceso a las pginas Web

Con esta proteccin el administrador de la red podr restringir el acceso a determinadas


categoras Web y configurar URLs a las que autorizar o restringir el acceso. Esto
contribuir a la optimizacin del ancho de banda de la red y a la productividad del
negocio.

Denegar el acceso a pginas Web


Las pginas Web se agrupan en 59 categoras. Tan solo es necesario seleccionar aquellas
categoras a las que se desea denegar el acceso, y se podrn modificar las categoras
seleccionadas siempre que sea necesario.
Para ello marca la casilla correspondiente para activar el control de acceso a pginas
Web para estaciones Windows, servidores Windows o ambos y selecciona las categoras a
las que se quiere denegar el acceso.

137
Gua para administradores de red

Cuando desde el equipo se intente acceder a una pgina Web que pertenece a una
categora de las anteriores, se mostrar un aviso en el navegador del usuario indicando
el motivo de la denegacin de acceso.

Cuando se modifiquen las categoras a las que se desea restringir o permitir el acceso,
transcurrir un plazo mximo de 15 minutos hasta que los equipos recojan la nueva
configuracin. Durante este intervalo de tiempo el comportamiento del control de acceso a
pginas Web ser el anterior a la modificacin

Denegar el acceso a pginas de categora desconocida


Tambin es posible denegar el acceso a pginas no categorizadas, Para ello es necesario
activar la casilla Denegar acceso a las pginas cuya categora sea desconocida
En Intranets o Webs de tipo interno que se conectan a travs de los puertos 80 u 8080 puede
suceder que se clasifiquen como pertenecientes a una categora desconocida y, por tanto, se
deniegue el acceso a ellas con el consiguiente perjuicio para los usuarios. Para mitigar esta
situacin el administrador podr aadir las pginas Web desconocidas que sean necesarias a la
lista blanca de exclusiones explicada a continuacin

Lista de direcciones y dominios permitidos o denegados


Es posible especificar listas de pginas Web a las que siempre se permitir o denegar el
acceso. Es lo que se denomina lista blanca (acceso permitido) o lista negra (acceso
denegado).
Podrs modificar ambas listas en cualquier momento en funcin de sus necesidades.

- Introduce en la caja de texto la URL del dominio o direccin.


- Haz clic en Aadir.
- Utiliza los botones Eliminar y Vaciar para modificar la lista en funcin de sus
necesidades.
- Finalmente, haz clic en Aceptar para guardar la configuracin.

Base de datos de URLs accedidas desde los equipos


Cada uno de los equipos recopila en una base de datos informacin sobre las URL a las
que se ha accedido desde l. Esta base de datos solo se puede consultar en local, es decir,

138
Gua para administradores de red

desde el propio equipo, durante un plazo de 30 das.


Los datos almacenados en la base de datos son:

- Identificador del usuario.


- Protocolo (http o https).
- Dominio.
- URL
- Categoras devueltas.
- Accin (Permitir/denegar).
- Fecha de acceso.
- Contador acumulado de accesos por categora y dominio.

13.9. Configurar horarios del control de accesos a pginas Web

Con la configuracin de horarios podrs restringir dentro de la semana el acceso a


determinadas categoras de pginas Web y listas negras durante las horas de trabajo, y
autorizarlo en el horario no laborable o en el fin de semana.
Para activar el control horario de accesos a pginas Web elija la opcin Activar solo
durante las siguientes horas

A continuacin, selecciona las horas en las que se quiera que el control horario est
activado. Para activarlo slo en un horario determinado, marca la casilla correspondiente
y utiliza la cuadrcula para sealar las horas en las que se activar.

- Para seleccionar das completos haz clic en el da de la semana indicado.


- Para seleccionar una misma hora en todos los das de la semana haz clic en la
hora indicada
Se usar la hora local de cada equipo y no la hora del servidor Adaptive Defense 360

139
Gua para administradores de red

14. Perfiles de
proteccin
Linux
Configuracin general
Configuracin de la proteccin antivirus

140
Gua para administradores de red

14.1. Introduccin

La configuracin de un perfil de seguridad que aplique a equipos Linux se realiza desde la


ventana Configuracin, seleccionando el perfil a configurar en el panel de Perfiles y
despus el men lateral Windows y Linux.
En este captulo nicamente se detallarn las configuraciones soportadas por los sistemas
Linux

14.2. Configuracin general

Actualizaciones
En el caso de los equipos con sistema operativo Linux no es posible realizar una
actualizacin automtica, por lo que cuando exista una nueva versin de la proteccin
sta deber instalarse de nuevo en los equipos.
Cuando transcurran 7 das desde que exista una versin de la proteccin superior a la que
los equipos tienen instalada, los equipos con sistema operativo Linux aparecern como
"desactualizados" en la ventana Estado, momento en el que el administrador podr
proceder a instalar la versin superior en los equipos.
En el caso de los equipos con sistema operativo Linux, no es posible configurar la
periodicidad de la actualizacin automtica del archivo de identificadores., se har
siempre cada 4 horas.

Anlisis programados
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:

- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.

- En la nueva ventana introduce la siguiente informacin:


Nombre: indica el nombre con el que quieres identificar el anlisis que
se va a programar.
Tipo de anlisis: selecciona el tipo de anlisis que se va a crear:

141
Gua para administradores de red

Anlisis inmediato: Una vez configurado el anlisis, ste


tendr lugar en el momento en que se produzca la
conexin del equipo con el servidor de Adaptive Defense
360 y se constate que se ha producido alguna modificacin
en la configuracin de la proteccin.
Anlisis programado: el anlisis tendr lugar en la hora y
fecha que se determine en Fecha de comienzo y Hora de
comienzo. Mediante el desplegable es posible determinar si
la hora de comienzo est referida al servidor Adaptive
Defense 360 o es tomada del equipo del usuario.
Anlisis peridico: determina la fecha y hora de comienzo,
y selecciona en el desplegable Repeticin la periodicidad
que desea adjudicar al anlisis.
Analizar: selecciona la opcin que desea:
Todo el PC: este tipo de anlisis incluye los discos duros y
unidades USB
Discos duros
Otros elementos: Utiliza esta opcin para analizar elementos
concretos almacenados (archivos, carpetas...). Ser
necesario introducir la ruta en la que se encuentra el
elemento a analizar. El formato de la ruta ha de empezar
por /
Ejemplo: /root/documents
- Haciendo clic en el link Opciones avanzadas de anlisis accederemos a una
ventana adicional donde se podr configurar aspectos complementarios de los
anlisis programados:
Si deseas activar el anlisis de archivos comprimidos, marca la casilla
correspondiente.
Selecciona el software malintencionado que desea analizar. Hacking
tools y PUPs y Virus siempre estn activos.
Puedes analizar todo por defecto o excluir del anlisis determinadas
extensiones, carpetas o archivos. En este caso utiliza los botones Aadir,
Vaciar y Eliminar para conformar la lista de exclusiones.

Alertas
Las alertas no estn soportadas en Linux

Opciones avanzadas

- Instalacin: La ruta de instalacin no es configurable.


- Conexin a la inteligencia colectiva: no es posible desactivar la conexin con la
Inteligencia Colectiva, por lo que siempre que los equipos estn conectados a
Internet la proteccin instalada en ellos se alimentar de ella.
- Opciones de conexin con el servidor: esta opcin no est disponible en Linux
- Opciones de cuarentena: la cuarentena no est soportada en Linux
- Contrasea de administrador: esta opcin no est disponible en Linux

14.3. Configuracin de la proteccin antivirus

En equipos Linux no existe proteccin permanente de ficheros. De esta forma el mtodo

142
Gua para administradores de red

para proteger los equipos pasa por la realizacin de anlisis bajo demanda o la
programacin de anlisis peridicos explicados en el apartado anterior.

143
Gua para administradores de red

15. Perfiles de
proteccin
Mac OS X
Caractersticas particulares de la proteccin
para Mac OS X
Configuracin general de la proteccin para
OS X
Configuracin de la proteccin antivirus

144
Gua para administradores de red

15.1. Introduccin

Toda la configuracin de un perfil de seguridad que aplica a equipos Mac OS X se realiza


desde la ventana Configuracin, seleccionando el perfil a configurar en el panel de Perfiles
y despus el men lateral OS X.

15.2. Caractersticas particulares de la proteccin para Mac OS X

La proteccin para OS X rene una serie de caractersticas propias que la diferencian de


la proteccin para equipos con sistema operativo Windows/Linux. Son las siguientes:

Configuracin de las actualizaciones en equipos con sistema operativo OS X


En el caso de los equipos con sistema operativo OS X, no es posible configurar la
periodicidad de la actualizacin automtica del archivo de identificadores, por lo que se
realizar cada hora.
Transcurridas 48 horas desde que exista una versin del archivo de identificadores superior
a la que los equipos tienen instalada, los equipos se mostrarn como desactualizados en la
ventana Estado.

Frecuencias de las actualizaciones de la proteccin para equipos con OS X


Las frecuencias con que se realizan las actualizaciones de la proteccin para los equipos
con sistema operativo OS X, es la siguiente:

- Actualizacin del fichero de firmas: Cada hora

145
Gua para administradores de red

- Cambios en la configuracin de la proteccin: Cada 4 horas


- Actualizacin de la informacin de detecciones: Cada 6 horas
- Actualizacin de la informacin del estado de los equipos: Cada 12 horas

Actualizacin automtica del motor de la proteccin


En equipos con sistema operativo OS X la actualizacin de la proteccin se realiza de forma
automtica, aunque es posible desactivarla desde la consola Web de administracin.
Transcurridas 72 horas desde que exista una versin de la proteccin superior a la que los
equipos tienen instalada, los equipos se mostrarn como desactualizados en la ventana
Estado. Durante la instalacin se proceder a desinstalar la versin anterior y a instalar la
nueva.

15.3. Configuracin general de la proteccin para OS X

Haciendo clic en el men lateral OS X se accede a la configuracin general de la


proteccin

Anlisis programados
Utiliza las opciones que se muestran en la pestaa Anlisis programados para crear tareas
de anlisis, peridicas, puntuales o inmediatas y determinar si afectarn a todo el Mac o a
determinados elementos del mismo.
Tambin podrs optar por programar anlisis exclusivos de los discos duros o especificar las
rutas concretas en las que se encuentran las carpetas o archivos que deseas analizar.
A medida que se vayan creando tareas de anlisis, stas se irn aadiendo en el listado
principal de la pestaa Anlisis programados de la ventana Editar perfil, desde donde
podr editarlas o eliminarlas.
A continuacin, se indican los pasos necesarios para configurar una nueva tarea de
anlisis:

- Haz clic en el botn Nuevo para acceder a la ventana Edicin de perfil Nueva
tarea de anlisis.
- En la nueva ventana introduce la siguiente informacin:
Nombre: indica el nombre con el que quieres identificar el anlisis que
va a programar.
Tipo de anlisis: selecciona el tipo de anlisis que vas a crear:
Anlisis inmediato: Una vez configurado el anlisis, ste
tendr lugar en el momento en que se produzca la
conexin del equipo con el servidor de Adaptive Defense
360 y se constate que se ha producido alguna modificacin
en la configuracin de la proteccin.
Anlisis programado: el anlisis tendr lugar en la hora y
fecha que se determine en Fecha de comienzo y Hora de
comienzo. Mediante el desplegable es posible determinar si
la hora de comienzo est referida al servidor Adaptive
Defense 360 o es tomada del equipo del usuario.
Anlisis peridico: determina la fecha y hora de comienzo,

146
Gua para administradores de red

y selecciona en el desplegable Repeticin la periodicidad


que desea adjudicar al anlisis.
Analizar: selecciona la opcin que desea:
Discos duros
Otros elementos: Utiliza esta opcin para analizar elementos
concretos almacenados (archivos, carpetas...). Ser
necesario introducir la ruta en la que se encuentra el
elemento a analizar.
El formato de la ruta ha de tener el formato Linux.
Ejemplo:
/root/documents

El nmero mximo de rutas a analizar que podrs introducir


por cada perfil es 10. En funcin del permiso que se posea
se podrn establecer rutas especficas de anlisis.
- Haciendo clic en el link Opciones avanzadas de anlisis accederemos a una
ventana adicional donde se podr configurar aspectos complementarios de los
anlisis programados:
Si deseas activar el anlisis de archivos comprimidos, marca la casilla
correspondiente.
Selecciona el software malintencionado que deseas analizar. Virus
siempre estar activo.
Puedes analizar todo por defecto o excluir del anlisis determinadas
carpetas. En este caso utiliza los botones Aadir, Vaciar y Eliminar para
conformar la lista de exclusiones.

15.4. Configuracin de la proteccin antivirus

Selecciona la casilla Activar proteccin permanente de archivos proteger el sistema de


ficheros de los equipos Mac OS X

Exclusiones
Permite configurar elementos carpetas en los equipos Mac OS X de la red que no sern
analizados por la proteccin Adaptive Defense 360

147
Gua para administradores de red

16. Perfiles de
proteccin
Android
Configuracin de la proteccin antivirus
Configuracin de la proteccin antirrobo

148
Gua para administradores de red

16.1. Introduccin

Toda la configuracin de un perfil de seguridad que aplica a tablets y smartphones Android


se realiza desde la ventana Configuracin, seleccionando el perfil a configurar en el panel
de Perfiles y despus el men lateral Android.
El mdulo de proteccin para dispositivos Android consta de dos apartados: antivirus y
proteccin contra el robo

16.2. Configuracin de la proteccin antivirus

La proteccin antivirus para smartphones Android protege los dispositivos frente a la


instalacin de aplicaciones con malware y PUPs analizando bajo demanda o de forma
permanente el dispositivo mvil y las tarjetas de memoria SD conectadas.
Marca la casilla Activar proteccin permanente antivirus para activar la deteccin frente
al malware. Seleccionando la casilla Detectar PUPs se detectarn adems los programas
potencialmente no deseados.

Exclusiones
La proteccin para Android permite realizar exclusiones de cualquiera de las aplicaciones
instaladas, en su totalidad. Para ello, sigue los siguientes pasos:

- Introduce el nombre del paquete de Android (apk) que deseas excluir de los
anlisis y haz clic en Aadir.
- Utiliza los botones Eliminar y Vaciar si necesitas limpiar o modificar la lista de
exclusiones.

149
Gua para administradores de red

Actualizaciones
Se pueden realizar las actualizaciones del archivo de identificadores de forma automtica
marcando la casilla Activar actualizacin automtica del conocimiento. Adems, tambin
se pueden limitar las actualizaciones nicamente a aquellos momentos en que el usuario
est conectado a una red Wi-Fi para evitar cargos en la tarifa de datos contratada.

Anlisis programados
Para programar un anlisis, haz clic en el botn Nuevo.
Utiliza las opciones que se muestran en la ventana Nueva tarea de anlisis para crear tareas
de anlisis, que podrn ser inmediatas, programadas o peridicas.
A medida que se vayan creando tareas de anlisis, stas se mostrarn en el listado de
anlisis programados del perfil para el que est configurando la proteccin antivirus. Desde
all se podrn editar o eliminar.

- Anlisis inmediato: una vez configurado el anlisis, ste tendr lugar en el


momento en que se produzca la conexin del equipo con el servidor de Adaptive
Defense 360.
- Anlisis programado: el anlisis tendr lugar en la hora y fecha determinadas en la
configuracin. Para ello es necesario que la configuracin de la programacin se
realice con la antelacin suficiente. En caso de no disponer de conexin con el
servidor de Adaptive Defense 360 en la fecha y hora programadas, el anlisis se
realizar en el momento en que se establezca la conexin.
- Anlisis peridico: el anlisis tendr lugar en la hora y fecha que se determine y se
repetir con la periodicidad elegida. Al igual que sucede con el anlisis
programado, es recomendable realizar la programacin del anlisis con
antelacin suficiente para garantizar la existencia de conexin con el servidor de
Adaptive Defense 360. En caso contrario, el anlisis se realizar en el momento en
que se establezca la conexin.

16.3. Configuracin de la proteccin antirrobo

La proteccin antirrobo de Adaptive Defense 360 permite controlar en todo momento los
dispositivos Android de la empresa y determinar cul ser su comportamiento en el caso
de robo o prdida.
Al configurar esta proteccin desde la consola Web Adaptive Defense 360 podrs localizar
los dispositivos, borrarlos, bloquearlos, sacar una fotografa al ladrn y enviarla por correo
electrnico a una direccin concreta.

Para activar esta funcionalidad marca la casilla Activar proteccin antirrobo

- Informar de la localizacin del dispositivo: marca esta casilla si se requiere


informacin sobre la localizacin del dispositivo automticamente.
- Sacar una foto al tercer intento de desbloqueo del dispositivo y enviarla por correo
a las siguientes direcciones: marca esta casilla si deseas recibir un correo
electrnico cuando se detecte actividad en un dispositivo robado. A
continuacin, introduce la direccin o direcciones de correo electrnico a las que
se enviar la fotografa. Separa las direcciones utilizando punto y coma (;). si
adems de la opcin de envo de foto del ladrn, se ha seleccionado

150
Gua para administradores de red

previamente la de localizacin del dispositivo, junto con la foto del ladrn se


recibir el mapa detallando la localizacin del dispositivo.
Una vez realizada esta configuracin, desde la ventana Detalles de equipo podrs ver en
todo momento dnde se encuentra el dispositivo, bloquearlo mediante una clave y
modificar la direccin de correo electrnico para recibir la fotografa.

Privacidad (Modo privado)


Como administrador puedes conceder permiso al usuario de un dispositivo determinado
para que lo utilice en modo privado. Esto permitir al usuario desactivar las opciones
automticas de localizacin del dispositivo y de foto al ladrn
Al activar el modo privado el agente de Adaptive Defense 360 solicitar al usuario el
establecimiento de un cdigo personal de 4 dgitos. Este cdigo le ser requerido al
administrador en la consola Web de administracin cuando decida utilizar las funciones de
localizacin automtica del dispositivo y de foto al ladrn.

151
Gua para administradores de red

17. Visibilidad y
monitorizacin
del malware
Panel de control
Detecciones de malware
Listados de incidencias y malware detectado

152
Gua para administradores de red

17.1. Introduccin

Adaptive Defense 360 le ofrece al administrador de la red cuatro grandes grupos de


herramientas para visualizar el estado de la seguridad del parque informtico:

- Panel de control de informacin actualizada en tiempo real


- Listados de incidencias y malware detectado
- Listados de equipos y dispositivos de la red
- Informes consolidados con informacin recogida a lo largo del tiempo
El listado de equipos y dispositivos de la red y los informes consolidados se tratarn en captulos
posteriores

Con estas cuatro herramientas el administrador podr valorar en todo momento y de forma
muy precisa el potencial riesgo de infeccin de sus equipos gestionados.
El objetivo final de las herramientas de visualizacin y monitorizacin es el de poder
determinar el impacto de las brechas de seguridad y tomar las medidas apropiadas, tanto
para mitigar su efecto como para evitar situaciones equivalentes en el futuro.

17.2. Panel de control

El panel de control de Adaptive Defense 360 es accesible desde la ventana Estado y est
distribuido en dos grandes secciones: Actividad y Detecciones. Cada seccin contiene
diversos paneles que muestran toda la informacin necesaria para que el administrador
pueda determinar el estado de la seguridad de un solo vistazo.
Los paneles se generan en tiempo real y son interactivos: pasando el ratn por encima de
los elementos se muestran tooltips con informacin extendida, y haciendo clic en los
elementos se abrirn ventanas con listados de informacin detallada.
El panel de control muestra la informacin relevante en intervalo de tiempo fijado por el
administrador mediante la herramienta situada arriba a la derecha de la ventana Estado.
Los intervalos disponibles son:

- ltimas 24 h
- ltimos 7 das
- ltimo mes
- ltimo ao

A continuacin, se describe el contenido de los distintos paneles y su objetivo.

17.3. Seccin Actividad

La seccin Actividad muestra la clasificacin de los programas ejecutados y analizados en

153
Gua para administradores de red

los equipos Windows de la red, las incidencias de seguridad detectadas y un acumulado


de los elementos bloqueados desconocidos que estn siendo clasificados por el sistema
Adaptive Defense 360 genera una incidencia en el panel Actividad por cada pareja
equipo amenaza tipo de amenaza distinta encontrada. Si la causa original del aviso no
es resuelta se generarn un mximo de 2 incidencias cada 24 horas por cada equipo
amenaza encontrada que requiera la atencin del administrador.
El panel de Actividad se divide en cuatro zonas:

- Clasificacin de todos los programas ejecutados y analizados


- Programas maliciosos
- Programas potencialmente no deseados
- Elementos actualmente bloqueados en clasificacin

Clasificacin de todos los programas ejecutados y analizados

El objetivo de este panel es determinar de forma rpida el porcentaje de aplicaciones


goodware y malware vistos y clasificados en la red del cliente, para el intervalo establecido
por el administrador. El panel consta de tres barras horizontales junto al nmero de eventos
asociado y el porcentaje sobre el total.
Este panel muestra datos de elementos clasificados para todo el parque informtico, y no solo de
aquellos equipos sobre los cuales el administrador tenga permisos segn sus credenciales de
acceso a la consola. Los elementos no clasificados no se muestran en este panel.

- Aplicaciones confiables: aplicaciones vistas en el parque del cliente que han sido
analizadas y su clasificacin ha sido goodware.
- Aplicaciones maliciosas: aplicaciones vistas en el parque del cliente que han sido
analizadas y su clasificacin ha sido malware.
- Aplicaciones potencialmente no deseadas: aplicaciones vistas en el parque del
cliente que han sido analizadas su clasificacin ha sido malware de tipo PUP
Haciendo clic en cada barra exceptuando la de aplicaciones confiables, se abrir las
ventanas de Listado MW o Listado PUP, mostrados ms adelante en este mismo captulo

Programas maliciosos y programas potencialmente no deseados

154
Gua para administradores de red

La informacin presentada para el intervalo de tiempo fijado incluye datos de aquellos


equipos sobre los cuales el administrador tiene acceso, determinado ste por las
credenciales de acceso a la consola. Si el administrador no tiene permisos sobre todos los
equipos de la red se mostrar un texto explicativo en la parte superior del panel.

- Nmero de incidencias / avisos detectados


- Nmero de equipos con incidencias detectadas
- Acceden a datos: Nmero de avisos que incluyen uno o varios accesos a
informacin del usuario contenida en el disco duro de su equipo.
- Conexiones exteriores: nmero de avisos que establecieron conexiones con otros
equipos.
- Ejecutados: Nmero de muestras malware que se llegaron a ejecutar

Programas maliciosos y programas potencialmente no deseados muestran datos con un intervalo


como mximo de 1 mes. En el caso de que el administrador establezca un periodo de tiempo
mayor se mostrara un texto explicativo en la parte superior del panel.

Haciendo clic en cada uno de los elementos se mostrar la ventana de Estado MW o Estado
PUP, mostrada ms adelante en este mismo captulo.

Elementos actualmente bloqueados en clasificacin

En este panel se reflejan aquellos procesos desconocidos, detectados en la red del cliente
y que requieren de una investigacin en los laboratorios de Panda Security para poder ser
clasificados como goodware o malware. Durante el tiempo que se emplea en su
clasificacin, los elementos pueden ser bloqueados en funcin del modo de configuracin
de la proteccin (Lock, Hardening o Audit).

155
Gua para administradores de red

La informacin mostrada en Elementos Actualmente bloqueados en clasificacin es un


histrico de los elementos bloqueados que an no han sido clasificados. De esta forma,
abarca desde la puesta en marcha del servicio en el cliente hasta el momento actual, y
no se ver afectada por la seleccin del intervalo de tiempo establecida por el
administrador.
El nmero total de elementos bloqueados en clasificacin rrepresenta las aplicaciones diferentes
(distinto MD5) que estn siendo bloqueadas. Este nmero es independiente de la cantidad de
intentos de ejecucin que cada aplicacin bloqueada ha llevado a cabo en cada equipo. Es
posible que diferentes burbujas tengan en mismo nombre de malware. Este es un comportamiento
tpico en malware que utiliza tcnicas de polimorfismo para evitar la deteccin de antivirus
tradicionales basados en ficheros de firmas. Cada versin encontrada del malware (distinto MD5)
ser mostrada de forma independiente

Cada aplicacin se contabiliza una nica vez; esto quiere decir que, si una aplicacin
intenta ejecutarse en varias ocasiones en un mismo equipo, solo se contabilizar una vez.
El tamao de las burbujas ir en funcin del nmero de equipos donde se encontr el
malware y fue bloqueado.

Ejemplo:
En el panel de control se muestra un total de 8 elementos bloqueados en clasificacin. Se
trata de 8 aplicaciones que han sido bloqueadas y se estn investigando. Cada una de
ellas se representa con un crculo.
Supongamos que una de estas aplicaciones ha intentado ejecutarse en un equipo en
treinta ocasiones durante un mismo da. Estas treinta ocasiones, al haberse dado en un
mismo equipo y da, contabilizarn como una de las 8 detecciones que se muestran en el
panel.
En el panel de control, las aplicaciones bloqueadas se muestran con un cdigo de colores:

- Naranja: para las aplicaciones con probabilidad media de ser malware.


- Naranja oscuro: para las aplicaciones con probabilidad alta de ser malware.
- Rojo: para las aplicaciones con probabilidad muy alta de ser malware.
Al pasar el ratn por encima cada crculo se despliega mostrando su nombre completo y
una serie de iconos que representan acciones clave:

- Carpeta: el programa ha ledo datos del disco duro del usuario.


- Bola del mundo: el programa estableci una conexin con otro equipo.

156
Gua para administradores de red

Al hacer clic en el nmero de elementos bloqueados en clasificacin o en alguno de los


crculos, se acceder al detalle de los elementos bloqueados actualmente en clasificacin.

17.4. Seccin Detecciones

La seccin Detecciones consolida todos los intentos de intrusin que Adaptive Defense 360
gestion en el periodo de tiempo establecido.
Los datos reflejados abarcan todos los vectores de infeccin y todas las plataformas
soportadas, de manera que el administrador pueda disponer de datos concretos
(volumen, tipo, forma de ataque) relativos a la llegada a su red de malware que se ha
desarrollado en un periodo de tiempo concreto.

Amenazas detectadas

Este panel tiene dos secciones: un grfico de lneas y un listado.


El diagrama de lneas es un evolutivo de las detecciones encontradas en el parque
informtico separadas por tipo de malware:

- Virus y spyware
- Herramientas de hacking y PUPs
- Sospechosos
- Phising
- Otros.

En el eje de las Ys se muestran el nmero de ocurrencias y en el de las Xs la fecha.


Para simplificar el contenido del panel se puede pasar el puntero del ratn por encima de
las leyendas mostradas en la parte inferior de la grfica; de esta forma el resto de lneas

157
Gua para administradores de red

desaparecer.
El listado de la derecha muestra acciones no directamente relacionadas con malware
encontrado pero importantes para que el administrador pueda revisarlas en busca de
sntomas o situaciones potenciales de peligro.

- Intentos de intrusin bloqueados: son ataques detenidos por el Cortafuegos y el


Sistema de prevencin de intrusos
- Dispositivos bloqueados: perifricos bloqueados por el mdulo de Control de
dispositivos
- Operaciones peligrosas bloqueadas: detecciones realizadas por anlisis del
comportamiento local
- Tracking cookies: cookies detectadas para registrar la navegacin de los usuarios
- URL con malware bloqueadas: direcciones Web que apuntaban a pginas con
malware

Origen de las detecciones

Este panel muestra de forma grfica los vectores de infeccin utilizados por el malware
encontrado en la red.
En el eje de las Y se muestran diversos iconos que representan el vector de infeccin:

- Sistema de ficheros
- Correo local
- Navegacin Web
- Firewall / Sistema de deteccin de intrusos
- Control de dispositivos
- Servidor Exchange
En el eje de las X se indica la fecha del intervalo seleccionado.
El contenido de la grfica est formado por una serie de crculos de diferentes tamaos y
colores. El tamao del crculo refleja la proporcin de ocurrencias encontradas y pasando
el puntero del ratn por un crculo concreto se mostrar un tooltip con la suma de
ocurrencias para una fecha y vector de infeccin determinado.

158
Gua para administradores de red

Spam Detectado

Este panel muestra la cantidad de spam detectado en el servidor Exchange. En el eje de


las X se indica las fechas del intervalo seleccionado.
El contenido de la grfica est formado por una serie de crculos de diferentes tamaos. El
tamao del crculo refleja la proporcin de ocurrencias encontradas y pasando el puntero
del ratn por un crculo se mostrar un tooltip con la suma de ocurrencias para una fecha
determinada.

Mensajes filtrados

Este panel muestra la cantidad de mensajes que fueron filtrados por el filtro de contenidos
del servidor Exchange.
En el eje de las X se indica las fechas del intervalo seleccionado.
El contenido de la grfica est formado por una serie de crculos de diferentes tamaos. El
tamao del crculo refleja la proporcin de ocurrencias encontradas y pasando el puntero
del ratn por un crculo se mostrar un tooltip con la suma de ocurrencias para una fecha.

Accesos a pginas Web

159
Gua para administradores de red

Este panel muestra mediante un grfico de tarta la distribucin de categoras Web


solicitadas por los usuarios de la red. Pasando el puntero del ratn por encima de los
distintos segmentos se mostrar un tooltip con el total de peticiones registradas.

17.5. Listados de la seccin Actividad

Haciendo clic en los diferentes paneles de la seccin Actividad se muestran informes y


listados detallados del malware o del software en estudio encontrado en la red del cliente.
El objetivo de los listados es mostrar al administrador el detalle necesario para poder
localizar el origen los problemas, determinar la gravedad de las incidencias y, si procede,
tomar las medidas necesarias de resolucin y de actualizacin de la poltica de seguridad
de la compaa.
Desde los listados de Actividad tambin es posible aadir exclusiones y desbloquear elementos
bloqueados en investigacin. Consulta ms adelante en este mismo captulo las operaciones
soportadas sobre exclusiones y desbloqueos

Las ventanas de listados tienen una estructura comn mostrada a continuacin:

160
Gua para administradores de red

1 Nombre del listado mostrado


2 Aviso de la existencia de ficheros clasificados como malware por Adaptive Defense
360 que el administrador ha permitido su ejecucin.
3 Intervalo de datos mostrados y herramienta de exportacin de listados: permite al
administrador aplicar los siguientes filtros de tiempo al listado: Ultimas 24 horas, ltimo
da, ltimo mes. La herramienta de exportacin permite salvar los listados mostrados
en un fichero Excel o en formato CSV.
4 Herramienta de filtrado. Cada listado incorpora sus propios filtros en funcin de los
datos presentados, explicados en cada apartado correspondiente.
5 El contenido de todas las tablas mostradas se puede ordenar haciendo clic en los
campos cabecera
6 Al hacer click en el nombre del equipo se muestra informacin extendida:

- Direccin IP: direccin IP del equipo


- Fecha de instalacin: fecha en la que el agente fue instalado en el equipo
- ltima conexin: fecha en la que el equipo se conect con el servidor Adaptive
Defense 360
- Sistema operativo
- Grupo: grupo al que pertenece el equipo
- Modo de proteccin: modo de proteccin extendido configurado para el equipo
actualmente (Audit, Hardening, Lock).
7 Desplegable con informacin de las acciones del malware. Consulta el captulo
Anlisis forense para ms informacin sobre las acciones del malware detectado.
Consulta el captulo Herramientas de resolucin para ms informacin sobre las
herramientas incorporadas en Adaptive Defense 360 para solucionar problemas.
8 Sistema de paginacin para una navegacin ms cmoda.

161
Gua para administradores de red

17.5.1 Listado MW
Haciendo clic en los distintos elementos del panel Programas maliciosos o en Aplicaciones
maliciosas dentro del panel Clasificacin de todos los programas ejecutados y analizados,
se mostrar el listado de las amenazas encontradas en los equipos protegidos con Adaptive
Defense 360.
Sobre el listado se aplicarn de forma automtica diversos filtros en funcin de la zona del
panel seleccionada.
En la parte superior se encuentra la herramienta de bsqueda:

El filtro (1) restringe la bsqueda indicada en la caja de texto (2):

- Equipo: la cadena de bsqueda se aplicar sobre el nombre del equipo


- Nombre: la cadena de bsqueda se aplicar sobre el nombre del malware
- Fecha: la cadena de bsqueda se aplicar sobre la fecha de la deteccin
- MD5: Digest de identificacin del archivo

El filtro (3) muestra las amenazas que satisfagan los criterios seleccionados

- No Ejecutado: malware detectado por la proteccin contra vulnerabilidades


- Ejecutado: el malware se lleg a ejecutar y equipo est infectado
- Acceso a ficheros de datos: el malware realiz accesos a disco para recoger
informacin del equipo o para crear ficheros y los recursos necesarios para su
ejecucin
- Comunicaciones: el malware abri sockets de comunicacin con cualquier
mquina, incluido localhost
- Bloqueado: malware conocido por Adaptive Defense 360 y bloqueada su
ejecucin
- Enviado a cuarentena: el fichero no es desinfectable y se envi a cuarentena
- Eliminado
- Desinfectado: el fichero fue desinfectado por el antivirus
- Permitido por el usuario: malware conocido por Adaptive Defense 360 pero su
ejecucin fue permitida por el usuario.

Los campos de la tabla son los siguientes:

- Equipo: dispositivo donde se realiz la deteccin


- Nombre: nombre del malware
- Ruta: ruta completa donde reside el fichero infectado
- Ejecutado alguna vez: el malware se lleg a ejecutar
- Ha accedido a datos: amenaza ha accedido a ficheros que residen en el equipo
del usuario.
- Se ha comunicado con equipos externos: la amenaza se comunica con equipos
remotos para enviar o recibir datos.

162
Gua para administradores de red

- ltima accin: accin aplicada sobre el malware (bloquear, permitir, enviar a


cuarentena, eliminar, desinfectar, permitir por el usuario
- Fecha: fecha de la deteccin del malware en el equipo

17.5.2 Elementos actualmente bloqueados en clasificacin


En este listado se muestra una tabla con aquellos ficheros que, sin haber sido completada
su clasificacin, de una forma preliminar Adaptive Defense 360 ha detectado algn riego
en su ejecucin. Estos ficheros son bloqueados durante el tiempo empleado en su
clasificacin.
En la parte superior se encuentra la herramienta de bsqueda, que permite elegir entre los
elementos bloqueados en el momento actual y un histrico de todos los elementos
bloqueados hasta la fecha:

Bloqueados actualmente

El control (1) restringe la bsqueda indicada en la caja de texto (2) al campo seleccionado:

- Equipo: la cadena de bsqueda se aplicar sobre el nombre del equipo


- Nombre: la cadena de bsqueda se aplicar sobre el nombre del fichero
bloqueado
- Fecha: la cadena de bsqueda se aplicar sobre la fecha del bloqueo
- MD5: la cadena de bsqueda se aplicar sobre el digest que representa al fichero
bloqueado

El control (3) permite filtrar el listado por el modo de proteccin de Adaptive Defense 360
que provoc el bloqueo (Lock o Hardening), y por el comportamiento mostrado por
el proceso (Acceso a ficheros de datos, Comunicaciones), solo para aquellos elementos
que haya sido permitida su ejecucin con anterioridad y sus acciones hayan quedado
registradas en el sistema.

Los campos de la pestaa Bloqueados actualmente son los siguientes:

- Equipo: Nombre del equipo donde se encontr el fichero desconcido


- Nombre: nombre del fichero desconocido.
- Ruta: indica dnde se ha detectado el fichero desconocido.
- Ha accedido a datos: el fichero desconocido ha accedido a ficheros que residen
en el equipo del usuario.
- Se ha comunicado con equipos externos: el fichero desconocido se comunica con
equipos remotos para enviar o recibir datos.
- Modo de proteccin: especifica el modo en el que se encontraba la proteccin

163
Gua para administradores de red

en el momento de la deteccin del fichero desconocido.


- Probabilidad de que sea malicioso: Media, Alta, Muy Alta
- Fecha: fecha en la que se detect por primera vez el fichero desconocido.

Historial

El control (1) restringe la bsqueda indicada en la caja de texto (2) al campo seleccionado:

- Equipo: la cadena de bsqueda se aplicar sobre el nombre del equipo


- Nombre: la cadena de bsqueda se aplicar sobre el nombre del fichero
bloqueado
- Fecha: la cadena de bsqueda se aplicar sobre la fecha del bloqueo
- MD5: la cadena de bsqueda se aplicar sobre el digest que representa al fichero
bloqueado

El control (3) permite filtrar el listado por diversos criterios, mostrados a continuacin

- Lock: modo de proteccin avanzada cuando se produjo el bloqueo


- Hardening: modo de proteccin avanzada cuando se produjo el bloqueo
- Acceso a ficheros de datos: el fichero desconocido accedi a ficheros que residen
en el equipo del usuario
- Comunicaciones: el fichero desconocido se comunic con equipos remotos para
enviar o recibir datos
- Bloqueado: el fichero desconocido fue bloqueado
- Reclasificado a GW: el fichero desconocido fue reclasificado como Goodware
- Reclasificado a MW: el fichero desconocido fue reclasificado como Malware
- Reclasificado a PUP: el fichero desconocido fue reclasificado como PUP
- Excluido: el fichero desconocido ha sido desbloqueado / excluido por el
administrador para permitir su ejecucin
- No excluido: el fichero desconocido no ha sido desbloqueado / excluido por el
administrador

Los campos de la pestaa Historial son los siguientes:

- Equipo: nombre del equipo donde se encontr el fichero desconocido


- Nombre: nombre del fichero desconocido.
- Ruta: indica dnde se ha detectado el fichero desconocido.
- Accin: accin ejecutada
Bloqueado: el fichero desconocido fue bloqueado
Reclasificado a GW: el fichero desconocido fue reclasificado como
Goodware
Reclasificado a MW: el fichero desconocido fue reclasificado como
Malware
Reclasificado a PUP: el fichero desconocido fue reclasificado como PUP
- Ha accedido a datos: amenaza ha accedido a ficheros que residen en el equipo
del usuario.

164
Gua para administradores de red

- Se ha comunicado con equipos externos: la amenaza se comunica con equipos


remotos para enviar o recibir datos.
- Modo de proteccin: especifica el modo en el que se encontraba la proteccin
en el momento del blqueo.
- Excluido: Se indica si el elemento fue excluido o no de la monitorizacin.
- Probabilidad de que sea malicioso: Media, Alta, Muy Alta
- Fecha.

17.5.3 Listado PUP


Haciendo clic en los distintos elementos del panel Programas potencialmente no deseados
se mostrar el listado de las amenazas encontradas en los equipos protegidos con Adaptive
Defense 360.
Sobre el listado se aplicarn de forma automtica diversos filtros en funcin de la zona del
panel seleccionada.
En la parte superior se encuentra la herramienta de bsqueda equivalente a la de
Programas Maliciosos:

El filtro (1) restringe la bsqueda indicada en el textbox (2) de escritura situado a su derecha
al campo seleccionado:

- Equipo: la cadena de bsqueda se aplicar sobre el nombre del equipo


- Nombre: la cadena de bsqueda se aplicar sobre el nombre del PUP
- Fecha: la cadena de bsqueda se aplicar sobre la fecha de la deteccin
- MD5: Digest de identificacin del archivo

El filtro (3) muestra los programas potencialmente no deseados que satisfagan los criterios
seleccionados

- No Ejecutado: PUP detectado por la proteccin contra vulnerabilidades


- Ejecutado: el PUP se lleg a ejecutar y equipo est infectado
- Acceso a ficheros de datos: el PUP realiz accesos a disco para recoger
informacin del equipo o para crear ficheros y los recursos necesarios para su
ejecucin
- Comunicaciones: el PUP abri sockets de comunicacin con cualquier mquina,
incluido localhost
- Bloqueado: PUP conocido por Adaptive Defense 360 y bloqueada su ejecucin
- Enviado a cuarentena: el PUP no es desinfectable y se envi a cuarentena
- Eliminado
- Desinfectado: el PUP fue desinfectado por el antivirus
- Permitido por el usuario: PUP conocido por Adaptive Defense 360 pero su
ejecucin fue permitida por el usuario.

Los campos de la tabla son los siguientes:

165
Gua para administradores de red

- Equipo: dispositivo donde se realiz la deteccin


- Nombre: nombre del PUP
- Ruta: ruta completa donde reside el fichero infectado
- Ejecutado alguna vez: el PUP se lleg a ejecutar
- Ha accedido a datos: el PUP ha accedido a ficheros que residen en el equipo del
usuario.
- Se ha comunicado con equipos externos: el PUP se comunica con equipos
remotos para enviar o recibir datos.
- ltima accin: accin aplicada sobre el PUP (bloquear, permitir, enviar a
cuarentena, eliminar, desinfectar, permitir por el usuario
- Fecha: fecha de la deteccin del malware en el equipo

17.5.4 Listado detalle de detecciones


El listado de detecciones ofrece informacin consolidada y completa de todas las
detecciones hechas en todas las plataformas y desde todos los vectores de infeccin
soportados que los hackers han utilizado.
Para mostrar este listado es necesario hacer clic en los paneles de Amenazas detectadas
o en Origen de las detecciones, en la seccin Detecciones del panel de control. La
informacin se divide en tres listados:

- Amenazas detectadas
- Equipos con ms amenazas
- Malware ms detectado.

En la barra de herramientas situada en la parte superior es posible elegir el listado a mostrar,


acotar el intervalo de tiempo mostrado y exportar los datos a un fichero. Al pinchar en el
botn Exportar se mostrar una ventana donde se pueden elegir

- Tipo de evento a exportar


- Formato del fichero exportado (Excel, csv)
- Intervalo de los datos exportados (ltimas 24 horas, ltimo mes, ltimo ao)

Listado de Amenazas detectadas


Muestra un listado de amenazas y eventos peligrosos vistos en la red, agrupados por su tipo.

166
Gua para administradores de red

Los grupos incluidos se muestran a continuacin:

- Virus y spyware
- Archivos sospechosos: muestra los ficheros clasificados como sospechosos por el
anlisis heurstico de Adaptive Defense 360
- Herramientas de hacking y PUPs
- URLs con malware: URL que apuntan a pginas Web que contienen malware.
- Acciones peligrosas bloqueadas: muestra los ficheros clasificados como
sospechosos debido a las tcnicas de anlisis de comportamiento
- Phishing y fraude
- Intentos de intrusin bloqueados: detecciones de trafico malformado
- Tracking cookies: muestra las cookies utilizadas para espiar la navegacin de los
usuarios
- Dispositivos bloqueados: perifricos conectados al equipo del usuario que fueron
bloqueados por el administrador.
- Otras amenazas: deteccin de malware con otras clasificaciones no cubiertas en
los apartados anteriores (Jokes etc)

Por cada grupo se incluye un contador con el nmero de ocurrencias encontradas para el
intervalo de tiempo fijado y el tipo de malware elegido.

Pinchando en el icono de un grupo concreto se desplegar su contenido,


estructurado como se muestra a continuacin.

167
Gua para administradores de red

1 Herramientas para filtrar la informacin dentro del grupo


Dependiendo del grupo desplegado se mostrarn unos controles u otros:

- Bsqueda de equipo o grupo


- Lugar de la deteccin:
En cualquier sitio
En el sistema de archivos
En el servidor Exchange
En el correo
- Tipo de dispositivo:
Todos los dispositivos
Unidades de almacenamiento extrables
Dispositivos de captura de imgenes
Unidades de CD/DVD
Dispositivos Bluetooth
Mdems
Dispositivos mviles
- Nmero de filas a mostrar
- Herramientas de paginacin

2 Informacin de los elementos detectados


Dependiendo del grupo desplegado se mostrarn unas columnas u otras

- Equipo: nombre del equipo donde se realiz la deteccin.


- Grupo: grupo al que pertenece el equipo
- Nombre: nombre de la amenaza detectada
- Ruta: Ruta del sistema de ficheros donde reside la amenaza
- Accin: accin desencadenada por Adaptive Defense 360
Borrado: el malware no se pudo desinfectar y ha sido borrado
Desinfectado
En cuarentena

168
Gua para administradores de red

Bloqueado: la ejecucin del malware se impidi mediante su bloqueo


Proceso terminado: el malware se estaba ejecutando y Adaptive
Defense 360 mat el proceso

3 Informacin de elementos especficos


Al hacer clic sobre algunos elementos se muestra informacin extendida del elemento

4 Herramientas de paginacin
Permite especificar el nmero de filas que se mostrar en el grupo y moverse entre pginas.

Equipos con ms amenazas


Este listado aade un nivel de agrupacin con respecto al listado de Amenazas
detectadas de forma que en primer lugar se muestran los equipos con ms detecciones y,
haciendo clic en cada equipo, se mostrar un listado desglosado por tipo de deteccin,
de la misma manera que en el listado Amenazas detectadas.

1 Informacin de los elementos detectados

- Equipo

169
Gua para administradores de red

- Grupo
- Detecciones
- Primera deteccin: fecha de la primera deteccin encontrada en el intervalo
fijado
- Ultima deteccin: fecha de la ltima deteccin encontrada en el intervalo fijado

Malware ms detectado
Muestra un listado con las muestras del malware que ms veces fueron vistos en la red del
cliente.

1 Herramientas para filtrar la informacin del listado

- Nombre de la amenaza o tipo: permite realizar una bsqueda libre indicando el


nombre de la amenaza o su tipo
- Tipo de amenaza: permite seleccionar el tipo de amenazas a mostrar
Virus y Spayware
Herramientas de hacking y PUPs
Tracking cookies
Otras amenazas
2 Informacin de los elementos detectados

- Nombre del malware


- Tipo
- Detecciones
- Primera deteccin
- Ultima deteccin

170
Gua para administradores de red

3 Informacin de elementos especficos


Al hacer clic sobre el nmero de detecciones de una amenaza concreta se muestra el
listado de Amenazas detectadas

Listado Accesos a pginas Web


Se accede haciendo clic en el panel Accesos a pginas Web. El listado de accesos a
pginas Web ofrece informacin consolidada y completa de las categoras de
navegacin Web de los usuarios.
Se divide en cuatro paneles:

- Categoras ms accedidas (top 10)


- Equipos que ms acceden (top 10)
- Categoras ms bloqueadas (top 10)
- Equipos con ms accesos bloqueados (top 10)
Cada panel cuenta con un link Ver listado completo que muestra una ventana con el
listado de accesos ntegro para cada categora.

17.6. Gestin de bloqueados y exclusiones

Adaptive Defense 360 bloquea por defecto todos los programas clasificados como
malware y, adicionalmente, dependiendo de la configuracin de la proteccin avanzada,
tambin bloquear los programas no vistos anteriormente hasta que sean analizados y
emitida una clasificacin sobre su seguridad.

171
Gua para administradores de red

En el caso de que un usuario no pueda esperar a que se emita una clasificacin, o el


administrador quiera permitir la ejecucin de un elemento clasificado como malware,
Adaptive Defense 360 implementa recursos para evitar estos bloqueos de ejecucin
IMPORTANTE: De forma general se desaconseja el desbloqueo de elementos. Los elementos
bloqueados por estar clasificados como peligrosos representan un riesgo cierto para la integridad
de los sistemas de IT de la empresa y los datos almacenados en los mismos. Adaptive Defense
360 emite clasificaciones con un 99999% de precisin. Para los elementos bloqueados por ser
desconocidos existe una probabilidad alta de que terminen siendo clasificados como peligrosos.
Por estas razones se recomienda evitar a toda costa el desbloqueo de elementos desconocidos o
clasificados como malware / PUP

El acto por parte del administrador de la red de retirar el bloqueo impuesto por Adaptive
Defense 360 sobre la ejecucin de un proceso del usuario recibe el nombre de Desbloquear
un elemento si el elemento fue bloqueado por ser desconocido para Adaptive Defense
360, o Excluir un elemento (tambin Aadir una exclusin sobre un elemento) si el elemento
fue bloqueado por haber sido clasificado como peligroso para el cliente (Malware o PUP).

Esquema general
A continuacin, se muestra un diagrama de estados donde se reflejan las diferentes
situaciones por las que pasa un proceso analizado por Adaptive Defense 360, en funcin
de la configuracin de la proteccin avanzada, de la lista de exclusiones creada por el
administrador y de los cambios de estado internos que se produzca a lo largo del tiempo.
El diagrama se descompone en dos ramas presentadas por separado por razones de
claridad: una rama para los ficheros conocidos y otra para los ficheros desconocidos.

17.6.1 Ficheros conocidos

172
Gua para administradores de red

En el caso de un fichero clasificado por Adaptive Defense 360 como Malware y una poltica
de proteccin avanzada distinta de Audit, los ficheros sern bloqueados a no ser que el
administrador genere una exclusin que permita su ejecucin.

17.6.2 Ficheros desconocidos

173
Gua para administradores de red

En el caso de los ficheros desconocidos (sin clasificar) y una poltica de proteccin


avanzada distinta de Audit, los ficheros se bloquearn a no ser que el administrador de la
red genere un desbloqueo. Independientemente del desbloqueo, Adaptive Defense 360
clasificar el fichero y, dependiendo del resultado y de la poltica de reclasificacin
elegida, el fichero se bloquear o se seguir ejecutando.

17.6.3 Desbloquear elementos desconocidos pendientes de clasificacin


Si los usuarios no pueden esperar a que el sistema haya completado la clasificacin para
liberar el bloqueo de forma automtica, el administrador puede utilizar el botn No volver
a bloquear en el listado de Elementos actualmente bloqueados en clasificacin, accesible
desde el panel de control Actividad.

174
Gua para administradores de red

Una vez desbloqueado el elemento desaparecer de la pestaa Bloqueados actualmente


en el listado Elementos actualmente bloqueados en clasificacin ya que el administrador
asume el riesgo de su ejecucin y por lo tanto el sistema no lo bloquear. No obstante,
Adaptive Defense 360 continuar analizando el proceso hasta completar su clasificacin.
El elemento desbloqueado aparecer en el listado de Amenazas y otros elementos
excluidos, mostrado ms adelante en este mismo captulo.

17.6.4 Exclusiones de elementos clasificados como malware o PUP


Excluir un elemento clasificado como malware es la operacin equivalente a desbloquear
un elemento bloqueado sin clasificar, si bien en este caso se est permitiendo la ejecucin
de un programa que Adaptive Defense 360 ya ha clasificado de forma efectiva como
daino o peligroso para el sistema.

Para excluir un elemento clasificado como malware o PUP, el administrador puede utilizar
el botn No volver a detectar en los listados Programas maliciosos y Programas
potencialmente no deseados, accesibles desde el panel de control Actividad.

175
Gua para administradores de red

Una vez excluido el elemento dejar de generar incidentes en los paneles de Actividad
apropiados (Malware o PUP) y se aadir al listado de Amenazas y otros elementos
excluidos tal y como se indica en el siguiente punto.

17.6.5 Acceso a la pantalla de gestin de los elementos excluidos


La gestin de los elementos excluidos y el comportamiento del sistema ante
reclasificaciones de procesos conocidos o desconocidos se realiza desde la ventana
Amenazas y otros elementos excluidos, accesible mediante el botn que se muestra en la
ventana Estado o desde la parte superior de los listados de malware/pup/bloqueados, que
se muestran haciendo clic en un panel de la seccin Actividad del dashboard.

176
Gua para administradores de red

La ventana Amenazas y otros elementos excluidos consta de un control de tipo seleccin


que permite gestionar los ficheros actualmente permitidos o un histrico. Seleccionando
una u otra opcin la ventana cambiar para ajustar su contenido y opciones

17.6.6 Elementos permitidos actualmente


Permite mostrar los elementos que tienen una exclusin activa. Todos los elementos que
aparecen listados tienen permitida su ejecucin.

177
Gua para administradores de red

La ventana Permitidos actualmente contiene las siguientes herramientas:

- Poltica de reclasificacin (1)


- Filtrado de listados (2)
- Exportacin de listados (3)
- Borrado de exclusiones (4)
- Listado de elementos excluidos actualmente (5)

Poltica de reclasificacin (1)


La poltica de reclasificacin permite determinar el comportamiento automtico del
sistema cuando un elemento desbloqueado por el administrador cambia su estado interno
y es necesario tomar una nueva decisin de bloqueo / desbloqueo.

En los casos en los que el administrador desbloquea un elemento desconocido bloqueado,


lo normal es que con el tiempo el elemento pase a ser conocido y clasificado como
Malware o Goodware. Si el elemento anteriormente desconocido es clasificado como
Goodware no requiere ningn tipo de accin ya que el sistema continuara permitiendo su
ejecucin. Por el contrario, si el elemento es clasificado como Malware, la poltica de
reclasificacin entra en juego, permitiendo al administrador definir el comportamiento de
Adaptive Defense 360:

- Eliminar de la lista de amenazas permitidas por el administrador: si el fichero


desconocido se ha clasificado como Goodware se seguir ejecutando de forma
normal, si es clasificado como Malware la exclusin se eliminar de forma

178
Gua para administradores de red

automtica y el fichero quedar bloqueado, a no ser que el administrador genere


una nueva excepcin manual para ese fichero.
- Mantener en la lista de amenazas permitidas por el administrador: tanto si el
fichero desconocido se ha clasificado como Goodware o Malware la exclusin se
mantiene y el fichero seguir ejecutndose.

En caso de seleccionar Mantener en la lista de amenazas permitidas por el administrador,


se mostrar una ventana solicitando conformacin ya que esta eleccin puede dar lugar
a situaciones potencialmente peligrosas. Un escenario tpico es el de un elemento
desconocido originalmente, desbloqueado por el administrador para poder ser ejecutado
mientras se clasifica y que, una vez analizado resulta ser peligroso. En este caso se
continuara su ejecucin por no eliminarse la exclusin de forma automtica debido a la
poltica de reclasificacin Mantener en la lista de amenazas permitidas por el administrador
elegida.

Filtrado de listado (2)


El desplegable de la izquierda restringe la bsqueda indicada en la caja de texto al campo
seleccionado:

- Nombre: nombre del malware o PUP


- Archivo: Nombre del fichero desconocido o que contiene la amenaza
- MD5: digest que identifica de forma nica al fichero
- Permitido por: usuario de la consola que cre la exclusin.
- Malware: elemento clasificado como Malware
- PUP: elemento clasificado como PUP
- Desconocido (Bloqueado): elemento sin clasificar hasta el momento
- Bloqueado reclasificado a Malware / PUP: elemento que fue bloqueado por ser
desconocido y que posteriormente el sistema ha clasificado como peligroso.
- Bloqueado reclasificado a Goodware: elemento que fue bloqueado por ser
desconocido y que posteriormente el sistema ha clasificado como seguro.

Una vez definido el filtro haz clic en el botn Bsqueda para aplicarlo, o en el botn Mostrar
todos para mostrar todas las entradas y limpiar el filtro.

Exportacin de listado (3)


Para exportar el listado haz clic en el botn Exportar y selecciona el formato del fichero
exportado (xls o csv)

179
Gua para administradores de red

Borrado de entradas (4)


Para que Adaptive Defense 360 recupere el comportamiento normal sobre un elemento
previamente excluido o desbloqueado, es necesario seleccionarlo en el listado y pulsar el
botn Eliminar. Una vez eliminada la entrada el elemento se bloquear o no dependiendo
de su clasificacin y del modo de proteccin avanzada seleccionado.

Listado (5)

- Nombre: nombre del malware o PUP que se permite su ejecucin. Si es un


elemento desconocido se indica el nombre del fichero en su lugar.
- Tipo: tipo del fichero bloqueado
Malware: elemento clasificado como Malware
PUP: elemento clasificado como PUP
Bloqueado: elemento sin clasificar hasta el momento
Bloqueado reclasificado a Malware / PUP: elemento que fue
bloqueado por ser desconocido y que posteriormente el sistema ha
clasificado como peligroso.
Bloqueado reclasificado a Goodware: elemento que fue bloqueado
por ser desconocido y que posteriormente el sistema ha clasificado
como seguro.
- Archivo: Nombre del fichero desconocido o que contiene la amenaza
- MD5: digest que identifica de forma nica al fichero
- Permitido por: usuario de la consola que cre la exclusin
- Permitida desde: fecha en la que se permiti por primera vez la ejecucin del
elemento.

17.6.7 Historial
En esta ventana podrs visualizar el histrico de cambios realizado sobre los ficheros
excluidos en Adaptive Defense 360. El listado permite ver el ciclo de estados completo de
un fichero, desde que entra en el listado de excluidos o desbloqueados hasta que sale,
pasando por los cambios de estado intermedios que el sistema o el administrador pueda
haberle aplicado.

Filtrado de listado (1)

180
Gua para administradores de red

El desplegable de la izquierda restringe la bsqueda indicada en la caja de texto al campo


seleccionado:

- Archivo: Nombre del fichero desconocido o que contiene la amenaza


- MD5: digest que identifica de forma nica al fichero
- Usuario: login del usuario que inicio el cambio de estado

Exportacin de listado (2)


Para exportar el listado haz clic en el botn Exportar y selecciona el formato del fichero
exportado (xls o csv)

Listado (3)

- Archivo: Nombre del fichero desconocido o que contiene la amenaza


- Tipo: tipo del fichero bloqueado
Malware: elemento clasificado como Malware
PUP: elemento clasificado como Malware
Bloqueado: elemento sin clasificar
- MD5: digest que identifica de forma nica al fichero
- Accin: indica el cambio de estado del fichero
Aadida exclusin. Permitidas ejecuciones posteriores: el administrador
permite la ejecucin del proceso y el fichero entra en el listado de
elementos excluidos
Eliminado de la lista de excluidos: el administrador elimina la exclusin y
el fichero sale del listado de elementos excluidos. El sistema recupera el
comportamiento normal con respecto al fichero.
Reclasificado a PUP / Malware. Se elimina la exclusin: el fichero era
desconocido cuando se excluy y el sistema posteriormente lo ha
clasificado como peligroso. El sistema ha retirado la exclusin de forma
automtica porque la poltica de exclusiones es Eliminar de la lista de
amenazas permitidas por el administrador y por lo tanto se empieza a
bloquear.
Reclasificado a Goodware. Se elimina la exclusin: el fichero era
desconocido cuando se excluy y el sistema lo ha clasificado como
seguro. El sistema ha retirado la exclusin de forma automtica porque
la poltica de exclusiones es Eliminar de la lista de amenazas permitidas
por el administrador. El fichero se sigue ejecutando.
Excluido reclasificado a Goodware. La exclusin se mantiene: el fichero
era desconocido cuando se excluy y el sistema lo ha clasificado
como seguro. El sistema mantiene la exclusin de forma automtica
porque la poltica de exclusiones es Mantener en la lista de amenazas
permitidas por el administrador. El fichero se sigue ejecutando y la
exclusin deja de tener efecto.
Excluido reclasificado a Malware / PUP. La exclusin se mantiene: el
fichero era desconocido cuando se excluy y el sistema lo ha
clasificado como peligroso. El sistema mantiene la exclusin de forma
automtica porque la poltica de exclusiones es Mantener en la lista de
amenazas permitidas por el administrador. El fichero se sigue
ejecutando.
Configuracin cambiada a "Borrar los programas reclasificados de la
lista de amenazas permitidas": el administrador ha cambiado la poltica
de exclusin

181
Gua para administradores de red

Configuracin cambiada a "Mantener los programas reclasificados de


la lista de amenazas permitidas: el administrador ha cambiado la
poltica de exclusin."
- Usuario: cuenta de usuario que inici el cambio de estado o Automtico si el
cambio de estado fue una reclasificacin interna del fichero
- Fecha: fecha del cambio

182
Gua para administradores de red

18. Visibilidad y
monitorizacin
de los equipos
Estado de los equipos en la red

183
Gua para administradores de red

18.1. Introduccin

En este captulo se describen los recursos implementados en Adaptive Defense que


permiten controlar el estado de los equipos en la red

18.2. Estado de los equipos en la red

Un resumen rpido del estado de la proteccin se ofrece directamente desde el panel de


control, en el men Estado.

En esta seccin del panel de control se muestran los equipos que requieren de la atencin
del administrador:

- Equipos que no han conectado con el servidor en las ltimas 72 horas, 7 das y 30
das
- Equipos que tienen la proteccin sin actualizar: el motor, el archivo de
identificadores y los que requieren un reinicio para aplicar la actualizacin del
nuevo motor de proteccin descargado.
Haciendo clic en los distintos elementos del panel se mostrar la pestaa Protegidos de la
ventana Equipos, explicada a continuacin.

18.3. Visibilidad de los equipos

La ventana Equipos muestra todos los elementos necesarios para facilitar la supervisin del
parque informtico y la bsqueda de los dispositivos:

- El rbol de grupos
- Pestaas de estado
- Herramientas de bsqueda
- Ventana de Detalles de equipo o dispositivo

184
Gua para administradores de red

rbol de grupos
En la parte izquierda de la pantalla se encuentra el rbol de grupos con el que es posible
desplazarse a travs de los diferentes niveles y ver los equipos que contiene cada grupo o,
haciendo clic en el nodo Todos, listar todos los equipos de la red.

Pestaas
Se ofrecen 4 agrupaciones en funcin del estado de la proteccin:

- Lista de equipos protegidos.


- Lista de equipos desprotegidos.
- Lista de equipos sin licencia.
- Lista de equipos excluidos.

Protegidos
Son equipos con el agente Adaptive Defense 360 instalado de forma correcta y con una
licencia vlida asignada, aunque puedan estar desactualizados o con alguna proteccin
en estado errneo

Desprotegidos
Son equipos con el agente en proceso de instalacin o desinstalacin, equipos con la
proteccin ya desinstalada y equipos descubiertos con la herramienta de descubrimiento

Sin licencia
Son equipos que tuvieron en el pasado una licencia vlida asignada pero su
mantenimiento ha caducado de forma que ya no estn protegidos. Tambin son equipos
que pertenecen a un grupo con restricciones de nmero mximo o por fecha y alguna de
estas condiciones no se est cumpliendo para el equipo.

185
Gua para administradores de red

Excluidos
Son equipos que tienen un agente Adaptive Defense 360 instalado pero que no compiten
por obtener una licencia vlida. El administrador puede excluir equipos de forma manual
cuando el nmero de licencias vlidas contratadas es inferior al nmero de equipos de la
red a proteger.

18.3.1 Herramientas de bsqueda


Se puede filtrar el listado de equipos aplicando diversos criterios en funcin de la pestaa
seleccionada.
Adems, en algunas pestaas se incluye el botn Avanzado. Al pulsar se muestran / ocultan
ciertos controles de bsqueda.

Tambin se incluye un botn Mostrar todos que invalidad el criterio de bsqueda y lista
todos los equipos dentro de la pestaa seleccionada.
A continuacin, se muestra una relacin de los controles y los criterios de bsqueda que
permiten establecer por cada una de las pestaas.

Pestaa Protegidos

- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
- Estado del equipo:
Todos
Equipos con proteccin activada
Equipos con todas las protecciones desactivadas
Equipos con proteccin actualizada
Equipos con proteccin desactualizada:
Equipos con proteccin parcialmente activada: equipos que tienen
alguna de los mdulos de proteccin desactivados
Equipos con error en la proteccin
Equipos pendientes de reinicio
Equipos con conocimiento actualizado
Equipos con conocimiento desactualizado
Equipos actualizados (sin conexin desde hace ms de 72 horas)
Equipos actualizados (sin conexin desde hace ms de 7 das)
Equipos actualizados (sin conexin desde hace ms de 30 das)

186
Gua para administradores de red

- Sistema operativo:
Todos
Windows
Linux
Mac OS X
Android
- Mostrar equipos de los subgrupos: busca en el grupo seleccionado en el rbol de
grupos y en todos los grupos que cuelgan de l.

Pestaa Desprotegidos

- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios
- Estado del equipo:
Todos
Equipos sin proteccin
Equipos no administrados: equipos en la red sin un agente instalado,
encontrados mediante la herramienta de bsqueda
Equipos instalando la proteccin
Equipos desinstalando la proteccin
Equipos con error en la proteccin
Equipos con error en la desinstalacin
Equipos con nombre desconocido
- Sistema operativo:
Todos
Windows
Linux
Mac OS X
Android
- Mostrar equipos de los subgrupos: busca en el grupo seleccionado en el rbol de
grupos y en todos los grupos que cuelgan de l.

Pestaa Sin licencia

- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios

Pestaa Excluidos

- Buscar equipo: permite realizar bsquedas libres por subcadenas sobre los campos
que describen a los equipos: nombre y comentarios

18.3.2 Listados de equipos


Una vez establecidos los criterios de filtrado se mostrar el listado de equipos que los
satisfacen.

187
Gua para administradores de red

La presentacin del listado se realiza en una tabla con una serie de columnas que
describen el estado del equipo y que varan en funcin de la pestaa elegida.
Los equipos con igual nombre y direccin IP se mostrarn como equipos diferenciados en la
consola Web siempre y cuando tanto su direccin MAC como su identificador del agente de
administracin sean diferentes. Si deseas cambiar el modo en el que se nombran, puedes hacerlo

seleccionando el icono situado en la cabecera de la consola Web. Consulta el captulo La


consola Web de administracin para ms informacin

Pestaa Protegidos

- Equipo: muestra el listado de los equipos protegidos, denominndolos por su


nombre o por su IP.
- Actualizacin proteccin: indica el estado de la proteccin. Al pasar el ratn por
encima del icono se muestra el significado del icono y la versin de la proteccin
instalada

Actualizado

No actualizado

Pendiente de reinicio
- Actualizacin conocimiento: indica el estado del fichero de identificadores. Al
pasar el ratn por encima del icono se muestra el significado del icono y la fecha
de actualizacin

Actualizado

No se conect en las ltimas 72 horas

No actualizado
- Protecciones: indica el grado de proteccin del equipo. Al pasar el ratn por
encima del icono se muestran las protecciones activadas.

Todas las protecciones disponibles estn activadas

Algunas de las protecciones disponibles estn deshabilitadas

Sistemas con protecciones bajo demanda o programadas.

Alguna proteccin ha entrado en estado de error


- ltima conexin: fecha en la que el equipo se conect por ltima vez al servidor
Adaptive Defense 360
- Acceso remoto: indica que el equipo tiene instalada alguna herramienta de
acceso remoto. Si solo es una, haciendo clic sobre el icono podr acceder a la
herramienta y, una vez introducidas las credenciales correspondientes, acceder al
equipo. Si el equipo tiene instaladas varias herramientas de acceso remoto, al
situar el cursor sobre el icono se mostrarn dichas herramientas y podr elegir cul
de ellas desea utilizar para acceder al equipo. Consulta el captulo Herramientas
de resolucin para ms informacin.

Pestaa Desprotegidos

- Equipo: muestra el listado de los equipos protegidos, denominndolos por su


nombre o por su IP.
- Estado: muestra cul es la situacin de la proteccin. Para ello utiliza una serie de
iconos

188
Gua para administradores de red

Instalando

Desinstalando

Error en la desinstalacin
Error en la instalacin

Proteccin desinstalada con xito.


- Detalles: se especifica el motivo por el cual el equipo se encuentra en
determinado estado. Por ejemplo, si muestra el estado Error instalando, en Detalle
se puede mostrar el cdigo del error producido. Si, por el contrario, la columna
Estado muestra Sin proteccin, Detalle mostrar la explicacin Proteccin
desinstalada
- Ultima conexin: Muestra la fecha y hora en que tuvo lugar la ltima conexin con
el equipo
- Acceso remoto: Si esta columna muestra un icono, indica que el equipo tiene
instalada alguna herramienta de acceso remoto. Si solo es una, haciendo clic
sobre el icono podr acceder a la herramienta y, una vez introducidas las
credenciales correspondientes, acceder al equipo

Pestaa Sin licencia

- Equipo: muestra el listado de los equipos protegidos, denominndolos por su


nombre o por su IP.
- S.O.: se muestra la versin del sistema operativo y nivel de Service pack en el caso
de sistemas operativos Windows
- Motivo: muestra la razn por la cual el equipo no tiene licencia: no hay licencias
validas suficientes o el equipo pertenece a un grupo con restricciones y estas no se
cumplen.

Pestaa Excluidos

- Equipo: muestra el listado de los equipos protegidos, denominndolos por su


nombre o por su IP. Si hay diferentes equipos con igual nombre y direccin IP, se
mostrarn como equipos diferenciados en la consola Web siempre y cuando tanto
su direccin MAC como su identificador del agente de administracin sean
diferentes. Si deseas cambiar el modo en el que se nombran, puedes hacerlo

seleccionando el icono situado en la cabecera de la consola Web. Consulta


el captulo La consola Web de administracin para ms informacin
- Grupo: Grupo al que pertenece el equipo excluido

18.3.3 Acciones sobre equipos seleccionados


Todas las tablas de listados cuentan con una primera columna de seleccin. Haciendo clic
en la casilla de la cabecera seleccionar o deseleccionar todos los equipos de la lista
Adems, a pie de tabla se encuentra la herramienta de paginacin que permite el
desplazamiento con mayor velocidad entre pginas.
Al seleccionar uno o ms equipos de la tabla, y dependiendo de la pestaa elegida se
podrn ejecutar unas acciones u otras.

189
Gua para administradores de red

Pestaa Protegidos

- Aadir equipo: muestra el asistente de instalacin del agente Adaptive Defense


360 para agregar nuevos equipos a la consola Web de administracin.
- Reiniciar: reinicia los equipos seleccionados.
- Mover: permite cambiar de grupo a los equipos seleccionados.
- Eliminar: El equipo se elimina de la base de datos de Adaptive Defense 360
aunque si no se ha desinstalado el agente del equipo volver a aparecer en la
consola en la siguiente conexin.
- Acceso remoto: indica que el equipo tiene instalada alguna herramienta de
acceso remoto. Si solo es una, haciendo clic sobre el icono podr acceder a la
herramienta y, una vez introducidas las credenciales correspondientes, acceder al
equipo. Si el equipo tiene instaladas varias herramientas de acceso remoto, al
situar el cursor sobre el icono se mostrarn dichas herramientas y podr elegir cul
de ellas desea utilizar para acceder al equipo. Consulta el captulo Herramientas
de resolucin para ms informacin

Pestaa Desprotegidos

- Eliminar los equipos seleccionados: Los equipos seleccionados se eliminan de la


base de datos de Adaptive Defense 360.
- Eliminar todos los equipos
- Excluir los equipos seleccionados

Pestaa Sin licencia

- Eliminar los equipos seleccionados


- Eliminar todos los equipos
- Excluir los equipos seleccionados

Pestaa Excluidos

- Eliminar los equipos seleccionados


- Eliminar todos los equipos

18.3.4 Detalle de equipos Windows, Linux y Mac OS X


Para acceder a los detalles de un equipo concreto haz clic en dicho equipo. A

190
Gua para administradores de red

continuacin, se mostrar la ventana Detalles de equipo, con informacin sobre el estado


del equipo, independientemente de que est protegido o no.

Detalles del equipo

- Nombre
- Direccin IP
- Dominio: solo se muestra en equipos Windows
- Ruta Directorio Activo: solo se muestra si el equipo pertenece a un Directorio Activo
- Grupo
- Fecha de instalacin
- Versin de la proteccin
- Versin del agente
- Actualizacin del conocimiento: fecha del archivo de identificadores
- Ultima conexin
- Sistema operativo
- Servidor de correo
- Campo comentarios: Utiliza el campo Comentario si deseas aadir informacin
adicional que pueda ayudar a identificar un equipo. Si el usuario que accede a la
consola tiene permisos de monitorizacin no podr modificar este campo.

Protecciones
Consulta los captulos de perfiles de proteccin para Windows, Linux, OS X y Android para ms
informacin acerca de las protecciones de Adaptive Defense 360.

Muestra el estado de los mdulos de proteccin (activado, desactivado, no aplica)

- Proteccin avanzada. Indica el modo de la proteccin configurada: monitor,


Hardening, Lock. Aplica a equipos Windows XP SP2 y superiores y a servidores
Windows 2003 Server SP1 o superiores.
- Proteccin de archivos.
- Proteccin de correo.
- Proteccin de navegacin Web.
- Proteccin Firewall.
- Control de dispositivos.
- Proteccin antivirus para Exchange server.
- Proteccin antispam para Exchange server.
- Filtrado de contenidos para Exchange server.
- Control de acceso a pginas Web.

Herramientas disponibles
Consulta el captulo Herramientas de resolucin y respuesta para ms informacin sobre el uso de
las herramientas de resolucin de Adaptive Defense 360.

- Desinfectar el equipo: Adaptive Defense 360 desinfecta de forma automtica el

191
Gua para administradores de red

malware encontrado. Para equipos comprometidos por malware avanzado


donde una desinfeccin estndar no sea posible se ofrece la herramienta de
desinfeccin Panda Cloud Cleaner. Haz clic en el botn Desinfectar equipo para
utilizarla.
- Notificar problemas en el equipo: Utiliza esta opcin si deseas notificar algn
problema del equipo y enviarlo a personal cualificado de Panda Security.
- Reiniciar equipos: Mediante esta opcin podrs reiniciar los equipos que figuren en
el listado de equipos protegidos como pendientes de reinicio
- Eliminar de la base de datos: Si deseas eliminar equipos que no se han conectado
con el servidor desde hace tiempo, utiliza la opcin Eliminar de la base de datos.
Los datos del equipo dejarn de ser utilizables y por tanto tampoco se podr
acceder al mismo.
- Excluir: Los equipos excluidos se mostrarn en la lista de equipos excluidos de la
ventana Equipos. Al excluir equipos no se mostrar informacin ni alertas referentes
a ellos en ningn otro lugar de la consola. Podr deshacer la exclusin en
cualquier momento

18.3.5 Detalles de dispositivos Android


En el caso de los dispositivos Android, en la ventana Detalles de equipo se muestran los
datos del dispositivo y el estado de las protecciones antivirus y antirrobo, segn la
configuracin que se haya realizado. Consulta el captulo Herramientas de resolucin y
respuesta para ms informacin acerca de las herramientas de resolucin para Android.
Si la proteccin antirrobo est activada en el dispositivo, se mostrar un mapa con la
localizacin del dispositivo y las opciones correspondientes de la proteccin antirrobo:
borrar, bloquear el dispositivo, realizar fotografa al ladrn y localizar el dispositivo.
Si alguna de las protecciones muestra un estado de error, haz clic en el vnculo Cmo
solucionar errores? y acceders a instrucciones de soporte tcnico que resultarn tiles
para resolver el problema.

Detalles del equipo


Los detalles incluidos son los mismos que los mostrados en equipos Windows excepto:

- Direccin IP: no se muestra


- Dominio: no se muestra
- Ruta directorio Activo: no se muestra
- ID dispositivo: cadena de caracteres que identifica al dispositivo en Adaptive
Defense 360

Protecciones
Muestra los mdulos de proteccin activados

- Proteccin antivirus
- Proteccin antirrobo

Herramientas disponibles

- Borrar dispositivo: utiliza el botn Borrar para eliminar la informacin que se muestra
del dispositivo y restaurar la configuracin de fbrica.
- Bloquear dispositivo: Utiliza el botn Bloquear dispositivo para introducir la clave de

192
Gua para administradores de red

cuatro dgitos necesaria para realizar el bloqueo.


- Foto al ladrn: al solicitar esta accin, cuando se detecte actividad en el
dispositivo robado se sacar automticamente una fotografa al autor de la
sustraccin. Introduce en la casilla de texto la direccin de correo electrnico a la
que se enviar la fotografa.
- Modo privado: si el administrador ha concedido permiso al usuario del dispositivo
para que lo utilice en modo privado, y el usuario lo ha activado mediante una
contrasea, las opciones automticas de localizar el dispositivo o de sacar foto al
ladrn no funcionarn.
- Lista de tareas: El dispositivo Android mostrar el registro de tareas con informacin
sobre las tareas que se han configurado desde la consola Web para que sean
ejecutadas en el dispositivo.

Lista de tareas
Las tareas de alertas de robo, borrado y localizacin del dispositivo Android que se solicitan
desde la consola Web para que se ejecuten en el dispositivo, se muestran en el registro de
tareas de la ventana Detalles de equipo.
El registro muestra una tarea por estado. Por ejemplo, si existen tres tareas de alertas de
robo, se mostrar una de ellas Ejecutada, otra como Recibida y otra como Pendiente. En la
medida en que la primera tarea finalice y desaparezca del listado, la que se encuentra
como Recibida pasar a Ejecutada y la que est como Pendiente pasar a Recibida.
El estado de las tareas es el siguiente:

- Pendiente: Las tareas se encontrarn en estado pendiente durante el intervalo de


tiempo que va desde la configuracin de la tarea en la consola Web hasta su
recepcin en el dispositivo. Hay que tener en cuenta que puede darse el caso de
que el dispositivo se encuentre apagado o sin acceso a red, tiempo ste durante
el que la tarea figurar como pendiente.
- Recibida: En este caso, el dispositivo ha recibido la solicitud de realizacin de una
tarea, pero aun no la ha ejecutado o est en plena ejecucin, y, por tanto, no ha
finalizado. Por ejemplo, cuando se trata de una tarea de localizacin del
dispositivo, la tarea se mostrar como recibida hasta que la localizacin sea
efectiva. En el caso de la tarea de foto al ladrn, la tarea tambin se mostrar
como recibida en tanto en cuanto no se ejecute el acto de sacar la fotografa.
Esto es debido a que desde que se enva la solicitud de tarea transcurre el tiempo
que el ladrn tarda en activar el dispositivo, es decir, en tocar la pantalla.
- Ejecutada: La tarea se mostrar como ejecutada una vez que el dispositivo
informe de la finalizacin de la misma (ya sea correctamente o con error).

193
Gua para administradores de red

19. Informes
Tipos de informes soportados
Generacin y envo de informes

194
Gua para administradores de red

19.1. Introduccin

Con Adaptive Defense 360 se pueden obtener informes sobre el estado de la seguridad en
la red informtica y sobre las detecciones realizadas en un determinado periodo de
tiempo. Adems, puedes tambin seleccionar el contenido que aparecer en el informe,
si se quiere que la informacin sea detallada, y si se desea acompaarla de grficas. Todo
ello de manera rpida y sencilla.

19.2. Tipos de informes incluidos

Adaptive Defense 360 ofrece 5 tipos de informes:


- Ejecutivo
- De estado
- De deteccin
- Amenazas
- Auditora de acceso a la consola

19.2.1 Informe Ejecutivo


Este informe rene en un solo documento un resumen de los tres aspectos principales de la
seguridad de la red:

- Estado de las protecciones instaladas en los equipos de la red


- Detecciones e intentos de infeccin en los equipos protegidos
- Estado del servicio contratado

A continuacin, se detalla la informacin contenida en el informe Ejecutivo:

- Resumen del estado de las protecciones instaladas y las detecciones realizadas en


las ltimas 24 horas, ltimos 7 das, o ltimo mes.
- Listas top 10 de equipos con malware detectado y ataques bloqueados,
respectivamente.
- Listas top 10 de equipos con dispositivos bloqueados.
- Informacin sobre el estado de las licencias contratadas.
- Detalle del nmero de equipos que se encuentran en proceso de instalacin de la
proteccin en el momento de generar el informe (se incluyen los equipos con error
en la instalacin).
- Spam detectado
- Listas top 10 de Categoras Web ms accedidas.
- Listas top 10 de Equipos que ms acceden.
- Listas top 10 de Equipos que han accedido a categoras prohibidas y a los cuales
se les han bloqueado el acceso a URLs.

19.2.2 Informe de estado


Este informe proporciona una visin general del estado de las protecciones y sus

195
Gua para administradores de red

actualizaciones en el momento de solicitar el informe y detalla del nmero de equipos que


se encuentran en proceso de instalacin de la proteccin en el momento de generar el
informe (se incluyen los equipos con error en la instalacin).

19.2.3 Informe de deteccin


Este informe ofrece la evolucin de las detecciones realizadas en las ltimas 24 horas,
ltimos 7 das, o ltimo mes y detalla el equipo, grupo, tipo de deteccin, nmero de veces
(ocurrencia) de la deteccin, accin realizada y la fecha en que se produjo la deteccin.

19.2.4 Informe de Amenazas


Este informe muestra los avisos producidos por la proteccin avanzada en tiempo real en
el parque informtico para las fechas definidas.
Tambin se incluye una tabla con las mquinas de mayor riesgo, es decir, aquellos equipos
que hayan tenido un mayor nmero de infecciones debidas a software malicioso.
Finalmente se ofrece informacin detallada de cada amenaza detectada:

- Programas maliciosos
- Programas potencialmente no deseados (PUPs)
- Programas en investigacin por nuestro laboratorio

Para cada uno de los riesgos se muestra el total de detecciones, el nmero de dispositivos
en los que se ha detectado, si se ha ejecutado, si ha conectada con el exterior y si ha
accedido a datos.

19.2.5 Informe de auditora de accesos a la consola


Este informe muestra los accesos realizados a la consola por parte de los administradores
del servicio de proteccin.
El informe incluye una lnea por cada acceso a la consola, indicando la informacin
mostrada a continuacin:

- Usuario: login utilizado para acceder a la consola


- Permisos: permisos de la cuenta del administrador utilizada para acceder a la
consola
- Conexin: fecha y hora de la conexin
- Desconexin: fecha y hora de la conexin

19.3. Generacin y envo de informes

En la ventana principal de la consola Web, haz clic en Informes. Se abrir una ventana
estructurada en tres secciones:

- Nombre y contenido del informe


- Alcance del informe

196
Gua para administradores de red

- Programar envo por correo

19.3.1 Nombre y contenido del informe


Selecciona el nombre del informe, su tipo de entre los cuatro tipos explicados en el punto
anterior y el periodo que cubrir el informe (ltimas 24 horas, ltima semana o ltimo mes)
para el informe Ejecutivo y para el informe Amenazas.

19.3.2 Alcance del informe


Se trata de definir qu equipos de la red alimentarn con sus resultados el contenido del
informe. La seleccin se realiza por grupos.

19.3.3 Programar envo por correo


Si no necesitas programar el envo del informe haz clic en Generar informe dejando el
campo Periodicidad en No enviar. El informe se generar al momento y aparecer en la
lista de informes de la parte izquierda de la pantalla.
El nmero de informes que podrs guardar es ilimitado. Podrs acceder de nuevo a un
informe haciendo clic en el nombre del mismo en la lista que aparecer en la parte
izquierda de la ventana Informes.
Si fuera necesario es posible programar el envo por correo del informe a los usuarios que el
administrador de la red decida.

197
Gua para administradores de red

Para ello es necesario definir los siguientes campos

- Periodicidad: frecuencia de envo. En funcin de la seleccin se podr elegir da


de la semana, la hora o el da del mes en que se producir el envo:
Mensual
Semanal
Diaria
Primer da del mes.
- Format: formato del informe a enviar
XML
CSV
IFF
PDF
Web
Excel
- To: direccin de correo del destinatario del informe
- Cc: envi con copia
- Subject: asunto del mensaje

Podrs programar hasta 27 tareas de envo de informes. Una vez alcanzado dicho valor
necesitars eliminar alguna de ellas para crear ms.

198
Gua para administradores de red

20. Herramientas
de resolucin
Desinfeccin automtica de ficheros
Anlisis y desinfeccin bajo demanda de
ficheros
Desinfeccin avanzada de equipos
Reiniciar equipos
Acceso remoto al escritorio
Proteccin contra robo

199
Gua para administradores de red

20.1. Introduccin

Adaptive Defense 360 cuenta con varias herramientas de resolucin que permiten al
administrador resolver los problemas encontrados en las fases de Proteccin, Deteccin y
Monitorizacin del ciclo de proteccin adaptativa, presentado en el captulo La
proteccin adaptativa.
Algunas de estas herramientas son automticas y no necesitan de la intervencin del
administrador, otras sin embargo requieren la ejecucin de acciones concretas mediante
la consola Web.
Todas las herramientas de resolucin de Adaptive Defense 360 se pueden utilizar desde la
consola Web sin necesidad de desplazarse al equipo del usuario afectado, ahorrando
costes en desplazamientos y tiempo del equipo tcnico.
A continuacin, se muestra una tabla de las herramientas disponibles por plataforma y su
tipo (automtico o manual).

Herramienta de
Plataforma Tipo Objetivo
resolucin
Desinfectar o mover a
Desinfeccin cuarentena el malware
Windows, Mac
automtica de Automtico encontrado en el momento
OS X, Android
ficheros de la infeccin de los
equipos.
Analizar, desinfectar o mover
a cuarentena el malware
Anlisis /
Windows, Mac Automtico encontrado en los equipos
Desinfeccin
OS X, Linux, (programado) protegidos en el momento
bajo demanda
Android / Manual que lo requiera el
de ficheros
administrador o en franjas
horarias concretas
Desinfeccin de los equipos
afectados tanto por malware
Desinfeccin de convencional como por el
Windows Manual
equipos avanzado especialmente
diseado para dificultar su
retirada
Fuerza un reinicio del equipo
para aplicar actualizaciones,
Reinicio bajo
Windows Manual completar desinfecciones
demanda
manuales y corregir errores
detectados en la proteccin
Herramientas de control
Acceso remoto remoto para acceder al
Windows Manual
al escritorio escritorio de los equipos
infectados
Herramientas que ayudan a
Proteccin localizar dispositivos robados
Android Manual
contra robo y determinar la identidad del
ladrn

Adicionalmente Adaptive Defense 360 dispone del mdulo Remote Control, que permite el
acceso remoto a los dispositivos de los usuarios mediante herramientas de resolucin
avanzadas, sin necesidad de instalar productos de terceros.

200
Gua para administradores de red

20.2. Desinfeccin automtica de ficheros

La desinfeccin automtica es realizada por la Proteccin avanzada en tiempo real y por


la Proteccin antivirus.
Ante una deteccin de malware Adaptive Defense 360 desinfectar de forma automtica
los elementos afectados siempre y cuando exista un mtodo de desinfeccin conocido.
En su defecto el elemento se mover a cuarentena.
La desinfeccin automtica no requiere de la intervencin del administrador, si bien es
necesario que est seleccionada la casilla Activar proteccin permanente de archivos en
Antivirus.
Consulta el captulo Configuracin de la proteccin avanzada para ms informacin sobre los
modos de bloqueo en Adaptive Defense 360 y configuraciones disponibles en el mdulo antivirus.

Modo de
Proteccin
proteccin Comportamiento
antivirus
avanzada

Audit Activado Deteccin, Desinfeccin, Cuarentena

Deteccin, Bloqueo de desconocidos,


Hardening, Lock Activado
Desinfeccin, Cuarentena

Audit Desactivado Deteccin

Hardening, Lock Desactivado Deteccin, Bloqueo de desconocidos

20.3. Anlisis / Desinfeccin bajo demanda de ficheros

La desinfeccin bajo demanda de ficheros se realiza mediante la creacin de tareas de


anlisis programadas o anlisis puntuales bajo demanda.

20.4. Desinfeccin avanzada de equipos

En los equipos afectados por malware/PUP avanzado la desinfeccin automtica puede


llegar a fallar ya que este tipo de amenaza es mucho ms difcil de resolver. El administrador
de la red puede identificar estos equipos si aprecia que se muestran nuevas incidencias de
forma constante y diaria en la seccin de Actividad del panel de control, relativas a los
mismos equipos infectados. Solo en estos casos se requerir una desinfeccin avanzada.
Una vez localizados los equipos infectados el administrador de la red puede lanzar de forma
remota y desde la misma incidencia la herramienta de desinfeccin avanzada Cloud

201
Gua para administradores de red

Cleaner. Para ello es necesario desplegar la incidencia desde el panel de control en la


ventana Estado, haciendo clic en los paneles de la seccin Actividad y haciendo clic en
Desinfectar Equipo. Tambin es posible desinfectar un equipo accediendo a la ficha Detalle
del equipo desde la en la ventana Equipos, pestaa Protegidos y haciendo clic en el
equipo que queremos desinfectar.
Cloud Cleaner es una herramienta especializada el desinfectar el malware avanzado. Para
acceder a esta herramienta hay que hacer clic en cada equipo infectado de forma
individual y elegir Desinfectar Equipo.

Acto seguido se muestra una ventana de configuracin rpida de la desinfeccin

Las opciones del men de desinfeccin son las siguientes:

- Eliminar Virus: este check box siempre est habilitado y limpiar los virus encontrados
en el equipo
- Eliminar PUPs: Borra los programas potencialmente no deseados.
- Limpiar cache del navegador: limpia la cache del navegador instalado en el
equipo (Internet Explorer, Firefox y Chrome)

202
Gua para administradores de red

- Limpiar historial de navegacin: limpia el histrico de pginas Web del navegador


- Eliminar cookies del navegador: borra las cookies del navegador
- Restaurar polticas del sistema que habitualmente son modificadas por el malware:
restaura el acceso al administrador de tareas, muestra archivos ocultos, muestra las
extensiones de los archivos y en general restituye las polticas del sistema que el
malware pueda haber cambiado impidiendo su restablecimiento a la
configuracin original elegida por el cliente
- Quiere que se muestre la consola de desinfeccin en el equipo?: muestra la
consola de Cloud Cleaner con los resultados de la desinfeccin
Una vez configurada se crear una tarea de desinfeccin.

Ejecutada la tarea podremos ver los resultados haciendo clic en el link Ver resultados de
desinfecciones.
Para ms informacin sobre Cleaner Monitor consulta la ayuda Web del producto o en el enlace
http://pcopdocuments.azureWebsites.net/Help/pccm/es-ES/index.htm

En caso de encontrar dificultades al desinfectar un PC se recomienda descargar y ejecutar de


forma manual la versin ms actualizada de Panda Cloud Cleaner de
http://pandacloudcleaner.pandasecurity.com

20.5. Reiniciar equipos

Para que los equipos estn actualizados a la ltima versin de la proteccin, o si se detecta
algo error en la proteccin el administrador podr actuar remotamente desde la consola
Web y reiniciar los equipos que figuren en el listado de equipos protegidos.
Para ello, en la ventana Equipos > Protegidos marca la casilla correspondiente al equipo o
equipos que deseas reiniciar y haz clic en el botn Reiniciar.

203
Gua para administradores de red

Si haces clic en el nombre del equipo se mostrar la ventana Detalles de equipo desde la
que tambin podrs ordenar el reinicio del equipo utilizando para ello el botn Reiniciar.

20.6. Acceso remoto al escritorio

20.6.1 Visualizar equipos con acceso remoto


La funcionalidad de acceso remoto a los equipos resulta muy til cuando se desea
acceder a los equipos de la red desde la consola de administracin sin necesidad de
trasladarse fsicamente al lugar donde se encuentra el dispositivo.
Adaptive Defense 360 permite acceder a los equipos utilizando alguna de las herramientas
de acceso remoto y versiones siguientes:

- TeamViewer: desde la 3.x a la 8.x


- RealVNC: 4.6.0, 4.5.4, 4.4.4, 4.3.2, 4.2.9 y VNC free 4.1.3
- UltraVNC: 1.0.9.5, 1.0.8.2, 1.0.6.5, 1.0.5.6 y 1.0.1.2
- TightVNC: 2.0.2, 2.0.1 y 2.0.0
- LogmeIn

En la ventana Equipos se mostrarn mediante un icono los equipos que tienen instalada
alguna de estas herramientas de acceso remoto. Si solo es una, haciendo clic sobre el
icono se podr acceder a la herramienta y, una vez introducidas las credenciales
correspondientes, acceder al equipo.
Se pueden introducir las credenciales desde la propia ventana Equipos o desde el men

Preferencias haciendo clic en el icono situado en la parte superior de la consola.

204
Gua para administradores de red

Si el equipo tiene instaladas varias herramientas de acceso remoto, al situar el cursor sobre
el icono se mostrarn dichas herramientas y podr elegir cul de ellas desea utilizar para
acceder al equipo.

En el caso de que el equipo tenga ms de una herramienta VNC instalada, solo se podr
acceder a travs de una de ellas, siendo la prioridad de acceso la siguiente: 1-RealVNC, 2-
UltraVNC, 3-TightVNC.
Dependiendo de si el usuario de la consola utilizado para acceder posee permiso de
control total o de administrador, podr utilizar el acceso remoto para acceder a ms o
menos equipos.
Si el permiso del usuario es de monitorizacin, no podr acceder a ninguno y el icono de la
columna Acceso remoto aparecer deshabilitado.

Si el permiso del usuario es de monitorizacin, no podr acceder a ninguno y el icono de la


columna Acceso remoto aparecer deshabilitado

20.6.2 Cmo obtener acceso remoto


Acceso desde la ventana Equipos
La primera vez que se accede a la ventana Equipos se mostrar un aviso indicando que
los equipos no disponen de acceso remoto instalado. Si deseas instalarlo utiliza el vnculo
que se mostrar en el aviso.

Acceso desde la ventana Detalles de equipo


Desde la ventana Detalles de equipo tambin se podr utilizar el acceso remoto, siempre
y cuando el equipo seleccionado tenga alguna de las herramientas de acceso remoto
instalada. Si es as, haz clic en el icono de la herramienta de acceso remoto que se desee
usar para ello.

205
Gua para administradores de red

Para poder tener acceso remoto, debers instalar en las mquinas una de las soluciones
de control remoto soportadas: TightVNC, UltraVNC, RealVNC , TeamViewer, LogMeIn.
En el caso de las herramientas VNC se seguir la misma prioridad comentada
anteriormente para el caso de que el equipo tenga instaladas ms de una de estas
herramientas.

20.6.3 Comportamiento de las herramientas de acceso remoto


Herramientas VNC
Estas herramientas slo se podrn utilizar para acceder a equipos que estn en la misma
red local que la del cliente.
Dependiendo de la configuracin de autenticacin de las herramientas, es posible que se
pueda acceder a ellas sin necesidad de incluir credenciales de acceso remoto en la
consola, o, por el contrario, tenga que configurar nicamente el password de acceso
remoto o tanto el usuario como la password para poder conectar remotamente.
Para que al administrador pueda acceder a sus equipos a travs de estas herramientas,
debe permitir la ejecucin del applet de Java en su propio equipo, en caso contrario, el
acceso a los equipos, no funcionar correctamente.

TeamViewer
Esta herramienta se podr utilizar para acceder a equipos que se encuentren fuera de la
red local del cliente.
Para acceder a los equipos a travs de TeamViewer solo ser obligatorio introducir la
password de los equipos, el campo usuario puede dejarse en blanco.
La password que hay que incluir para acceder a un equipo a travs de TeamViewer, es la
password de TeamViewer del equipo o la password configurada para el acceso no
presencial, y no la password de la cuenta de cliente de TeamViewer.
Es recomendable disponer de la misma password de TeamViewer en todos los equipos, ya
que cada usuario de la consola de Adaptive Defense 360 slo puede incluir una password
para el acceso remoto a sus equipos a travs de TeamViewer.
El equipo del administrador (equipos a travs del cual se accede a la consola), deber
disponer de TeamViewer instalado (no es suficiente disponer de TeamViewer en modo
ejecutor en dicho equipo).

LogMeIn
Esta herramienta se podr utilizar para acceder a equipos que se encuentren fuera de la
red local del cliente.
Para acceder a los equipos a travs de LogMein, ser necesario incluir el usuario y la

206
Gua para administradores de red

password de la cuenta de LogMein.

20.7. Proteccin contra robo

La proteccin antirrobo de Adaptive Defense 360 permite controlar en todo momento los
dispositivos Android y determinar cul ser su comportamiento en el caso de robo.
Al configurar esta proteccin desde la consola Web podrs localizar los dispositivos,
borrarlos, bloquearlos, sacar una fotografa al ladrn y enviarla por correo electrnico a
una direccin concreta.

20.7.1 Activar la proteccin antirrobo


En la ventana principal de la consola haz clic en el men Configuracin y en el nombre del
perfil para el que se desea configurar la proteccin antirrobo.
En la columna de la izquierda, haz clic en la opcin Antirrobo que se muestra bajo Android.
Si deseas que Adaptive Defense 360 te informe sobre la localizacin del dispositivo
automticamente, marca la casilla correspondiente.
Si deseas recibir un correo electrnico cuando se detecte actividad en un dispositivo
robado, marca la casilla correspondiente. A continuacin, introduce la direccin o
direcciones de correo electrnico a las que se enviar la fotografa. Separe las direcciones
utilizando punto y coma (;).
Si adems de la opcin de envo de foto del ladrn, has seleccionado previamente la de
localizacin del dispositivo, junto con la foto del ladrn recibirs el mapa detallando la
localizacin del dispositivo.
Una vez realizada esta configuracin, desde la ventana Detalles de equipo podrs ver en
todo momento dnde se encuentra el dispositivo, bloquearlo mediante una clave y
modificar la direccin de correo electrnico para recibir la fotografa.

Privacidad (Modo privado)


Si as se desea el administrador puede conceder permiso al usuario de un dispositivo
determinado para que lo utilice en modo privado. Esto permitir al usuario desactivar las
opciones automticas de localizacin del dispositivo y de foto al ladrn, utilizando para ello
una contrasea.
Tanto la localizacin del dispositivo como la foto al ladrn bajo demanda seguirn siendo
opciones disponibles siempre y cuando se disponga de la contrasea que el usuario ha
introducido.
Para activar de nuevo la localizacin y la foto al ladrn automtica, ser imprescindible
desactivar el modo privado.

207
Gua para administradores de red

21. Anlisis
forense
Anlisis forense mediante tablas de acciones
Anlisis forense mediante grafos de ejecucin
Interpretacin de las tablas de acciones y
grafos de actividad

208
Gua para administradores de red

21.1. Introduccin

Cuando el panel de control de Adaptive Defense 360 muestra un riesgo de infeccin es


necesario determinar hasta qu punto ha sido comprometida la red y cul fue el origen de
la infeccin.
El malware de nueva generacin se caracteriza por pasar inadvertido durante largos
periodos de tiempo, que aprovecha para acceder a datos sensibles o a la propiedad
intelectual generada por la empresa. Su objetivo es obtener una contrapartida
econmica, bien realizando chantaje cifrando los documentos de la empresa, bien
vendiendo la informacin obtenida a la competencia, entre otras estrategias comunes a
este tipo de ataques informticos.
Sea cual sea el caso, se hace imprescindible determinar las acciones que desencaden el
malware en la red para poder tomar las medidas oportunas. Adaptive Defense 360 es
capaz de monitorizar de forma continuada todas las acciones ejecutadas por las
amenazas, y almacenarlas para mostrar el recorrido de las mismas, desde su primera
aparicin en la red hasta su neutralizacin.
Adaptive Defense 360 presenta de forma visual este tipo de informacin de dos formas: a
travs de tablas de acciones y diagramas de grafos.

21.2. Anlisis forense mediante las tablas de acciones

Desde la ventana Estado podemos acceder a los listados de amenazas detectadas


seleccionando los paneles de la seccin Actividad del panel de control. Despus,
desplegando cualquiera de ellas obtenemos una tabla con informacin detallada de su
Actividad.

Los campos incluidos para describir de forma general la amenaza son:

- MD5 del malware: Adaptive Defense 360 muestra el hash del malware para su

209
Gua para administradores de red

posterior consulta en VirusTotal o Google


- Ruta del malware: Ruta del ejecutable que contiene el malware.
- Tiempo de exposicin: Tiempo que la amenaza ha permanecido en el sistema sin
clasificar.
- Ciclo de vida del malware en el equipo: Es una tabla con el detalle de cada una
de las acciones desencadenadas por la amenaza.
Se incluyen dos botones para profundizar la bsqueda en Internet mediante el buscador
Google y en la web de Virustotal.

21.2.1 Tabla de acciones


En la tabla de acciones de la amenaza solo se incluyen aquellos eventos relevantes ya
que la cantidad de acciones desencadenadas por un proceso es tan alta que impedira
extraer informacin til para realizar un anlisis forense.
El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma
es ms fcil seguir el curso de la amenaza.
A continuacin, se detallan los campos incluidos en la tabla de acciones:

- Fecha: Fecha de la accin


- N veces: Nmero de veces que se ejecut la accin. Una misma accin
ejecutada varias veces de forma consecutiva solo aparece una vez en el listado
de acciones con el campo N veces actualizado.
- Accin: accin realizada. A continuacin, se indica una lista de las acciones que
pueden aparecer en este campo:
File Download
Socket Used
Accesses Data
Executed By
Execute
Created By
Create
Modified By
Modify
Loaded By
Load
Installed By
Install

Mapped By
Map
Deleted By
Delete
Renamed By
Rename
Killed By
KillsP rocess

210
Gua para administradores de red

Remote Thread Created By


Creates Remote Thread
Kills Process:
Remote Thread Created By
Creates Remote Thread
Opened Comp By
Open Comp
Created Comp By
Create Comp
Creates Reg Key To Exe
Modifies Reg key To Exe
- Path/URL/Clave de Registro /IP:Puerto: es la entidad de la accin. Segn sea el
tipo de accin podr contener:
Clave del registro: para todas las acciones que impliquen
modificacin del registro de Windows
IP:Puerto: para todas las acciones que impliquen una comunicacin
con un equipo local o remoto
Path: para todas las acciones que impliquen acceso al disco duro del
equipo
URL: para todas las acciones que impliquen el acceso a una URL
- Hash del Fichero/Valor del Registro /Protocolo-Direccin/Descripcin: es un
campo que complementa a la entidad. Segn sea el tipo de accin podr
contener:
Hash del Fichero: para todas las acciones que impliquen acceso a un
fichero
Valor del Registro: para todas las acciones que impliquen un acceso al
registro
Protocolo-Direccin: para todas las acciones que impliquen una
comunicacin con un equipo local o remoto. Los valores posibles son:
TCP
UDP
Bidirectional
UnKnown
Descripcin
- Confiable: El fichero est firmado digitalmente

Para localizar las acciones que ms nos interesen del listado disponemos de una serie de
filtros en la cabecera de la tabla.

Algunos de los campos son de tipo texto y otros son desplegables con todas las
ocurrencias distintas dadas en la columna seleccionada. Las bsquedas textuales son
flexibles y no requieren del uso de comodines para buscar dentro de cadenas de texto.

211
Gua para administradores de red

21.2.2 Sujeto y predicado en las acciones


Con el objeto de entender correctamente el formato utilizado para presentar la
informacin en el listado de acciones es necesario establecer un paralelismo con el
lenguaje natural:

- Todas las acciones tienen como sujeto el fichero clasificado como malware. Este
sujeto no se indica en cada lnea de la tabla de acciones porque es comn
para toda la tabla.
- Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza
clasificada) con un complemento, llamado entidad. La entidad se
corresponde con el campo Path/URL/Clave de Registro /IP:Puerto de la tabla.
- La entidad se complementa con un segundo campo que aade informacin
a la accin, que se corresponde con el campo Hash del Fichero/Valor del
Registro
- /Protocolo-Direccin/Descripcin.

A continuacin, se muestran dos acciones de ejemplo de un mismo malware hipottico:

Hash del Fichero/Valor de


N Path/URL/Clave
Fecha Accin Registro/Protocolo- Confiable
veces Registro/IP:Port
Direccin/Descripcin
3/30/2015
Connects
4:38:40 1 54.69.32.99:80 TCP-Bidrectional NO
with
PM

3/30/2015 PROGRAM_FILES|\
9994BF035813FE8EB6BC98E
4:38:45 1 Loads MOVIES NO
TOOLBAR\SAFETYN CCBD5B0E1
PM

La primera accin indica que el malware (sujeto) se conecta (Accin Connects with) con
la direccin IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional.
La segunda accin indica que el malware (sujeto) carga (Accin Loads) la librera
PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash
9994BF035813FE8EB6BC98ECCBD5B0E1

Al igual que en el lenguaje natural en Adaptive Defense 360 se implementan dos tipos de
oraciones:

- Activa: Son acciones predicativas (con un sujeto y un predicado) relacionados por


un verbo en forma activa. En estas acciones el verbo de la accin relaciona el
sujeto, que siempre es el proceso clasificado como amenaza y un complemento
directo, la entidad, que puede ser de mltiples tipos segn el tipo de accin.
- Pasiva: Son acciones donde el sujeto (el proceso clasificado como malware) pasa
a ser sujeto paciente (que recibe la accin, no la ejecuta) y el verbo viene en
forma pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto
pasivo que recibe la accin con la entidad, que es la que realiza la accin.

Ejemplos de acciones activas son los siguientes:

- Connects with

212
Gua para administradores de red

- Loads
- Creates

Ejemplos de acciones pasivas son los siguientes:

- Is created by
- Downloaded from

A continuacin, se muestra una accin pasiva de ejemplo para un malware hipottico

Path/URL/
Hash del Fichero/Valor de
N Clave
Fecha Accin Registro/Protocolo- Confiable
veces Registro/
Direccin/Descripcin
IP:Port
3/30/2015 Is
WINDOWS|\ 7522F548A84ABAD8FA516D
4:51:46 1 executed NO
explorer.exe E5AB3931EF
PM by

En esta accin el malware (sujeto pasivo) es ejecutado (accin pasiva Is executed by) por
el programa WINDOWS|\explorer.exe (entidad) de hash
7522F548A84ABAD8FA516DE5AB3931EF.
Las acciones de tipo Activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el
Malware. Por el contrario, las acciones de tipo pasivo suelen reflejar el vector de infeccin
utilizado por el malware (qu proceso lo ejecut, qu proceso lo copi al equipo del usuario
etc.).

21.3. Anlisis forense mediante grafos de ejecucin

Los grafos de ejecucin representan de forma visual la informacin mostrada en las tablas
de acciones poniendo nfasis en el enfoque temporal.
Los grafos se utilizan inicialmente para tener, de un solo vistazo, una idea general de las
acciones desencadenadas por la amenaza.

21.3.1 Diagramas

213
Gua para administradores de red

La cadena de acciones en la vista de grafos de ejecucin queda representada por dos


elementos:

- Nodos: representan acciones en su mayora o elementos informativos


- Lneas y flechas: unen los nodos de accin e informativos para establecer un orden
temporal y asignar a cada nodo el rol de sujeto o predicado.

21.3.2 Nodos
Los nodos muestran la informacin mediante su icono asociado, color y un panel
descriptivo que se muestra a la derecha de la pantalla cuando se seleccionan con el ratn.
El cdigo de colores utilizado es el siguiente:

- Rojo: elemento no confiable, malware, amenaza.


- Naranja: elemento desconocido, no catalogado.
- Verde: elemento confiable, goodware.

A continuacin, se listan los nodos de tipo accin junto con una breve descripcin:

Smbolo Tipo Nodo Descripcin

- Fichero descargado
Accin
- Fichero comprimido creado

Accin - Socket / comunicacin usada

Accin - Comenzada la monitorizacin

Accin - Proceso creado

- Fichero ejecutable creado


Accin - Librera creada
- Clave en el registro creada

- Fichero ejecutable modificado


Accin
- Clave de registro modificada

- Fichero ejecutable mapeado para


Accin
escritura

Accin - Fichero ejecutable borrado

214
Gua para administradores de red

Accin - Librera cargada

Accin - Servicio instalado

Accin - Fichero ejecutable renombrado

Accin - Proceso detenido o cerrado

Accin - Hilo creado remotamente

Accin - Fichero comprimido abierto

A continuacin, se listan los nodos de tipo descriptivo junto con una breve descripcin

Tipo
Smbolo Descripcin
Nodo
Nombre de fichero y
extensin
Nodo o Verde: Goodware
Final o Naranja: No
catalogado
o Rojo: Malware/PUP

Equipo interno (est en


Nodo la red corporativa)
Final o Verde: Confiable
o Naranja: desconocido
o Rojo: No confiable

Equipos externo
Nodo o Verde: Confiable
Final o Naranja: desconocido
o Rojo: No confiable

Nodo Pas asociado a la IP de un


Final equipo externo

Nodo
Fichero y extensin
Final

Nodo
Clave del registro
Final

21.3.3 Lneas y flechas


Las lneas del diagrama de grafos relacionan los diferentes nodos y ayudan a establecer el
orden de ejecucin de acciones de la amenaza de forma visual.

215
Gua para administradores de red

Los dos atributos de una lnea son:

- Grosor de la lnea: el grosor de una lnea que une dos nodos indica el nmero de
ocurrencias que esta relacin ha tenido en el diagrama. A mayor nmero de
ocurrencias mayor tamao de la lnea
- Flecha: marca la direccin de la relacin entre los dos nodos.

21.3.4 La lnea temporal


La lnea temporal o Timeline permite controlar la visualizacin de la cadena de acciones
realizada por la amenaza a lo largo del tiempo. Mediante los botones situados en la parte
inferior de la pantalla podemos colocarnos en el momento preciso donde la amenaza
realiz cierta accin y recuperar informacin extendida que nos puede ayudar en los
procesos de anlisis forense.
La lnea temporal de los grafos de ejecucin tiene este aspecto:

Inicialmente podemos seleccionar un intervalo concreto de la lnea temporal arrastrando


los selectores de intervalo hacia la izquierda o derecha para abarcar la franja temporal
que ms nos interese.

Una vez seleccionada la franja temporal el grafo mostrar nicamente las acciones y
nodos que caigan dentro de ese intervalo. El resto de acciones y nodos quedar
difuminado en el diagrama.
Las acciones de la amenaza quedan representadas en la lnea temporal como barras
verticales acompaadas del time stamp, que marca la hora y minuto donde ocurrieron.

21.3.5 Zoom in y Zoom out


Con los botones + y de la barra temporal podemos hacer zoom in o zoom out para ganar
mayor resolucin en el caso de que haya muchas acciones en un intervalo de tiempo

216
Gua para administradores de red

corto.

21.3.6 Timeline (lnea temporal)


Para poder ver la ejecucin completa de la amenaza y la cadena de acciones que
ejecut se utilizan los siguientes controles:

- Iniciar: comienza la ejecucin de la Timeline a velocidad constante de 1x. Los


grafos y las lneas de acciones irn apareciendo segn se vaya recorriendo la lnea
temporal.
- 1x: establece la velocidad de recorrido de la lnea temporal
- Detener: detiene la ejecucin de la lnea temporal
- + y -: zoom in y zoom out de la lnea temporal
- < y >: mueve la seleccin del nodo al inmediatamente anterior o posterior
- Zoom inicial: recupera el nivel de zoom inicial si se modific con los botones + y
- Seleccionar todos los nodos: mueve los selectores temporales para abarcar toda
la lnea temporal
- Primer nodo: Establece el intervalo temporal en el inicio, paso necesario para
iniciar la visualizacin de la TimeLine completa
Para poder visualizar el recorrido completo de la Timeline primero seleccionar Primer nodo y
despus Iniciar. Para ajustar la velocidad de recorrido seleccionar el botn 1x.

21.3.7 Filtros
En la parte superior del diagrama de grafos se encuentran los controles para filtrar la
informacin mostrada.

Los criterios de filtrado disponibles son:

- Accin: desplegable que permite seleccionar un tipo de accin de entre todas las
ejecutadas por la amenaza. De esta manera el diagrama solo muestra los nodos
que coincidan con el tipo de accin seleccionada y aquellos nodos adyacentes
relacionados con esta accin.
- Entidad: desplegable que permite elegir una entidad (contenido del campo
Path/URL/Entrada de registro /IP:Puerto)

21.3.8 Movimiento de los nodos y zoom general del grafo


Para mover el grafo en las cuatro direcciones y hacer zoom in o zoom out se pueden utilizar
los controles situados en la parte superior derecha del grafo.

Para hacer zoom in y zoom out ms fcilmente se puede utilizar la rueda central del ratn.

El smbolo X permite salir de la vista de grafos.

217
Gua para administradores de red

Si se prefiere ocultar la zona de botones Timeline para utilizar un mayor espacio de la


pantalla

para el grafo se puede seleccionar el smbolo situado en la parte inferior derecha del
grafo.
Finalmente, el comportamiento del grafo al ser representando en pantalla o arrastrado por
alguno de sus nodos se puede configurar mediante el panel mostrado a continuacin,
accesible al seleccionar el botn situado a la izquierda arriba del grafo

21.4. Interpretacin de las tablas de acciones y grafos de actividad

Para interpretar correctamente las tablas de acciones y grafos de Actividad se requieren


ciertos conocimientos tcnicos ya que ambos recursos son representaciones de los
volcados de evidencias recogidas, que debern ser interpretadas por el propio
administrador de red de la empresa.
En este captulo se ofrecen unas directrices bsicas de interpretacin a travs de varios
ejemplos de malware real.
El nombre de las amenazas aqu indicadas puede variar entre diferentes proveedores de
seguridad. Para identificar un malware concreto se recomienda utilizar el hash de identificacin.

218
Gua para administradores de red

21.4.1 Ejemplo 1: Visualizacin de las acciones ejecutadas por el malware


Trj/OCJ.A
En la cabecera de la tabla alertas se muestra la informacin fundamental del malware
encontrado. En este caso los datos relevantes son los siguientes:

- Fecha: 06/04/2015 3:21:36


- Equipo: XP-BARCELONA1
- Nombre: Trj/OCJ.A
- Tipo: MW
- Estado: Ejecutado
- Ruta del Malware: TEMP|\Rar$EXa0.946\appnee.com.patch.exe

Estado del equipo


El estado del malware es Ejecutado debido a que el modo de Adaptive Defense 360
configurado era Hardening: el malware ya resida en el equipo en el momento en que
Adaptive Defense 360 se instal y era desconocido en el momento de su ejecucin.

Hash
Con la cadena de hash se podr obtener ms informacin en sitios como Virus total para
tener una idea general de la amenaza y su forma de funcionamiento.

Ruta del Malware


La ruta donde se detect el malware por primera vez en el equipo pertenece a un
directorio temporal y contiene la cadena RAR, de modo que procede de un fichero
empaquetado que el programa WinRar descomprimi temporalmente en el directorio y
dio como resultado el ejecutable appnee.com.patch.exe

Tabla de acciones

Paso Fecha Accin Path

1 3:17:00 Created by PROGRAM_FILES|\WinRAR\WinRAR.exe

2 3:17:01 Executed by PROGRAM_FILES|\WinRAR\WinRAR.exe

3 3:17:13 Create TEMP|\bassmod.dll

219
Gua para administradores de red

PROGRAM_FILES|\Adobe\ACROBAT
4 3:17:34 Create
11.0\Acrobat\AMTLIB.DLL.BAK

PROGRAM_FILES|\Adobe\ACROBAT
5 3:17:40 Modify
11.0\Acrobat\amtlib.dll

PROGRAM_FILES|\ADOBE\ACROBAT
6 3:17:40 Delete
11.0\ACROBAT\AMTLIB.DLL.BAK

PROGRAM_FILES|\Adobe\ACROBAT
7 3:17:41 Create
11.0\Acrobat\ACROBAT.DLL.BAK

PROGRAM_FILES|\Adobe\ACROBAT
8 3:17:42 Modify
11.0\Acrobat\Acrobat.dll

PROGRAM_FILES|\Google\
9 3:17:59 Execute
Chrome\Application\chrome.exe

Los pasos 1 y 2 indican que el malware fue descomprimido por el WinRar.Exe y ejecutado
desde el mismo programa: el usuario abri el fichero comprimido e hizo clic en el binario
que contiene.
Una vez en ejecucin en el paso 3 el malware crea una dll (bassmod.dll) en una carpeta
temporal y otra (paso 4) en el directorio de instalacin del programa Adobe Acrobat 11.
En el paso 5 tambin modifica una dll de Adobe, quiz para aprovechar algn tipo de
exploit del programa.
Despus de modificar otras dlls lanza una instancia de Chrome y en ese momento termina
la Timeline; Adaptive Defense 360 catalog el programa como amenaza despus de esa
cadena de acciones sospechosas y ha detenido su ejecucin.
En la Timeline no aparecen acciones sobre el registro de modo que es muy probable que
el malware no sea persistente o no haya podido ejecutarse hasta ese punto de lograr
sobrevivir a un reinicio del equipo.
El programa Adobe Acrobat 11 ha resultado comprometido de modo que se recomienda
su reinstalacin, aunque gracias a que Adaptive Defense 360 monitoriza ejecutables tanto
si son goodware como malware, la ejecucin de un programa comprometido ser
detectada en el momento en que desencadene acciones peligrosas, terminando en su
bloqueo.

21.4.2 Ejemplo 2: Comunicacin con equipos externos en BetterSurf


BetterSurf es un programa potencialmente no deseado que modifica el navegador
instalado en el equipo del usuario e inyecta anuncios en las pginas Web que visite.
En la cabecera de la tabla alertas se muestra la informacin fundamental del malware
encontrado. En este caso se cuenta con los siguientes datos:

- Fecha: 30/03/2015
- Equipo: MARTA-CAL

220
Gua para administradores de red

- Nombre: PUP/BetterSurf
- Tipo: MW
- Ruta del Malware: PROGRAM_FILES|\VER0BLOCKANDSURF\N4CD190.EXE
- Tiempo de exposicin: 11 das 22 horas 9 minutos 46 segundos

Tiempo de exposicin
En este caso el tiempo de exposicin ha sido muy largo: durante casi 12 das el malware
estuvo en estado latente en la red del cliente. Este comportamiento es cada vez ms usual
y puede deberse a varios motivos: puede ser que el malware no ha realizado ninguna
accin sospechosa hasta muy tarde o que simplemente el usuario descarg el fichero, pero
no lo ejecut en el momento.

Tabla de acciones

Paso Fecha Accin Path

08/03/2015
1 Created by TEMP|\08c3b650-e9e14f.exe
11:16

18/03/2015
2 Executed by SYSTEM|\services.exe
11:16

18/03/2015 PROGRAM_FILES|\VER0BLOF\N4Cd1
3 Load
11:16 90.dll

18/03/2015
4 Load SYSTEM|\BDL.dll
11:16

18/03/2015
5 Socket used 127.0.0.1:13879
11:16

18/03/2015
6 Socket used 37.58.101.205:80
11:16

18/03/2015
7 Socket used 5.153.39.133:80
11:17

18/03/2015
8 Socket used 50.97.62.154:80
11:17

18/03/2015
9 Socket used 50.19.102.217:80
11:17

En este caso se puede apreciar como el malware establece comunicacin con varias IPs.
La primera de ellas (paso 5) es el propio equipo y el resto son IPs del exterior a las que se
conecta por el puerto 80, de las cuales probablemente se descargue los contenidos de

221
Gua para administradores de red

publicidad.
La principal medida de prevencin en este caso ser bloquear las IPs en el cortafuegos
corporativo.

Antes de aadir reglas para el bloqueo de IPs en el cortafuegos corporativo se recomienda


consultar las IPs a bloquear en el RIR asociado (RIPE, ARIN, APNIC etc.) para ver la red del
proveedor al que pertenecen. En muchos casos la infraestructura remota utilizada por el malware
es compartida con servicios legtimos alojados en proveedores como Amazon y similares de
modo que bloquear IPs equivaldra a bloquear tambin el acceso a pginas Web normales.

21.4.3 Ejemplo 3: acceso al registro con PasswordStealer.BT


PasswordStealer.BT es un troyano que registra la Actividad del usuario en el equipo y enva
la informacin obtenida al exterior. Entre otras cosas es capaz de capturar la pantalla del
usuario, registras las teclas pulsadas y enviar ficheros a un servidor C&C (Command &
Control).
En la cabecera de la tabla alertas se muestra la informacin fundamental del Malware
encontrado. En este caso se cuenta con los siguientes datos:

- Ruta del Malware: APPDATA|\microsoftupdates\micupdate.exe


Por el nombre y la localizacin del ejecutable el malware se hace pasar por una
actualizacin de Microsoft. Este malware en concreto no tiene capacidad para contagiar
equipos por s mismo, requiere que el usuario ejecute de forma manual el virus.

Estado del equipo


El estado del malware es Ejecutado debido a que el modo de Adaptive Defense 360
configurado era Hardening: el malware ya resida en el equipo en el momento en que
Adaptive Defense 360 se instal y era desconocido en el momento de su ejecucin.

Tabla de acciones

Paso Fecha Accin Path

31/03/2015 PROGRAM_FILESX86|\internet
1 Executed by
23:29 explorer\iexplore.exe

2 31/03/2015 Created by INTERNET_CACHE|\Content.IE5\


23:29 QGV8PV80\ index[1].php

Creates Reg \REGISTRY\USER\S-1-5[...]9-


3 31/03/2015
Key To Exe 5659\Software\Microsoft\Wind ows\
23:30
CurrentVersion\Run?MicUpdate

4 31/03/2015 Execute SYSTEMX86|\notepad.exe


23:30

Remote
5 31/03/2015 Thread SYSTEMX86|\notepad.exe
23:30 Create d by

222
Gua para administradores de red

En este caso el malware es creado en el paso 2 por una pgina Web y ejecutado por el
navegador Internet Explorer.
El orden de las acciones tiene una granularidad de 1 microsegundo. Por esta razn varias
acciones ejecutadas dentro del mismo microsegundo pueden aparecer desordenadas en la
Timeline, como sucede en el paso 1 y paso 2.

Una vez ejecutado el malware se hace persistente en el paso 3 aadiendo una rama en el
registro que pertenece al usuario y que lanzar el programa en el inicio del sistema.
Despus comienza a ejecutar acciones propias del malware como arrancar un notepad e
inyectar cdigo en uno de sus hilos.
Como accin de resolucin en este caso y en ausencia de un mtodo de desinfeccin
conocido se puede minimizar el impacto de este malware borrando la entrada del registro.
Es muy posible que en una maquina infectada el malware impida modificar dicha entrada;
dependiendo del caso sera necesario arrancar el equipo en modo seguro o con un CD de
arranque para borrar dicha entrada.

21.4.4 Ejemplo 4: Acceso a datos confidenciales en Trj/Chgt.F


Trj/Chgt.F fue publicado por wikileaks a finales de 2014 como herramienta utilizada por las
agencias gubernamentales de algunos pases para realizar espionaje selectivo.
En este ejemplo pasaremos directamente a la tabla de acciones para observar el
comportamiento de esta amenaza avanzada.
Tabla de acciones

Paso Fecha Accin Path

4/21/2015 Is executed
1 SYSTEMDRIVE|\Python27\pythonw.exe
2:17:47 PM by

4/21/2015 Accesses
2 #.XLS
2:18:01 PM Data

4/21/2015 Accesses
3 #.DOC
2:18:01 PM Data

4/21/2015
4 Creates TEMP|\doc.scr
2:18:03 PM

4/21/2015
5 Executes TEMP|\doc.scr
2:18:06 PM

4/21/2015 PROGRAM_FILES|\Microsoft
6 Executes
2:18:37 PM Office\Office12\WI NWORD.EXE

4/21/2015 Connects
7 192.168.0.1:2042
8:58:02 PM with

223
Gua para administradores de red

Inicialmente el malware es ejecutado por el intrprete de Python (paso 1) para luego


acceder a un documento de tipo Excel y otro de tipo Word (paso 2 y 3). En el paso 4 se
ejecuta un fichero de extensin scr, probablemente un salvapantallas con algn tipo de
fallo o error que provoque una situacin anmala en el equipo y que pueda ser
aprovechada por el malware.
En el paso 7 se produce una conexin de tipo TCP. La direccin IP es privada de modo que
se estara conectando a la red del propio cliente.
En este caso se deber de comprobar el contenido de los ficheros accedidos para evaluar
la prdida de informacin, aunque viendo la Timeline la informacin accedida en principio
no ha sido extrada de la red del cliente.
Adaptive Defense 360 desinfectar por s mismo la amenaza y bloquear de forma
automtica posteriores ejecuciones del malware en este y en otros clientes.

224
Gua para administradores de red

22. Apndice I:
Herramientas
de instalacin
centralizada
Instalacin mediante Directorio Activo
Instalacin mediante la herramienta de
distribucin

225
Gua para administradores de red

22.1. Introduccin

Adaptive Defense 360 permite la instalacin del agente Windows de forma centralizada en
redes de tamao medio o grande, mediante la herramienta de distribucin centralizada
incluida de forma gratuita o con herramientas de terceros.
En este captulo se detalla la instalacin del agente Adaptive Defense 360 en una red
Windows con Directorio Activo y con la herramienta de distribucin incluida.

22.2. Instalacin mediante Directorio Activo

A continuacin, se muestran los pasos de una instalacin mediante una GPO (Group Policy
Object).

- Descarga del instalador Adaptive Defense 360 y comparticin: Coloca el instalador


Adaptive Defense 360 en una carpeta compartida que sea accesible por todos
aquellos equipos que vayan a recibir el agente.
- Abre el applet Active Directory Users and Computers en el Directorio Activo de la
red y crea una nueva OU (Organizational Unit) de nombre Adaptive Defense.

- Abre el snap-in Group Policy Management y en Domains selecciona la OU recin


creada para bloquear la herencia.

226
Gua para administradores de red

- Crea una nueva GPO en la OU Adaptive Defense

- Edita la GPO

227
Gua para administradores de red

- Aade un nuevo paquete de instalacin que contendr el agente Adaptive


Defense 360. Para ello se nos pedir que aadamos el instalador a la GPO.

- Una vez aadido mostramos las propiedades y en la pestaa Deployment,


Advanced selecciona la casilla que evita la comprobacin entre el sistema
operativo de destino y el definido en el instalador.

228
Gua para administradores de red

- Finalmente aade en la OU Adaptive Defense creada anteriormente en Active


Directory Users and Computers a todos los equipos de la red que se quiera enviar el
agente.

22.3. Instalacin mediante la herramienta de distribucin

22.3.1 Requisitos mnimos


La instalacin mediante la herramienta de distribucin requiere de un equipo Windows con
los requisitos mnimos mostrados a continuacin:

- Sistema operativo: Windows, 10, Windows 8.1, Windows 8, Windows 7 (32 y 64 bits),
Windows
- Vista (32 y 64 bits), Windows XP Professional (32 y 64 bits), Windows 2000 Professional,
Windows
- Server 2000, Windows Server 2003 (32 y 64 bits), Windows Server 2008 (32 y 64 bits),
Windows Server 2008 R2, Windows Home Server, Windows Server 2012 y Windows
Server 2012 R2 (PCOP 6.70.20).
- Memoria: 64 MB
- Disco duro: 20 MB
- Procesador: Pentium II 300 MHz o equivalente
- Windows Installer 2.0 (aunque se recomienda Windows Installer 3.0 si se quiere
poder desinstalar de forma remota)
- Navegador: Internet Explorer 6.0 o superior

229
Gua para administradores de red

- Otros:
Tener acceso al recurso Admin$ de los equipos en los que se va a
distribuir la proteccin.
Disponer de un usuario con derechos de administrador sobre los
equipos en los que se va a distribuir la proteccin.
Para que la herramienta funcione correctamente, en caso de utilizar Internet Explorer
deber desactivar en las Opciones Avanzadas de Seguridad el uso de SSL y activar el uso
de TSL:

22.3.2 Pasos para el despliegue


A continuacin, se muestran los pasos de una instalacin mediante la herramienta de
distribucin de Panda Security.
Para descargar la herramienta de instalacin haz clic en la ventana Instalacin y luego
Descargar herramienta de distribucin

230
Gua para administradores de red

- Ejecuta el fichero Distributiontool.msi en el equipo que distribuir el agente


Adaptive Defense 360 en la red.
- Una vez instalado ejecuta la herramienta desde el men Inicio de Windows y se
mostrar la pantalla de Instalacin de protecciones, que permitir distribuir la
proteccin de dos modos:

Distribucin por Dominios

- Introduce el grupo en el que se vayan a incluir los equipos a instalar. Esta seleccin
marcar el perfil de proteccin que se va a aplicar a estos equipos.
- Dentro del rbol de red, selecciona los dominios o equipos sobre los que se quiere
instalar.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
instalacin. El nombre de usuario deber introducirse con formato
dominio\usuario.
- Una vez introducidos los datos, pulsa la opcin Instalar, para generar las tareas de
instalacin.

Distribucin por direcciones IP o nombre de equipo

- Introduce el grupo en el que se vayan a incluir los equipos a instalar. Esta seleccin
marcar el perfil de proteccin que se va a aplicar a estos equipos.
- En este paso, aade los nombres de los equipos a instalar, o las direcciones IP de
los mismos, separadas por comas. Tambin es posible seleccionar rangos de IPs
(usar el smbolo - para los rangos (ej: 172.18.15.10 172.18.15.50).
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
instalacin. El nombre de usuario se deber introducir con formato
dominio\usuario
- Pulsa Instalar, para generar las tareas de instalacin.
Verifica desde la consola que la tarea de instalacin se ha completado
con xito.

231
Gua para administradores de red

A partir de entonces, comenzar la instalacin de la proteccin, de


forma completamente transparente.
Reinicia el equipo si as lo solicita.

22.3.3 Pasos para la desinstalacin centralizada de Adaptive Defense 360


La herramienta de distribucin de Adaptive Defense 360 permite desinstalar la proteccin
de una forma centralizada, evitando as la intervencin manual de los usuarios a lo largo
del proceso. Para ello sigue los pasos mostrados a continuacin:

- Una vez en la consola de la herramienta, selecciona Desinstalar protecciones. Se


abrir la pantalla Desinstalacin de protecciones, que permitir desinstalar la
proteccin de dos modos:

Desinstalacin por Dominios

- Dentro del rbol de red, selecciona los dominios o equipos de los que quieres
desinstalar.
- Introduce la contrasea de desinstalacin que se utiliz para la instalacin. En el
caso de no haber utilizado contrasea, deja este campo en blanco.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
desinstalacin.
- El nombre de usuario deber introducirse con formato dominio\usuario.
- Selecciona si deseas mantener los elementos en la cuarentena o no. En el caso de
activar esta casilla, los elementos en cuarentena se eliminarn.
- Selecciona si deseas reiniciar los equipos tras la desinstalacin. En este caso, los
equipos se reiniciarn automticamente una vez concluida la desinstalacin.
- Una vez introducidos los datos, pulse la opcin Desinstalar, para generar las tareas
de desinstalacin.

Desinstalacin por direcciones IP o nombre de equipo

- Aade los nombres de los equipos a desinstalar, o las direcciones IP de los mismos,
separadas por comas. Tambin es posible seleccionar rangos de IPs (usar el
smbolo - para los rangos (ej: 172.18.15.10 172.18.15.50).
- Introduce la contrasea de desinstalacin que se utiliz para la instalacin. En el
caso de no haber utilizado contrasea, deja este campo en blanco.
- Utiliza un usuario y contrasea con permisos de administrador para realizar la
desinstalacin.
- El nombre de usuario se deber introducir con formato dominio\usuario
- Selecciona si deseas mantener los elementos en la cuarentena o no. En el caso de
activar esta casilla, los elementos en cuarentena se eliminarn.
- Selecciona si deseas reiniciar los equipos tras la desinstalacin. En este caso, los
equipos se reiniciarn automticamente una vez concluida la desinstalacin.
- Pulse Desinstalar, para generar las tareas de desinstalacin.
Verifica desde la consola que la tarea de desinstalacin se ha
completado con xito.
A partir de ese momento, comenzar la desinstalacin de las
protecciones, de forma completamente transparente.
Reinicia los equipos cuando as se solicite.

232
Gua para administradores de red

23. Apndice II:


Comunicacin
con el
endpoint
Comunicacin del endpoint con Internet
Consumo de ancho de banda
Seguridad de las comunicaciones y de los
datos almacenados

233
Gua para administradores de red

23.1. Introduccin

En este apndice se describen las comunicaciones entre los agentes y el servidor


Adaptive Defense 360.

23.2. Comunicacin del endpoint con Internet

23.2.1 Intervalos de comunicacin


Los agentes Adaptive Defense 360 instalados en los equipos de la red se comunican con el
servidor a intervalos regulares. Estos intervalos dependen del tipo de informacin que se
transmita. Las cifras indicadas a continuacin indican el tiempo transcurrido como mximo
desde que se produce un evento que deba ser enviado al servidor, hasta que realmente
se enva.

- Comprobacin de cambios de configuracin en la consola: cada 15 minutos


- Cambios en la configuracin del equipo (nombre, IP, Mac, versin del sistema
operativo, Service pack etc): cada 12 horas.
- Configuracin del equipo (sin cambios): cada 24 horas
- Comprobacin de nuevo archivo de identificadores: 4 horas por defecto. Consulta
el captulo Actualizacin de la proteccin para cambiar esta configuracin
- Comprobacin de actualizacin del motor de la proteccin: 12 horas por defecto.
Consulta el captulo Actualizacin de la proteccin para cambiar esta
configuracin

23.2.2 Acceso a Internet


La siguiente tabla muestra de forma resumida cmo acceden a Internet los agentes de
Adaptive Defense 360 para las tareas que requieren comunicacin a travs de Internet.

No conecta do a Internet (al


Paso Conecta do a Internet menos 1 agente en la red
est conecta do)
Desde el puesto que tenga
Mensajes de Desde el puesto o tambin se pueden conexin a Internet o desde
comunicacin realizar desde un equipo especificado el equipo que se haya
con el servidor por configuracin. especificado de forma
explcita por configuracin
Comparte las firmas descargadas por
otros equipos de la red gracias a la
tecnologa P2P.
Descarga los ficheros de firmas si otro
Actualizacin desde el
equipo de la red no las ha descargado
puesto de la red que tenga
Actualizacin previamente.
conexin a Internet o desde
de ficheros de Tambin se puede especificar por
el equipo que se haya
firmas configuracin un equipo del que realizar
especificado de forma
las descargas de las firmas. Este equipo
explcita por configuracin.
actuar tambin como repositorio
almacenando las firmas para que no sea
necesario volver a descargarlas cuando
las solicite otro equipo.

234
Gua para administradores de red

Comparte los paquetes descargados


por otros equipos de la red gracias a la
tecnologa P2P de Adaptive Defense
Actualizacin desde el
360.
puesto de la red que tenga
Instalacin y Descarga los paquetes si otro equipo de
conexin a Internet o desde
actualizaciones la red no los ha descargado
el equipo que se haya
del producto previamente.
especificado de forma
Tambin se puede especificar de forma
explcita por configuracin.
explcita por configuracin un equipo
del que realizar la descarga del paquete
del producto.
No disponible an el acceso
Acceso a la
Las comunicaciones con la Inteligencia a la Inteligencia Colectiva
Inteligencia
Colectiva son desde cada PC.* desde puestos sin conexin a
colectiva
Internet*.

*Si los PCs salen a Internet a travs del proxy de la empresa, Adaptive Defense 360 har lo
mismo. El proxy de la empresa a utilizar es parte de la configuracin de Adaptive Defense
360.

23.3. Consumo de ancho de banda

La siguiente tabla muestra en forma de resumen el consume de ancho de banda de


Adaptive Defense 360 para los diferentes tipos de comunicacin que se realizan.

Tipo de
Uso de ancho de banda aproximado
comunicacin

Instalacin del 8.18 MB: Instalador y agente de comunicaciones


producto 60.5 MB: Paquete del Endpoint de seguridad

240 KB cada 12 horas (190KB en mensajes cada 15 minutos para ver si


Comunicaciones
hay cambios de configuracin y 50 KB en mensajes de estado,
con el servidor
configuracin y reportes)
Envo de las
acciones
realizadas por 1 MB al da por cada Endpoint
cada proceso
en ejecucin
Actualizacin de
25 MB slo la primera vez, tras instalar la proteccin 200 -300 KB cada
los ficheros de
24 horas para las actualizaciones incrementales de conocimiento
conocimiento**
8.18 MB: Agente de comunicaciones
Actualizaciones 60.5 MB: Paquete del Endpoint de seguridad
del producto** Se realiza una actualizacin del producto cada 6 meses
aproximadamente.
Proteccin permanente en tiempo real
500 KB: Consumo el primer da cuando la cache est vaca.
Consultas a la 35-100 KB: Consumo tras el primer da, una vez que la informacin
inteligencia est cacheada.
Colectiva Anlisis de todo el PC
200-500 KB: Primer anlisis de todo el PC. 50-200 KB: Sucesivos anlisis
de todo el PC.

*46,2 MB para el instalador de 64 bits

235
Gua para administradores de red

**Las descargas para las actualizaciones de los ficheros de firmas y del producto son
realizadas por 1 nico endpoint de la red, siempre y cuando los diferentes endpoints
requieran los mismos ficheros, gracias a la tecnologa P2P de Adaptive Defense 360.

Los ficheros de firmas incrementales son diferentes dependiendo del nmero de das que
lleven desactualizados. As, si un endpoint tiene ficheros de firmas de hace 2 das y otro
tiene ficheros de firmas de hace 1 da, los ficheros de firmas incrementales que se requieren
descargar son diferentes.

Si se especifica de forma explcita que un equipo acte como proxy / repositorio, todas las
comunicaciones excepto las consultas a la Inteligencia Colectiva se harn a travs de este
equipo. Adems, los ficheros de firmas se almacenarn en el equipo configurado como
repositorio de forma que no ser necesario descargarlas de nuevo cuando otro equipo de
la red las requiera.

Clculo del consumo de ancho de banda


Supongamos que tenemos una red de X PCs que estn conectados entre s en la red local
y en los cuales vamos a instalar Adaptive Defense 360. El consumo de ancho de banda en
esta red ser aproximadamente el reflejado en la siguiente tabla.

Consumo de ancho de
Tipo de Consumo de ancho de banda en la en
banda de acceso a Internet
comunicacin red local de X PCs
de X PCs
8.18 MB del instalador y
agente de 8.18 MB del instalador y agente de
Instalacin del comunicaciones X PCs + comunicaciones X PCs
producto (1 nica
60.5 MB del paquete del 60.5 MB del paquete del Endpoint de
vez)
Endpoint de seguridad * X seguridad
PCs

Comunicaciones
240 KB cada 12 horas * X PCs 240 KB cada 12 horas * X PCs
con el servidor

Envo de las
acciones
realizadas por 1 MB al da * X PCs 1 MB al da * X PCs
cada proceso en
ejecucin
25 MB slo la primera
vez, tras instalar la 25 MB slo la primera vez, tras instalar
Actualizacin de proteccin * X PCs la proteccin
los ficheros de + 160 KB cada 24 horas para 160 KB cada 24 horas para las
conocimiento las actualizaciones de actualizaciones de conocimiento
conocimiento incremental * incremental
X PCs
8.18 MB del instalador y
Actualizaciones agente de 8.18 MB del instalador y agente de
del producto comunicaciones * X PCs comunicaciones
(cada 6 meses + 60.5 * MB del paquete del + 60.5 * MB del paquete del Endpoint
aproximadamente) Endpoint de seguridad * X de seguridad
PCs

236
Gua para administradores de red

Consultas a la
500 KB la primera vez * X PCs 500 KB la primera vez * X PCs
inteligencia
+ 35-100 KB cada da * X PCs + 35-100 KB cada da * X PCs
Colectiva

*46,2 MB para el instalador de 64 bits

23.4. Seguridad de las comunicaciones y de los datos almacenados

El nuevo modelo de proteccin de Adaptive Defense 360 requiere obtener informacin de


las acciones realizadas por las aplicaciones instaladas en los equipos del cliente.
La recogida de datos en Adaptive Defense 360 sigue de forma estricta las directrices
generales que se listan a continuacin

- Se recoge nicamente informacin relativa a ficheros ejecutables de Windows,


(ficheros .exe, .dll,) que se ejecutan / cargan en el equipo del usuario. No se
recoge ninguna informacin sobre ficheros de datos.
- Los atributos de los ficheros se envan normalizados retirando la informacin
referente al usuario logueado. As por ejemplo las rutas de ficheros se normaliza
como LOCALAPPDATA\nombre.exe en lugar de
c:\Users\NOMBRE_DE_USUARIO \AppData\Local\nombre.exe)
- Las URLS recogidas son nicamente las de descarga de ficheros ejecutables. No se
recogen URLs de navegacin de usuarios.
- No existe nunca la relacin dato-usuario dentro de los datos recogidos.
- En ningn caso Adaptive Defense 360 enva informacin personal a la nube.

Como informacin imprescindible para soportar el nuevo modelo de proteccin, Adaptive


Defense 360 enva informacin sobre las acciones que realizan las aplicaciones ejecutadas
en cada equipo del usuario.

Atributo Dato Descripcin Ejemplo

Hash del fichero al que


Fichero Hash N/A
hace referencia el evento

http://www.malwa
Direccin desde donde se ha re.com/
URL Url
descargado un ejecutable
ejecutable.exe

Ruta normalizada en la que se


Path Ruta encuentra el fichero al que APPDATA\
hace referencia el evento
HKEY_LOCAL_MAC
HINE\
Clave del registro de Windows SOFTWARE\Panda
Registro Clave/Valor
y su contenido relacionado Security\Panda
Research\Minerva\
Version = 3.2.21

237
Gua para administradores de red

Identificador de operacin
realizada en el evento
(creacin/modificacin/car El evento de tipo 0
Operacin Id Operacin indica la ejecucin
ga/.. de ejecutable,
de un ejecutable
descarga de ejecutable,
comunicacin,)
Recoge el evento de
Malware.exe enva
Comunica Protocolo/Puerto/ comunicacin de un proceso
datos por UDP en el
cin Direccin (no su contenido) junto con el
puerto 4865
protocolo y direccin
Recoge la lista de software Office 2007, Firefox
Software Software Instalado instalado en el endpoint segn 25, IBM Client
el API de Windows Access 1.0

238
Gua para administradores de red

24. Apndice III:


Listado de
desinstaladores

239
Gua para administradores de red

Si deseas instalar Adaptive Defense 360 en un equipo en el que ya se encuentra instalada


alguna otra solucin de seguridad ajena a Panda Security, puedes elegir entre instalarlo sin
desinstalar la otra proteccin, de tal manera que ambas soluciones de seguridad convivan
en el mismo equipo o, por el contrario, desinstalar la otra solucin de seguridad y funcionar
exclusivamente con Adaptive Defense 360.
En funcin del tipo de versin de Adaptive Defense 360 que desees instalar, el
comportamiento por defecto vara.

Versiones Trials
En versiones de evaluacin por defecto Adaptive Defense 360 se instalar en un equipo
que ya dispone de otra solucin ajena a Panda Security. De esta forma podrs evaluar
Adaptive Defense 360 comprobando cmo registra amenazas avanzadas que pasan
inadvertidas para el antivirus tradicional instalado.

Versiones comerciales
En este caso, por defecto Adaptive Defense 360 no se instalar en un equipo que ya
dispone de otra solucin ajena a Panda Security. Si Adaptive Defense 360 dispone del
desinstalador de dicho producto, lo desinstalar y a continuacin se lanzar la instalacin
de Adaptive Defense 360
360. En caso contrario, se detendr la instalacin.
Este comportamiento por defecto es configurable tanto en versiones trials como en
versiones comerciales desde la ventana de Configuracin / (pulsar sobre el perfil a editar)
/ Windows y Linux / Opciones Avanzadas.
Adaptive Defense 360 es capaz de desinstalar automticamente los productos que
aparecen en la siguiente tabla:

Fabricante Nombre del producto

Computer eTrust AntiVirus 8.1.655, 8.1.660, 7.1*


Associates eTrust 8.0

Avast! Free Antivirus 2014


Avast! 8.x Free Antivirus
Avast! 7.x Free Antivirus
Avast! 6.x Free Antivirus
Avast
Avast! 5.x Free Antivirus
Avast! 4 Free Antivirus
Avast! 4 Small Business Server Edition
Avast! 4 Windows Home Server Edition 4.8
AVG Internet Security 2013 (32bit- edition)
AVG Internet Security 2013 (64bit- Edition)
AVG AntiVirus Business Edition 2013 (32bit-Edition)
AVG AntiVirus Business Edition 2013 (64bit- Edition)
AVG AVG CloudCare 2.x
AVG Anti-Virus Business Edition 2012 AVG Internet Security 2011
AVG Internet Security Business Edition 2011 32bits*
AVG Internet Security Business Edition 2011 64bits (10.0.1375)*
AVG Anti-Virus Network Edition 8.5*

240
Gua para administradores de red

AVG Internet Security SBS Edition 8 Anti-Virus SBS Edition 8.0


Avira AntiVir PersonalEdition Classic 7.x, 6.x
Avira AntiVir Personal Edition 8.x
Avira Antivir Personal - Free Antivirus 10.x, 9.x
Avira
Avira Free Antivirus 2012, 2013
Avira AntiVir PersonalEdition Premium 8.x, 7.x, 6.x
Avira Antivirus Premium 2013, 2012, 10.x, 9.x
CA Total Defense for Business Client V14 (32bit- Edition)
CA Total Defense for Business Client V14 (64bit- Edition)
CA
CA Total Defense R12 Client (32bit- Edition)
CA Total Defense R12 Client (64bit- Edition)
BitDefender Business Client 11.0.22
Bitdefender BitDefender Free Edition 2009 12.0.12.0*
Bit Defender Standard 9.9.0.082

Check Point Endpoint Security 8.x (32 bits)


Check Point
Check Point Endpoint Security 8.x (64 bits)

ESET NOD32 Antivirus 3.0.XX (2008)*, 2.70.39*, 2.7*


ESET Smart Security 3.0*
ESET Smart Security 5 (32 bits)
ESET NOD32 Antivirus 4.X (32 bits)
ESET NOD32 Antivirus 4.X (64 bits)
Eset ESET NOD32 Antivirus 5 (32 bits)
ESET NOD32 Antivirus 5 (64 bits)
ESET NOD32 Antivirus 6 (32 bits)
ESET NOD32 Antivirus 6 (64 bits)
ESET NOD32 Antivirus 7 (32 bits)
ESET NOD32 Antivirus 7 (64 bits)

Frisk F-Prot Antivirus 6.0.9.1

F-secure PSB Workstation Security 10.x


F-Secure PSB for Workstations 9.00*
F-Secure Antivirus for Workstation 9
F-Secure PSB Workstation Security 7.21
F-Secure Protection Service for Business 8.0, 7.1
F- Secure F-Secure Internet Security 2009
F-Secure Internet Security 2008
F-Secure Internet Security 2007
F-Secure Internet Security 2006
F-Secure Client Security 9.x
F-Secure Client Security 8.x Antivirus Client
Kaspersky Endpoint Security 10 for Windows (32bit- Edition)
Kaspersky Endpoint Security 10 for Windows (64bit- Edition)
Kaspersky Endpoint Security 8 for Windows (32bit- Edition)
Kaspersky Endpoint Security 8 for Windows (64bit- Edition)
Kaspersky Anti-Virus 2010 9.0.0.459*
Kaspersky Business Space Security
Kaspersky Kaspersky Work Space Security
Kaspersky Internet Security 8.0, 7.0, 6.0 (con Windows Vista+UAC, es
necesario desactivar UAC)
Kaspersky Anti-Virus 8*
Kaspersky Anti-virus 7.0 (con Windows Vista+UAC, es necesario
desactivar UAC)
Kaspersky Anti-Virus 6.0 for Windows Workstations*

241
Gua para administradores de red

McAfee SaaS Endpoint Protection 6.x, 5.X


McAfee VirusScan Enterprise 8.8, 8.7i, 8.5i, 8.0i, 7.1.0
McAfee McAfee Internet Security Suite 2007
McAfee Total Protection Service 4.7*
McAfee Total Protection 2008
Norman Security Suite 10.x (32bit- Edition)
Norman Security Suite 10.x (64bit- Edition)
Norman Security Suite 9.x (32bit- Edition)
Norman
Norman Security Suite 9.x (64bit- Edition)
Norman Endpoint Protection 8.x/9.x
Norman Virus Control v5.99
Norton Antivirus Internet Security 2008*
Norton Norton Antivirus Internet Security 2007
Norton Antivirus Internet Security 2006
Microsoft Security Essentials 1.x
Microsoft Forefront EndPoint Protection 2010
Microsoft Security Essentials 4.x
Microsoft
Microso ft Security Essentials 2.0
Microsoft Live OneCare
Microsoft Live OneCare 2.5*

MicroWorld
eScan Corporate for Windows 9.0.824.205
Technologies

PC Tools Spyware Doctor with AntiVirus 9.x

Sophos Anti-virus 9.5


Sophos Endpoint Security and Control 10.2
Sophos Sophos Endpoint Security and Control 9.5
Sophos Anti-virus 7.6
Sophos Anti-virus SBE 2.5* Sophos Security Suite
Symantec.cloud Endpoint Protection.cloud 21.x (32bits)
Symantec.cloud Endpoint Protection.cloud 21.x (64bits)
Symantec EndPoint Protection 12.x (32bits)
Symantec EndPoint Protection 12.x (64bits)
Symantec
Symantec EndPoint Protection 11.x (32bits)
Symantec EndPoint Protection 11.x (64bits)
Symantec Antivirus 10.1
Symantec Antivirus Corporate Edition 10.0, 9.x, 8.x
Trend Micro Worry-Free Business Security 8.x (32bit- Edition)
Trend Micro Worry-Free Business Security 8.x (64bit- Edition)
Trend Micro Worry-Free Business Security 7.x (32bit- Edition)
Trend Micro Worry-Free Business Security 7.x (64bit- Edition)
Trend Micro Worry-Free Business Security 6.x (32bit- Edition)
Trend Micro Worry-Free Business Security 6.x (64bit- Edition)
Trend Micro Worry-Free Business Security 5.x
Trend Micro
PC-Cillin Internet Security 2006
PC-Cillin Internet Security 2007*
PC-Cillin Internet Security 2008*
Trend Micro OfficeScan Antivirus 8.0
Trend Micro OfficeScan 7.x
Trend Micro OfficeScan 8.x
Trend Micro OfficeScan 10.x

Comodo
Comodo Antivirus V 4.1 32bits
AntiVirus

242
Gua para administradores de red

Panda Cloud Antivirus 3.x


Panda Cloud Antivirus 2.X
Panda Cloud Antivirus 1.X
Panda for Desktops 4.50.XX
Panda for Desktops 4.07.XX
Panda for Desktops 4.05.XX
Panda for Desktops 4.04.10
Panda for Desktops 4.03.XX y anteriores
Panda for File Servers 8.50.XX
Panda for File Servers 8.05.XX
Panda for File Servers 8.04.10
Panda for File Servers 8.03.XX y anteriores
Panda Global Protection 2015*
Panda Internet Security 2015*
Panda Antivirus Pro 2015*
Panda Gold Protection*
Panda Free Antivirus
Panda Global Protection 2014*
Panda Internet Security 2014*
Panda Antivirus Pro 2014*
Panda Gold Protection*
Panda Panda Global Protection 2013*
Security Panda Internet Security 2013*
Panda Antivirus Pro 2013*
Panda Global Protection 2012*
Panda Internet Security 2012*
Panda Antivirus Pro 2012*
Panda Global Protection 2011*
Panda Internet Security 2011*
Panda Antivirus Pro 2011*
Panda Antivirus for Netbooks (2011)*
Panda Global Protection 2010
Panda Internet Security 2010
Panda Antivirus Pro 2010
Panda Antivirus for Netbooks
Panda Global Protection 2009
Panda Internet Security 2009
Panda Antivirus Pro 2009
Panda Internet Security 2008
Panda Antivirus+Firewall 2008
Panda Antivirus 2008
Panda Internet Security 2007
Panda Antivirus + Firewall 2007
Panda Antivirus 2007

* Productos Panda 2015, 2014, 2013, 2012 necesitan un reinicio para completar la
desinstalacin.
* Comodo AntiVirus V 4.1 32 bits - En sistemas con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin
Permitir.
* F-Secure PSB for Workstations 9.00* - Durante el proceso de instalacin del agente de
Adaptive Defense 360 en Windows 7 y Windows Vista, el usuario debe intervenir
seleccionando la opcin Permitir.
AVG Internet Security Business Edition 2011 32bits - Durante el proceso de instalacin del
agente de Adaptive Defense 360, el usuario debe intervenir seleccionando en varias
ventanas la opcin Permitir.
** AVG Internet Security Business Edition 2011 64bits (10.0.1375) - Durante el proceso de

243
Gua para administradores de red

instalacin del agente de Adaptive Defense 360, el usuario debe intervenir seleccionando
en varias ventanas la opcin Permitir.
* Kaspersky Anti-Virus 6.0 for Windows Workstations:
Durante el proceso de instalacin del agente de Adaptive Defense 360 en sistemas
operativos de 64 bits el usuario debe intervenir seleccionando en varias ventanas la opcin
Permitir.
Para poder hacer la desinstalacin, la proteccin de Kaspersky no debe tener password.
En sistemas con UAC activado, durante el proceso de desinstalacin el usuario debe
intervenir seleccionando en la ventana del UAC la opcin Permitir.
* F-Secure PSB for Workstations 9.00 - Durante el proceso de instalacin del agente de
Adaptive Defense 360, el usuario debe intervenir seleccionando la opcin Permitir en dos
ventanas de F- Secure PSB for Workstations 9.00.
* AVG Anti-Virus Network Edition 8.5 - Durante el proceso de instalacin del agente de
Adaptive Defense 360 el usuario debe intervenir seleccionando en dos ventanas de AVG
Anti-Virus Network Edition 8.5 la opcin Permitir.
* Productos Panda Antivirus 2011 - No se desinstalan en Windows Vista x64. En sistemas con
UAC activado, durante el proceso de desinstalacin el usuario debe intervenir
seleccionando en la ventana del UAC la opcin de permitir.
* Panda Cloud Antivirus 1.4 Pro y Panda Cloud Antivirus 1.4 Free - En sistemas con UAC
activado, durante el proceso de desinstalacin el usuario debe intervenir seleccionando
en la ventana del UAC la opcin de permitir.
* Trend Micro - PC-Cillin Internet Security 2007 y 2008 no se puede desinstalar
automticamente en Windows Vista x64.
* Trend Micro - PC-Cillin Internet Security 2007 y 2008 no se pueden desinstalar
automticamente en Windows Vista x86 teniendo UAC activado.
* ESET NOD32 Antivirus 3.0.XX (2008) no se desinstala automticamente en plataformas de
64 bits.
* ESET Smart Security 3.0 no se desinstala automticamente en plataformas de 64 bits.
* ESET NOD32 Antivirus 2.7 tras la instalacin del agente de Adaptive Defense 360 el equipo
se reiniciar automticamente sin mostrar ningn aviso, ni pedir confirmacin al usuario.
* ESET NOD32 Antivirus 2.70.39 tras la instalacin del agente de Adaptive Defense 360 el
equipo se reiniciar automticamente sin mostrar ningn aviso, ni pedir confirmacin al
usuario.
* Sophos Anti-virus SBE 2.5 no se desinstala correctamente en Windows 2008.
* eTrust Antivirus 7.1 no se desinstala en sistemas operativos de 64bits (Windows 2003 64bits y
Windows XP 64bits).
* Norton Antivirus Internet Security 2008 no se puede desinstalar en Windows Vista con UAC
activado.
* Kaspersky Anti-Virus 2010 9.0.0.459. En sistemas con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin
de permitir.
* Kaspersky Anti-Virus 8. En Windows Vista con UAC activado, durante el proceso de
desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC la opcin

244
Gua para administradores de red

de permitir.
* BitDefender Free Edition 2009 12.0.12.0. En Windows Vista con UAC activado, durante el
proceso de desinstalacin el usuario debe intervenir seleccionando en la ventana del UAC
la opcin de permitir.
* McAfee Total Protection Service 4.7. El desinstalador no funciona en sistemas con UAC
activado. Adems, en sistemas de 32 bits es necesaria la intervencin del usuario.
* Microsoft Live OneCare 2.5. No desinstala en Windows Small Business Server 2008.

En caso de tener instalado un programa que no se encuentra incluido en el listado, consulte


con el proveedor correspondiente cmo desinstalarlo antes de instalar la proteccin
de Adaptive Defense 360.

245
Gua para administradores de red

25. Apndice IV:


Conceptos
clave

246
Gua para administradores de red

Acceso remoto
Tecnologa que permite visualizar e interactuar con el escritorio de un dispositivo
conectado a la red de forma remota.

Adaptador de red
El adaptador de red permite la comunicacin entre los diferentes aparatos conectados
entre s y tambin permite compartir recursos entre dos o ms equipos. Tienen un
nmero de identificacin nico.

Adware
Programa que, una vez instalado o mientras se est instalando, ejecuta, muestra o
descarga automticamente publicidad en el equipo.

Agente
El agente se encarga de las comunicaciones entre los equipos administrados y los
servidores de Adaptive Defense 360, adems de la gestin de los procesos locales.

Alerta
Mensaje relativo a la Actividad de proteccin de Adaptive Defense 360 susceptible de
requerir interaccin. El administrador de la red recibe alertas mediante correo electrnico
y el usuario las recibe mediante mensajes generados por el agente que se visualizan
en el escritorio de su dispositivo.

Anlisis forense
Conjunto de tcnicas y procesos ejecutados por el administrador de la red con
herramientas especializadas que le permiten seguir la pista de un programa malicioso y
determinar las consecuencias una vez el malware ha conseguido infectar un equipo de la
red.

Anlisis heurstico
El anlisis heurstico analiza el software en base a cientos de caractersticas de cada rchivo.

As se determina el potencial que el software detectado tiene para llevar a cabo


acciones maliciosas o dainas cuando se ejecuta en un ordenador, y ello permite su
clasificacin como virus, spyware, troyano, gusano, etc.

Antivirus
Programas cuya funcin es detectar y eliminar virus informticos y otras amenazas.

APT (Advanced Persistent Threat)


Conjunto de procesos dirigidos por hackers y orientados a infectar la red del cliente
utilizando mltiples vectores de infeccin de forma simultnea para pasar inadvertidos
a los antivirus tradicionales durante largos periodos de tiempo. Su objetivo principal es

247
Gua para administradores de red

econmico (robo de informacin confidencial de la empresa para chantaje, robo de


propiedad intelectual etc).

Archivo de identificadores
Es el fichero que permite a los antivirus detectar las amenazas. Tambin es conocido
con el nombre de fichero de firmas.

ARP (address Resolution Protocol)


Protocolo utilizado para resolver direcciones del nivel de red a direcciones del nivel de
enlace. En redes IP traduce las direcciones IP a direcciones fsicas MAC

Audit
Modo de configuracin de Adaptive Defense 360 que permite visualizar la actividad
de los procesos ejecutados en los equipos protegidos de la red sin desencadenar
ninguna accin de resolucin (desinfeccin o bloqueo).

Avisos
Tambin llamados Incidencias, es la forma de representar en la consola Web la actividad
de los programas maliciosos detectados por la proteccin avanzada de Adaptive Defense
360.

Bloquear
Impedir la ejecucin de los programas clasificados como malware o sin clasificar,
dependiendo de la configuracin de Adaptive Defense 360 establecida por el
administrador de la red.

Broadcast
Transmisin de paquetes en redes de datos por el mtodo de difusin. Un mismo paquete
de datos llegar a todos los equipos dentro de la misma subred. Los paquetes de
broadcast no atraviesan encaminadores y utilizan un direccionamiento distinto para
diferenciarlos de los paquetes unicast.

Ciclo de proteccin adaptativa


Nuevo enfoque de seguridad basado en la integracin de un conjunto de servicios de
proteccin, deteccin, monitorizacin, anlisis forense y resolucin, todos ellos
centralizados en una nica consola de administracin accesible desde cualquier lugar y
en cualquier momento.

Ciclo de vida del malware


Detalle de todas las acciones desencadenadas por un programa malicioso, desde que
fue visto por primera vez en un equipo del cliente hasta su clasificacin como
malware y posterior desinfeccin.

248
Gua para administradores de red

Consola Web
Herramienta para configurar la proteccin, distribuir el agente a todos los equipos de la
red y gestionarla. Desde la consola se puede conocer en todo el momento el estado de
la proteccin instalada en su parque informtico y extraer e imprimir los informes que sean
necesarios.

Cuarentena
Repositorio de almacenamiento de contenidos sospechosos de ser maliciosos
o no desinfectables, as como de spyware y herramientas de hacking detectadas.

Desinfectable
Fichero infectado por malware del cual se conoce el algoritmo necesario para poder
revertirlo a su estado original.

DHCP
Servicio que asigna direcciones IP a los nuevos equipos conectados a la red.

Dialer
Se trata de un programa que marca un nmero de tarificacin adicional (NTA), utilizando
para ello el mdem. Los NTA son nmeros cuyo coste es superior al de una llamada
nacional.

Direccin IP
Nmero que identifica de manera lgica y jerrquica a la interfaz de red de un
dispositivo (habitualmente un ordenador) dentro de una red que utilice el protocolo IP.

Direccin MAC
Identificador hexadecimal de 48 bits que corresponde de forma nica a una tarjeta o
interfaz de red. Es individual, cada interfaz de red tiene su propia identificacin MAC
determinada.

Directorio Activo
Implementacin propietaria de servicios LDAP (Lightweight Directory Access Protocol,
Protocolo Ligero/Simplificado de Acceso a Directorios) para mquinas Microsoft Windows.
Permite el acceso a un servicio de directorio ordenado y distribuido para buscar
informacin diversa en entornos de red.

Distribucin Linux
Conjunto de paquetes de software y bibliotecas que conforman un sistema operativo
basado en el ncleo Linux.

DNS (Domain Name System)


Servicio que traduce nombres de dominio con informacin de diversos tipos,

249
Gua para administradores de red

generalmente direcciones IP.

Dominio
Arquitectura de redes Windows donde la gestin de los recursos compartidos, permisos y
usuarios est centralizada en un servidor llamado Controlador Principal de Dominio o
Directorio Activo.

Equipos excluidos
Son aquellos equipos seleccionados por el usuario a los que no se les aplicar la
proteccin. En calidad de excluidos, la consola Web no muestra ninguna informacin
ni alerta sobre ellos. Tenga en cuenta que la exclusin puede deshacerse en cualquier
momento.

Equipos sin licencia


Son aquellos equipos cuya licencia ha caducado o en los que ha superado el nmero
mximo permitido de instalaciones de la proteccin. Estos equipos abandonan la lista
de equipos sin licencia en el momento en que el usuario adquiere nuevas licencias.

Examinador principal
Rol del equipo dentro de una red Windows que mantiene un listado de todos los
dispositivos conectados a su segmento de red.

Exploit
Fallo de software conocido y aprovechado por el malware, que provoca una cadena
de errores controlada en provecho del propio malware que lo inicia.

Firewall
Tambin conocido como cortafuegos. Es una barrera o proteccin que permite a un
sistema salvaguardar la informacin al acceder a otras redes como, por ejemplo, Internet.

Filtrado de URL por categora


Control de las URLs solicitadas por los navegadores de la red con el objetivo de
denegar o permitir su acceso, tomando como referencia una base de datos de URLs
dividida en categoras o temas.

Fragmentacin
En redes de transmisin de datos, cuando la MTU del protocolo subyacente es menor
que el tamao del paquete a transmitir, los encaminadores dividen el paquete en piezas
ms pequeas (fragmentos) que se encaminan de forma independiente y se
ensamblan en el destino en el orden apropiado.

Funcionalidad Peer To Peer (P2P)


La red Peer to Peer (P2P) es una red que no tiene clientes ni servidores fijos, sino una

250
Gua para administradores de red

serie de nodos que se comportan simultneamente como clientes y como servidores


respecto de los dems nodos de la red. Es una forma legal de compartir archivos de
forma similar a como se hace en el correo electrnico o mensajera instantnea, slo que
de una forma ms eficiente.
En el caso de Adaptive Defense 360, la funcionalidad Peer To Peer reduce adems el
consumo de ancho de banda de la conexin a Internet, dando prioridad a que los
equipos que ya han actualizado un archivo desde Internet lo compartan con otros que
tambin necesitan actualizarlo. As se evitan los accesos masivos a Internet y los
consiguientes colapsos.

Funcionalidad Proxy
Esta funcionalidad permite el funcionamiento de Adaptive Defense 360 en equipos sin
acceso a Internet, realizndose los accesos a travs de otro agente instalado en una
mquina de su misma subred.

Geolocalizar
Posicionar en un mapa un dispositivo en funcin de sus coordenadas

Goodware
Fichero clasificado como legtimo y seguro tras su estudio.

Grupo
En Adaptive Defense 360, un grupo es un conjunto de equipos informticos a los que se
aplica el mismo perfil de configuracin de la proteccin. En Adaptive Defense 360 existe
un grupo inicial o grupo por defecto -Default- en el que se pueden incluir todos los
ordenadores a proteger. Tambin se pueden crear grupos nuevos.

Grupo de trabajo
Arquitectura de redes Windows donde la gestin de los recursos compartidos, permisos y
usuarios residen en cada uno de los equipos de forma independiente.

Hardening
Modo de configuracin de Adaptive Defense 360 que bloquea los programas
desconocidos descargados de Internet as como todos los ficheros clasificados como
malware

Herramienta de distribucin
Una vez descargada de Internet al PC administrador e instalada en ste, la herramienta
de distribucin permite instalar y desinstalar a distancia las protecciones en los equipos
seleccionados. En Adaptive Defense 360, la herramienta de distribucin solo se puede
utilizar para desplegar la proteccin en equipos con sistema operativo Windows.

Herramienta de hacking

251
Gua para administradores de red

Programa que puede ser utilizado por un hacker para causar perjuicios a los usuarios
de un ordenador (pudiendo provocar el control del ordenador afectado, obtencin de
informacin confidencial, chequeo de puertos de comunicaciones, etc.).

Hoaxes
Falsos mensajes de alarma sobre amenazas que no existen y que llegan normalmente a
travs del correo electrnico.

ICMP (Internet Control Message Protocol)


Protocolo de control y notificacin de errores utilizado por el protocolo IP en Internet.

IDP (Identity Provider)


Servicio centralizado responsable de gestionar las identidades de los usuarios.

IP (Internet Protocol)
Principal protocolo de comunicacin en Internet para el envo y recepcin de los
datagramas generados en el nivel de enlace subyacente.

Joke
No es un virus, sino bromas de mal gusto que tienen por objeto hacer pensar a los usuarios
que han sido afectados por un virus.

Malware
Es un trmino general utilizado para referirse a programas que contienen cdigo
malicioso (MALicious softWARE), ya sean virus, troyanos, gusanos o cualquier otra
amenaza que afecta a la seguridad e integridad de los sistemas informticos. El malware
tiene como objetivo infiltrarse en daar un ordenador sin el conocimiento de su dueo y
con finalidades muy diversas.

Notificaciones
Avisos al administrador relativos a condiciones importantes de la plataforma Adaptive
Defense 360 tales como nuevas versiones del endpoint, licencias a punto de caducar etc

Lock
Modo de configuracin de Adaptive Defense 360 que bloquea los programas
desconocidos y clasificados como malware

Machine learning
Es una rama de la inteligencia artificial cuyo objetivo es desarrollar tcnicas para crear
programas capaces de generalizar comportamientos a partir de una informacin no
estructurada suministrada en forma de ejemplos.

Malware freezer

252
Gua para administradores de red

Comportamiento de la cuarentena cuyo objetivo es evitar la prdida de datos por falsos


positivos. Todos los ficheros clasificados como malware o sospechosos son enviados a la
cuarentena, evitando su borrado en previsin de un fallo en la clasificacin que
derive en prdida de datos.

MD5 (Message-Digest Algorithm 5)


Algoritmo de reduccin criptogrfico que obtiene una firma (hash o digest) de 128 bits
que representa de forma nica una serie o cadena de entrada. El hash MD5 calculado
sobre un fichero sirve para su identificacin unvoca o para comprobar que no fue
manipulado / cambiado.

MTU (Maximun transmission unit)


Tamao mximo del paquete que el protocolo subyacente puede transportar.

Nube
La computacin en la nube (Cloud Computing) es una tecnologa que permite ofrecer
servicios a travs de Internet. En este sentido, la nube es un trmino que se suele
utilizar como una metfora de Internet en mbitos informticos.

OU (Organizational Unit)
Forma jerrquica de clasificar y agrupar objetos almacenados en directorios

Partner
Empresa que ofrece productos y servicios de Panda Security

Perfil
Un perfil es una configuracin especfica de la proteccin. Este perfil es posteriormente
asignado a un grupo o grupos y aplicado a todos los equipos que forman parte de dicho
grupo o grupos.

Phishing
Intento de conseguir informacin confidencial de un usuario de forma fraudulenta.
Normalmente la informacin que se trata de lograr tiene que ver con contraseas,
tarjetas de crdito o cuentas bancarias.

Proceso local
Los procesos locales son los encargados de realizar tareas necesarias para la correcta
implantacin y administracin de la proteccin en los equipos.

Programas potencialmente no deseados


Son programas que se instalan en el equipo aprovechando la instalacin de otro programa
que es el que realmente se desea instalar.
Al finalizar la instalacin del programa se muestran mensajes al usuario para que
acepte la instalacin de otros "programas" (PUPs) que aparentemente "forman parte"

253
Gua para administradores de red

del que se quiere instalar y se presentan como necesarios para una correcta instalacin.
Al aceptar, se abre la puerta del equipo del usuario a estos programas potencialmente
no deseados.

Protocolo
Conjunto de normas y especificaciones utilizadas para el intercambio de datos entre
ordenadores. Uno de los ms habituales es el protocolo TCP- IP.

Proxy
Un servidor proxy acta como un intermediario entre una red interna (por ejemplo, una
intranet) y una conexin externa a Internet. De esta forma, se puede compartir una
conexin para recibir ficheros desde servidores Web.

Puerto
Identificador numrico asignado a un canal de datos abierto por un proceso en un
dispositivo a travs del cual tienen lugar las transferencias de informacin (entradas /
salidas) con el exterior.

QR (Quick Response), cdigo


Representacin grfica en forma de matriz de puntos que almacena de forma
compacta informacin.

Responsive / Adaptable (RWD, Responsive Web Design)


Conjunto de tcnicas que permiten desarrollar pginas Web que se adaptan de forma
automtica al tamao y resolucin del dispositivo utilizado para visualizarlas.

RIR (Regional Internet Registry)


Organizacin que supervisa la asignacin y el registro de direcciones IP y de sistemas
autnomos (AS, Autonomous System) dentro de una regin particular del mundo.

Rootkits
Programa diseado para ocultar objetos como procesos, archivos o entradas del
Registro de Windows (incluyendo los propios normalmente). Este tipo de software no
es malicioso en s mismo, pero es utilizado por los piratas informticos para esconder
evidencias y utilidades en los sistemas previamente comprometidos. Existen ejemplares
de malware que emplean rootkits con la finalidad de ocultar su presencia en el sistema
en el que se instalan.
SCL (Spam Confidence Level)
Valor normalizado asignado a un mensaje que refleja la probabilidad de que sea Spam,
evaluando caractersticas tales como su contenido, cabeceras y otros.

Servidor de conocimiento acumulado


Servicio que almacena y relaciona los eventos recogidos por Adaptive Defense 360 en

254
Gua para administradores de red

tiempo real de la red del cliente, permitiendo bsquedas y generacin de grficas


avanzadas que permitan interpretar la informacin recogida.

Servidor Exchange
Es un servidor de correo de la compaa Microsoft. El servidor Exchange almacena los
correos electrnicos entrantes y/o salientes y gestiona la distribucin de los mismos en
las bandejas de entrada configuradas para ello. Para conectarse al servidor y descargar
el correo electrnico que haya llegado a su bandeja, los usuarios han de tener instalado
en su equipo un agente de correo electrnico.

Servidor SMTP
Servidor que utiliza el protocolo SMTP -o protocolo simple de transferencia de correo-
para el intercambio de mensajes de correo electrnicos entre los equipos.

SIEM (Security Information and Event Management)


Software que ofrece almacenamiento y anlisis en tiempo real de las alertas generadas
por los dispositivos de red y aplicaciones ejecutadas en el parque informtico.

Sospechoso
Programa que, tras un anlisis de su comportamiento realizado en el equipo del usuario por
la proteccin de Adaptive Defense 360, tiene una alta probabilidad de ser considerado
malware.

Spam
El trmino correo basura hace referencia a mensajes no solicitados, habitualmente de tipo
publicitario y generalmente enviados en grandes cantidades, que perjudican de alguna o
varias maneras al receptor.

SSL (Secure Sockets Layer)


Protocolo criptogrfico diseado para la transmisin segura de datos por red.

PDC (Primary Domain Controller)


Es un rol adoptado por servidores en redes Microsoft de tipo Dominio, que gestiona de
forma centralizada la asignacin y validacin de las credenciales de los usuarios para el
acceso a los recursos de red. En la actualidad el Directorio Activo cumple esta funcin.

Spyware
Programa que acompaa a otro y se instala automticamente en un ordenador
(generalmente sin permiso de su propietario y sin que ste sea consciente de ello) para
recoger informacin personal y utilizarla posteriormente.

TCO (Total Cost of Ownership, Coste total de Propiedad)


Estimacin financiera que mide los costes directos e indirectos de un producto o sistema

255
Gua para administradores de red

TLS (Transport Layer Security)


Nueva versin del protocolo SSL 3.0

Topologa de red
Mapa fsico o lgico de los nodos que conforman una red para comunicarse.

Troyanos
Programa que llega al ordenador de manera encubierta, aparentando ser inofensivo, se
instala y realiza determinadas acciones que afectan a la confidencialidad del usuario.

Red pblica
Una red de este tipo es propia de cyberlocales, aeropuertos, etc. Conlleva limitacin de su
nivel de visibilidad y en su utilizacin, sobre todo a la hora de compartir archivos, recursos y
directorios.

Red de confianza
Este tipo de red generalmente es de oficina o casera. El equipo es perfectamente visible
para el resto de equipos de la red, y viceversa. No hay limitaciones al compartir archivos,
recursos y directorios.

SYN
Bandera (flag) en el campo TOS de los paquetes TCP que los identifican como paquetes
de inicio de conexin.

TCP (Transmission Control Protocol)


Principal protocolo del nivel de transporte dentro de la pila de protocolos de Internet,
orientado a la conexin para el envo y recepcin de paquetes IP.

UDP (User Datagram Protocol)


Protocolo del nivel de transporte dentro de la pila de protocolos de Internet, no confiable
y no orientado a la conexin para el envo y recepcin de paquetes IP.

Variable de entorno
Cadena compuesta por informacin del entorno, como la unidad, la ruta de acceso o el
nombre de archivo, asociada a un nombre simblico que pueda utilizar Windows. La
opcin Sistema del Panel de control o el comando set del smbolo del sistema permiten
definir variables de entorno.

Vector de infeccin
Puerta de entrada o procedimiento utilizado por el malware para infectar el equipo del
usuario. Los vectores de infeccin ms conocidos son la navegacin web, el correo
electrnico y los pendriv es.

256
Gua para administradores de red

Ventana de oportunidad
Tiempo que transcurre desde que el primer equipo fue infectado a nivel mundial por una
muestra de malware de reciente aparicin hasta su estudio e incorporacin a los ficheros
de firmas de los antivirus para proteger a los equipos de su infeccin. Durante este periodo
de tiempo el malware puede infectar equipos sin que los antivirus sean conscientes de su
existencia

Virus
Programas que se pueden introducir en los ordenadores y sistemas informticos de formas
muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables.

VPN (Virtual Private Network)


Tecnologa de red que permite interconectar redes privadas (LAN) utilizando un medio
pblico, como puede ser Internet.

257
Gua para administradores de red

Adaptive Defense 360

Ni los documentos ni los programas a los que usted pueda acceder pueden ser copiados, reproducidos, traducidos o
transferidos por cualquier medio electrnico o legible sin el permiso previo y por escrito de Panda Security, Santiago de
Compostela, 12, 48003 Bilbao (Bizkaia), ESPAA.
Marcas registradas. Windows Vista y el logotipo de Windows son marcas o marcas registradas de Microsoft Corporation
en los Estados Unidos y otros pases. Todos los dems nombres de productos pueden ser marcas registradas de sus
respectivas compaas.
Panda Security 2016. Todos los derechos reservados.

258