La Tabla: Lista de comprobación previa a la instalación enumera las acciones que se deben completar y la información que se debe tener lista antes de instalar un appliance físico o virtual.

Tabla: Lista de comprobación previa a la instalación

Acción/Elemento

Descripción

Verifique los requisitos del sistema.

Es posible instalar Symantec Endpoint Detection and Response como un appliance físico o appliance virtual. Los appliances físicos y virtuales pueden coexistir dentro de la misma red empresarial.

Ver Requisitos del sistema para la instalación del appliance físico.

Ver Requisitos del sistema para la instalación de un appliance virtual.

Para la instalación inicial, tenga un equipo disponible con un puerto Ethernet y con acceso del navegador web a:

  • la red del puerto de administración,

  • y el iDRAC (appliance físico solamente).

El equipo que usa para configurar el appliance debe tener acceso a la red de administración en la cual se encuentra el dispositivo de Symantec EDR. Por ejemplo, mediante la conexión a un conmutador o un router. Si configura un appliance físico, el equipo además debe tener acceso de red al iDRAC.

Abra los puertos requeridos en el firewall y otros dispositivos de red.

Asegúrese de que los puertos necesarios estén abiertos en su firewall y otros dispositivos de red para permitir el tráfico al dispositivo de Symantec EDR o desde él. Por ejemplo, HTTP 80 y HTTPS 443.

Ver Puertos necesarios del firewall.

Tenga cables Ethernet (hasta cuatro cables normales y dos cables cruzados) disponibles.

La cantidad y los tipos de cables que se necesitan dependen de la configuración de red y la cantidad de puertos LAN y WAN del appliance.

Es posible que sean necesarios cables cruzados para una implementación inline.

No necesita cables cruzados si uno o ambos dispositivos (conmutador, firewall) conectados al puerto WAN y LAN tienen una MDI/MDI-X automática.

Ver Dónde colocar el appliance en su red para obtener mejores resultados.

Descargue archivos de imágenes virtuales (appliance virtual solamente).

Descargue los archivos de imágenes virtuales de https://fileconnect.symantec.com/ en un único directorio al que se pueda acceder desde su aplicación de VMware.

Elija la dirección IP, la máscara de subred, la dirección de gateway y la contraseña para el iDRAC.

Appliance físico solamente.

El controlador de acceso remoto integrado de Dell (iDRAC) en el appliance físico proporciona acceso de la consola al appliance. Aunque esté integrado, el iDRAC es un dispositivo aparte que requiere su propia dirección de red para funcionar. La contraseña es necesaria para acceder a la interfaz basada en navegador del iDRAC.

Elija una contraseña de administrador para Symantec EDR.

Se especifica una nueva contraseña segura para el usuario administrador, que se proporciona al iniciar la secuencia de arranque. Este usuario y contraseña de administrador son para la consola de sistema. Por ejemplo, el acceso de la consola para usar la secuencia de arranque y la interfaz de línea de comandos.

Nota:

No existe ningún mecanismo de recuperación para esta información de cuenta. Asegúrese de proteger esta información para uso futuro.

Elija la configuración de funcionamiento (rol):

  • Todo en uno

  • Plataforma de administración

  • Analizador de red

Si un appliance está instalado, actúa en el modo todo en uno. El appliance realiza todas las funciones de sistema, incluido el análisis del tráfico de red. En este rol, no se puede tener analizadores de red adicionales que señalen a este appliance.

Si dos o más appliances están instalados, un appliance puede servir como plataforma de administración y el resto de los appliances sirven como analizadores de red. La plataforma de administración aloja EDR appliance console, centraliza las funciones de administración, almacena todos los incidentes de detección y archivos condenados, y comunica las acciones administrativas. Los appliances analizadores de red supervisan el tráfico y detectan incidentes.

Especifique la configuración de funcionamiento durante la secuencia de arranque.

Ver Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.

Ver Flujo de trabajo de instalación.

Ver Acerca de las configuraciones de red y las conexiones de puertos.

Elija el modo de funcionamiento y conecte los cables para el modo de funcionamiento deseado para un appliance todo en uno o de analizador de red.

Los modos de funcionamiento son los siguientes:

  • Punto de conexión de red

    El modo de punto de conexión de red supervisa el tráfico en el tiempo real. El modo de punto de conexión de red requiere un dispositivo dedicado o un puerto span en un conmutador.

  • Bloqueo inline

    El modo de bloqueo inline bloquea los archivos maliciosos y el tráfico en tiempo real.

  • Supervisión inline

    El modo de supervisión inline detecta archivos maliciosos y tráfico en tiempo real, pero no los bloquea.

Nota:

Los modos de bloqueo inline y supervisión inline no se recomiendan para appliances virtuales porque el modo de omisión no está disponible. Si el appliance tiene un problema, la actividad de red puede interrumpirse.

Dado que la configuración de cableado de red es diferente para los modos inline y el modo punto de conexión, decida qué modo usará antes de configurar el appliance físico de Symantec EDR. También es necesario que tome esta decisión antes de asignar los adaptadores virtuales a adaptadores físicos para un appliance virtual.

Después de que se complete el cableado, habilite el análisis en EDR appliance console para cada analizador de red o dispositivo todo en uno. (Los dispositivos de la plataforma de administración no analizan). Debe asegurarse de que la asignación del adaptador virtual o configuración del cable sea compatible con su modo de funcionamiento elegido.

Ver Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.

Ver Dónde colocar el appliance en su red para obtener mejores resultados.

Elija la configuración de red para el appliance.

Especifique una dirección IPv4 para cada una de las siguientes opciones de configuración.

  • Dirección IP estática para el puerto de administración

  • Máscara de red

  • Dirección IP del gateway

  • Servidor de nombres principal

  • Servidor de nombres secundario (opcional)

  • Rutas estáticas, según su configuración de red

  • Servidor NTP

  • Servidor de Active Directory

Para cada appliance, se necesita una o más direcciones IP estáticas (y máscara de subred asociada, gateway predeterminado y direcciones de DNS para cada dirección IP). Este requisito depende de su configuración:

  • Se requiere una dirección IP estática para el puerto de administración para una plataforma de administración que actúa en modo Tap/Span. También se necesita una dirección IP estática para un dispositivo todo en uno o un dispositivo de analizador de red que funcione en modo Tap/Span.

  • Dos direcciones IP estáticas son necesarias para el modo de bloqueo inline o de supervisión inline: una para el puerto de administración y una para la interfaz inline.

  • Tres direcciones IP estáticas son necesarias para el modo de bloqueo inline o supervisión inline en Symantec EDR 8880 si se usan ambos pares LAN/WAN.

Como el puerto de administración alberga EDR appliance console para dispositivos de plataforma de administración o todo en uno, las direcciones IP del puerto de administración deben estar en una red a la que puedan acceder los administradores que usan EDR appliance console. El puerto de administración se usa para toda la comunicación de red, con excepción del tráfico que supervisa Symantec EDR. El puerto de administración debe estar en una red de administración segura que no sirva a los clientes protegidos. En el modo de bloqueo inline o supervisión inline, el puerto de administración debe estar en una subred diferente de la interfaz inline.

Si el appliance actúa en el modo de bloqueo inline, se configuran rutas estáticas para brindar páginas de bloqueo a los endpoints cuando los sitios web o los archivos están bloqueados. Según su topología de red, también puede necesitar configurar rutas estáticas a la red en donde están conectados los equipos de administración para permitir a estos equipos acceder a EDR appliance console.

El tiempo exacto es crítico para el funcionamiento apropiado de Symantec EDR. Configurar el servidor de tiempo protocolo de hora de red (NTP) garantiza que el appliance tenga una hora precisa para indicar cuándo se realizan detecciones. Un servidor NTP también es necesario para la correlación de Synapse.

Ver Ejecución de la secuencia de arranque para configurar el appliance.

Elija un nombre descriptivo para el host.

Se especifica el nombre del host descriptivo durante la secuencia de arranque. El nombre del host descriptivo que se elige aparece en EDR appliance console en Settings (Configuración) > Appliances y le permite identificar más fácilmente los appliances en la lista.

A EDR appliance console se accede usando la dirección IP de administración, no usando el nombre del host de la plataforma de administración. El nombre descriptivo para el host es diferente del servidor DNS.

Elija una contraseña para cifrar el canal de comunicaciones entre la plataforma de administración y el analizador de red.

Para asegurarse de que los datos se transfieran de forma segura entre la plataforma de administración y sus analizadores, especifique una contraseña para el canal de comunicación. La plataforma de administración y todos sus analizadores deben tener la misma contraseña. Por razones de seguridad, esta contraseña debe ser diferente de la contraseña de administrador predeterminado.

Asegúrese de que se pueda acceder al archivo de licencia.

Asegúrese de que se pueda navegar al archivo de licencia de Symantec y seleccionarlo desde el equipo que se usa para ejecutar el Asistente de configuración. Un archivo de licencia válido es necesario para la instalación.

Elija un nombre de usuario, una contraseña, un nombre para mostrar y una dirección de correo electrónico para el usuario administrativo inicial de EDR appliance console.

Un nombre de usuario y una contraseña para una cuenta administrativa de EDR appliance console proporcionan acceso a EDR appliance console. Se requiere una dirección de correo electrónico para recibir comunicaciones e informes. El usuario inicial puede crear usuarios adicionales, incluidos administradores adicionales.

Cree una cuenta en un servidor de correo compatible con SMTP para las notificaciones y los informes de Symantec EDR a los administradores y al personal de operaciones de seguridad.

El servidor usa esta cuenta para enviar informes, notificaciones y nuevas contraseñas por correo electrónico a los usuarios de EDR appliance console y a otros destinatarios. Puede brindar la información de la cuenta en el asistente de configuración o puede optar por proporcionar esta información más tarde en EDR appliance console.

Tenga información adicional de la instalación disponible para proporcionar en EDR appliance console.

El asistente de configuración está completo para un appliance de la plataforma de administración o appliance todo en uno. El asistente aparece después de crear la primera cuenta de administrador. Después de que complete el Asistente de configuración, se le pedirá que inicie sesión usando esta nueva cuenta de administrador.

Como administrador, proporcione la información adicional más tarde en EDR appliance console. La instalación adicional incluye:

  • Cargar o descargar un certificado SSL para EDR appliance console.

  • Configurar servidor syslog.

  • Compruebe la existencia y descargue las actualizaciones de la plataforma de administración.

  • Crear cuentas adicionales de EDR appliance console.

  • Configurar las copias de seguridad de la plataforma de administración.

  • Configure las conexiones a SEP y Email Security.cloud si desea integrar Symantec EDR con estos productos.

Tenga información del proxy disponible.

Symantec EDR usa dos tipos de proxy:

  • Un proxy de red para el acceso a la red externa

  • Un servidor proxy empresarial en el puerto de administración dentro del entorno empresarial

Si usa proxy, cada appliance de Symantec EDR debe tener las direcciones IP de los proxy existentes.

Tenga una lista de las subredes internas disponibles.

Se especifican sus subredes internas en EDR appliance console después de ejecutar el Asistente de configuración.
Legacy ID: v97176511_v128921691

Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)

    © 1995-2019 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.