Las tecnologías que detectan eventos de Symantec EDR
HOWTO129150
Last Updated February 06, 2019
readonly
Tabla: Tecnologías de detección de eventos de Symantec EDR describe las tecnologías que Symantec Endpoint Detection and Response usa para detectar eventos.
Tabla: Tecnologías de detección de eventos de Symantec EDR
| Tipo de evento |
Descripción |
|---|---|
| Detección de técnicas de ataque avanzadas |
La detección de datos de eventos de técnicas de ataque avanzadas proporciona visibilidad de posibles ataques avanzados que pueden amenazar su red. La detección de técnicas de ataque avanzadas aprovecha la aplicación de políticas de comportamiento de SONAR para detectar las técnicas de ataque avanzadas. Se centra en comportamientos como la actividad de proceso, las API de Windows, los cambios de sistema de archivos, los cambios de registro y la actividad de red. La detección de datos de técnicas de ataque avanzadas incluye mayores detalles sobre el ataque avanzado. Tiene descripciones más detalladas para ayudarle a comprender el alcance del evento. Symantec EDR también enriquece los eventos de detección de técnicas de ataque avanzadas con estrategias, técnicas y procedimientos de MITRE. |
| Targeted Attack Analytics (Análisis de ataque dirigido) |
Si ejecuta Symantec Endpoint Detection and Response: Endpoint, puede mejorar las detecciones de incidente con las Targeted Attack Analytics (análisis de ataque dirigido). Cuando se habilita esta función, Symantec EDR recibe datos desde el servicio de Targeted Attack Analytics (análisis de ataque dirigido) basado en la nube por hora. Symantec EDR luego usa esa información para generar nuevos incidentes o para agregarla a los incidentes de Symantec EDR existentes. Ver Cómo habilitar la Targeted Attack Analytics (Análisis de ataque dirigido). |
| Este servicio de aislamiento de procesos detona los archivos en un entorno virtual y observa su comportamiento. Symantec EDR admite el uso del servicio de aislamiento de procesos basado en la nube de Symantec o sus appliances de aislamiento de procesos en las instalaciones. |
|
| SEP ha preguntado al servidor de reputación de archivos sobre un archivo en el endpoint protegido o Insight ha detectado actividad maliciosa que ocurría en su red. Los clientes de SEP pueden generar una gran cantidad de eventos de Insight porque las consultas de Insight se pueden hacer en todos los tipos de archivos: buenos, malos y desconocidos. La capacidad de filtrar las detecciones de Insight por tipo (por ejemplo, solamente los malos archivos) no está admitida actualmente. |
|
| Mobile Insight detecta problemas con un archivo ejecutable para Android. |
|
| Se detecta un archivo que está en una lista negra proporcionada por Symantec o se detecta un archivo que está en la lista negra de Symantec EDR. |
|
| Prevención de intrusiones a través de la red de Vantage (IPS/NDC) |
Vantage detecta actividad maliciosa en un endpoint o se encuentran amenazas basadas en firmas de Vantage en el flujo de la red. |
| El motor antivirus condenó archivos infectados en un endpoint y SEPM envía datos sobre la condena a Symantec para la telemetría. |
|
| Red en línea de Symantec para respuesta avanzada (SONAR) |
Symantec Endpoint Protection incluye la tecnología SONAR (del inglés Symantec Online Network for Advanced Response: Red en línea de Symantec para respuesta avanzada) para la detección y la reparación del comportamiento de proceso. Sin embargo, SEP no ayuda a comprender estos detalles. Cuando se integra Symantec EDR y SEP, Symantec EDR puede proporcionar información sobre las detecciones de SONAR, incluyendo los cambios de sistema que han ocurrido en sus endpoints administrados, el orden en que ocurrieron y los atributos de archivo relacionados. Esta información le da la mayor visibilidad de la actividad que ocurre en su entorno. SONAR usa un sistema heurístico que aprovecha la red de inteligencia en línea de Symantec con supervisión local proactiva en endpoints de SEP para detectar amenazas emergentes. SONAR además detecta cambios o comportamientos en los endpoints que se deben supervisar. SONAR no hace detecciones sobre el tipo de aplicación, sino sobre cómo un proceso se comporta. |
| Clasificador de archivos sospechosos |
Symantec EDR usa un clasificador de archivos para analizar los archivos con estados desconocidos. El clasificador de archivos divide los archivos por sus atributos para determinar si son buenos o maliciosos, sobre la base de árboles de decisión que se entrenan con millones de archivos. Esta tecnología usa aprendizaje automático en vez de desactivación de espacio aislado o firmas. |
Legacy ID:
v115336173_v128921691
La suscripción proporcionará actualizaciones por correo electrónico cuando se actualice este artículo. Es necesario iniciar sesión.
Suscrito al artículo
Unable to subscribe
Gracias por sus comentarios.
Enterprise Support Virtual Agent
Rate Me :
Tell us more:
Welcome! My name is Sami, the Enterprise Support Virtual Agent answering technical support questions.
Start Over
This will clear the history and restart the chat.
Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)