Detección de técnicas de ataque avanzadas |
La detección de datos de eventos de técnicas de ataque avanzadas proporciona visibilidad de posibles ataques avanzados que pueden amenazar su red. La detección de técnicas de ataque avanzadas aprovecha la aplicación de políticas de comportamiento de SONAR para detectar las técnicas de ataque avanzadas. Se centra en comportamientos como la actividad de proceso, las API de Windows, los cambios de sistema de archivos, los cambios de registro y la actividad de red. La detección de datos de técnicas de ataque avanzadas incluye mayores detalles sobre el ataque avanzado. Tiene descripciones más detalladas para ayudarle a comprender el alcance del evento. Symantec EDR también enriquece los eventos de detección de técnicas de ataque avanzadas con estrategias, técnicas y procedimientos de MITRE. |
Targeted Attack Analytics (Análisis de ataque dirigido) |
Si ejecuta Symantec Endpoint Detection and Response: Endpoint, puede mejorar las detecciones de incidente con las Targeted Attack Analytics (análisis de ataque dirigido). Cuando se habilita esta función, Symantec EDR recibe datos desde el servicio de Targeted Attack Analytics (análisis de ataque dirigido) basado en la nube por hora. Symantec EDR luego usa esa información para generar nuevos incidentes o para agregarla a los incidentes de Symantec EDR existentes. Ver Cómo habilitar la Targeted Attack Analytics (Análisis de ataque dirigido). |
Análisis y ejecución de archivos de aislamiento de procesos |
Este servicio de aislamiento de procesos detona los archivos en un entorno virtual y observa su comportamiento. Symantec EDR admite el uso del servicio de aislamiento de procesos basado en la nube de Symantec o sus appliances de aislamiento de procesos en las instalaciones. Ver Configuración de Symantec EDR para usar aislamiento de procesos en la nube o aislamiento de procesos en las instalaciones. |
Detecciones de archivos de Insight |
SEP ha preguntado al servidor de reputación de archivos sobre un archivo en el endpoint protegido o Insight ha detectado actividad maliciosa que ocurría en su red. Los clientes de SEP pueden generar una gran cantidad de eventos de Insight porque las consultas de Insight se pueden hacer en todos los tipos de archivos: buenos, malos y desconocidos. La capacidad de filtrar las detecciones de Insight por tipo (por ejemplo, solamente los malos archivos) no está admitida actualmente. |
Análisis de la aplicación de Mobile Insight |
Mobile Insight detecta problemas con un archivo ejecutable para Android. |
Listas negras |
Se detecta un archivo que está en una lista negra proporcionada por Symantec o se detecta un archivo que está en la lista negra de Symantec EDR. |
Prevención de intrusiones a través de la red de Vantage (IPS/NDC) |
Vantage detecta actividad maliciosa en un endpoint o se encuentran amenazas basadas en firmas de Vantage en el flujo de la red. |
Condenas de antivirus |
El motor antivirus condenó archivos infectados en un endpoint y SEPM envía datos sobre la condena a Symantec para la telemetría. |
Red en línea de Symantec para respuesta avanzada (SONAR) |
Symantec Endpoint Protection incluye la tecnología SONAR (del inglés Symantec Online Network for Advanced Response: Red en línea de Symantec para respuesta avanzada) para la detección y la reparación del comportamiento de proceso. Sin embargo, SEP no ayuda a comprender estos detalles. Cuando se integra Symantec EDR y SEP, Symantec EDR puede proporcionar información sobre las detecciones de SONAR, incluyendo los cambios de sistema que han ocurrido en sus endpoints administrados, el orden en que ocurrieron y los atributos de archivo relacionados. Esta información le da la mayor visibilidad de la actividad que ocurre en su entorno. SONAR usa un sistema heurístico que aprovecha la red de inteligencia en línea de Symantec con supervisión local proactiva en endpoints de SEP para detectar amenazas emergentes. SONAR además detecta cambios o comportamientos en los endpoints que se deben supervisar. SONAR no hace detecciones sobre el tipo de aplicación, sino sobre cómo un proceso se comporta. |
Clasificador de archivos sospechosos |
Symantec EDR usa un clasificador de archivos para analizar los archivos con estados desconocidos. El clasificador de archivos divide los archivos por sus atributos para determinar si son buenos o maliciosos, sobre la base de árboles de decisión que se entrenan con millones de archivos. Esta tecnología usa aprendizaje automático en vez de desactivación de espacio aislado o firmas. |
Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)