Cómo configurar Endpoint Activity Recorder

Endpoint Activity Recorder define las políticas globales que se aplican a todos los grupos que
SEPM
administra. Sin embargo, las políticas no se aplican a los grupos que se excluyen de la política. A medida que los endpoints se agregan o se mueven entre subgrupos, heredan la política de grupo. Los comandos de
ECC
se aplican solamente a los endpoints que están en los grupos incluidos.
Los endpoints administrados deben ejecutar
Symantec Endpoint Protection
14.0 RU1 y versiones posteriores. Si Endpoint Activity Recorder no es compatible con su versión de
SEPM
, aparecerá un mensaje de error en la página
SEP
Endpoint Activity Recorder Configuration
(Configuración de Endpoint Activity Recorder de SEP).
  1. Realice una de las siguientes tareas:
    Configure inicialmente la conexión
    SEPM
    usando el asistente de configuración
    Continúe con el paso 2.
    Modifique una conexión existente de
    SEPM
    1. Haga clic en
      Settings (Configuración) > Global
      .
    2. Desplácese hacia abajo hasta
      Endpoint Detection and Response, SEP Policies, and Endpoint Activity Recorder
      (Endpoint Detection and Response, políticas de SEP y Endpoint Activity Recorder).
    3. Haga clic en el menú de acciones (tres puntos verticales) en el extremo derecho de la conexión de
      SEPM
      que desee actualizar.
    4. Haga clic en
      Recorder Configuration
      (Configuración del registro).
  2. Seleccione
    Enable Endpoint Activity Recorder
    (Habilitar Endpoint Activity Recorder) a fin de habilitar la función en los clientes que administra esta instancia de
    SEPM
    .
    Al seleccionar esta casilla se habilita la funcionalidad en el endpoint para registrar las actividades para cada proceso en el endpoint. Además, esta opción permite que la lógica determine cuál de esos eventos debe enviarse de vuelta a
    Symantec EDR
    en tiempo real.
    Después de configurar el controlador de SEPM, aparece el botón de opción
    Recorder
    (Registrador) en la sección
    Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder
    (Canal de comunicación de endpoints, políticas de SEP y Endpoint Activity Recorder). Se puede habilitar o deshabilitar esta opción para habilitar o deshabilitar Endpoint Activity Recorder sin tener que editar la configuración.
  3. Si habilita Endpoint Activity Recorder, especifique la cantidad máxima de espacio libre en disco (en MB o GB) en el endpoint para almacenar los datos registrados.
    El tamaño mínimo es de 250 MB; el máximo es de 20 GB. El valor predeterminado es 1 GB.
    Esta configuración establece la cantidad de espacio que se asigna para conservar los eventos
    ECC
    en el endpoint antes de que se depuren. La duración exacta depende de la actividad de endpoint, pero el promedio es 1 GB cada siete días de eventos. La proporción exacta depende de la actividad del endpoint.
  4. Realice una de las siguientes tareas:
    Para enviar eventos de endpoint a
    Symantec EDR
    casi en tiempo real
    Seleccione
    Send events in near real time
    (Enviar eventos casi en tiempo real).
    Para los endpoints de Windows, SEP puede enviar hasta 1000 eventos cada 5 minutos. Los eventos para los clientes de Mac se envían a un ritmo levemente más lento. Si selecciona esta opción, puede crear una demanda inesperada y pesada en los recursos. Utilice la otra opción para limitar el momento de envío de eventos del endpoint a
    Symantec EDR
    en el caso de que tenga un gran número de endpoints. Para obtener más información, consulte la
    Guía de evaluación del tamaño de Symantec Endpoint Detection and Response
    .
    Para limitar cuándo debe enviarse los eventos de endpoint a
    Symantec EDR
    Los clientes envían datos a
    Symantec EDR
    según un intervalo mínimo y un tamaño máximo de lote.
    1. Configure la frecuencia máxima (en minutos u horas) según la cual los lotes de eventos se envían a
      Symantec EDR
      .
      El máximo es 24 horas.
    2. Especifique el tamaño máximo del lote.
      El mínimo es 1 evento; el máximo es 100 eventos.
    Se espera que un cliente promedio envíe aproximadamente 2 eventos por minuto. Menos de 10 eventos cada 5 minutos puede ocasionar que los eventos se acumulen en los clientes. En este caso, es posible que no reciba información de eventos importante en el tiempo debido. Al configurar más eventos (más de 15 eventos por cada 5 minutos), aumenta la carga en su appliance de
    Symantec EDR
    durante el rendimiento máximo. Asegúrese de que su sistema no esté completamente cargado si aumenta el tamaño de lote considerablemente.
  5. Seleccione
    Enable Netstat Event Recording
    (Habilitar registro de eventos de Netstat) para que
    SEP
    registre los eventos de conexión del protocolo para los protocolos que se especifican en la lista
    Protocols to record
    (Protocolos que desea registrar).
    Esta opción no se admite en los endpoints de Mac.
  6. Symantec EDR
    proporciona una lista predeterminada de protocolos. Agregue o elimine los protocolos según sea necesario en la lista
    Protocols to record
    (Protocolos que desea registrar).
    Esta opción no se admite en los endpoints de Mac.
    Haga clic en el siguiente vínculo para ver la lista de protocolos admitidos y predeterminados.
    Puede agregar nuevos protocolos que solamente el cliente de
    SEP
    comprende (Componente de LiveUpdate del Id. de cliente [CIDS]).
    Symantec EDR
    emite una advertencia, pero le permite agregar el protocolo para que CIDS grabe los nuevos protocolos y que se los pueda cargar a
    Symantec EDR
    .
    Symantec EDR
    no necesita poder identificar los nuevos protocolos para procesarlos correctamente para la carga (por ejemplo, el volcado completo) y la búsqueda.
  7. Marque
    Enable File Open Event Recording
    (Habilitar el registro de eventos abiertos de archivos) para registrar cada vez que un usuario o proceso del sistema intenta leer un archivo no ejecutable.
    La selección de esta opción puede dar lugar a que se registre un gran volumen de eventos. Cree reglas de registrador para limitar la ubicación en la que desea que se detecten estos tipos de eventos en el sistema de archivos.
    Esta opción no se admite en los endpoints de Mac.
  8. Seleccione las casillas para los tipos de eventos que desee enviar a
    Symantec EDR
    .
    Esta opción no se admite en los endpoints de Mac.
    Cambios de punto de carga
    Este tipo de evento incluye cualquier evento que esté asociado con la capacidad de mantener la persistencia en un endpoint. Este tipo de evento incluye, pero no se limita a: claves de registro de inicio, servicios, trabajos programados, etc.
    Actividad del sistema sospechosa
    Este evento incluye reglas competentes como el uso del puerto-protocolo sospechoso por procesos del sistema, archivos de sistema que se inician desde ubicaciones inesperadas, etc.
    Detecciones heurísticas
    Este tipo de evento incluye las reglas que coinciden con una secuencia de eventos que se ven a menudo en actividad maliciosa.
    Actividad de AntiMalware Scan Interface (AMSI)
    Este tipo de evento está formado por eventos relacionados con aplicaciones y servicios que se integran con cualquier producto de protección contra software malicioso.
    Los endpoints deben ejecutar SEP 14.3 RU1 o una versión posterior para reenviar este evento a Symantec EDR.
    Actividad de seguimiento de eventos para Windows (ETW)
    Este tipo de evento está formado por eventos que están relacionados con la función de seguimiento de nivel de kernel que permite registrar eventos definidos por el kernel o la aplicación.
    Los endpoints deben ejecutar SEP 14.3 RU1 o una versión posterior para reenviar este evento a Symantec EDR.
    Actividad de inicio de procesos
    Envía a
    Symantec EDR
    cada evento de inicio de proceso con una relación principal/secundaria y la línea de comandos. Resulta útil para identificar qué se ejecutó en su entorno, qué argumentos de línea de comandos se usaron y en qué contexto de usuario. Aunque son valiosos, los eventos de inicio de proceso representan el 49% de los eventos que se envían a
    Symantec EDR
    .
    Actividad de finalización de procesos
    Este tipo de evento no es tan útil como los eventos de inicio de proceso, pero indican si un proceso aún se está ejecutando. Esta categoría representa el 49% de todos los eventos que se envían a
    Symantec EDR
    . Si se debe reducir la carga, primero deshabilite esta categoría.
    Seleccione
    Process launch activity
    (Actividad de inicio de procesos) si desea poder ver los eventos de Process Lineage (Origen de proceso) en la página de detalles de incidentes.
    Sugerencia
    : La limitación de los eventos que se envían a
    Symantec EDR
    puede mejorar el rendimiento del sistema. Sin embargo, debe tener en cuenta que la desventaja es que corre el riesgo de que una amenaza potencial pueda pasar inadvertida.
  9. Si habilita Endpoint Activity Recorder, haga clic en
    Next
    (Siguiente), para configurar las exclusiones y excepciones de políticas en el asistente. De lo contrario, haga clic en
    Save
    (Guardar).