Creación de una política del registrador

Para que Symantec EDR aplique reglas de políticas del registrador, ejecute Symantec Endpoint Protection (SEP) 14.3 RU1 o posterior. Si los endpoints ejecutan SEP 14.3 o 14.3 MP1, asegúrese de que el agente de SEP utiliza Endpoint Detection and Response Engine 4.3 o posterior. Se puede encontrar la versión del motor en la consola de SEP en la página
Help > Troubleshooting > Versions
(Ayuda > Solución de problemas > Versiones).
Las reglas de políticas de registrador definen qué actores o procesos se supervisan, registran en Endpoint Activity Recorder y se envían a Symantec EDR.   O puede optar por no supervisar un evento del actor o proceso porque sabe que es benigno.
Las ventajas de las reglas de políticas del registrador son las siguientes:
Se pueden configurar hasta 200 reglas
Deshabilitar supervisión
. El número máximo de todos los otros tipos de reglas (No registrar, Registrar pero no enviar, Registrar y enviar) combinados es de 100 reglas. Los otros tipos de reglas pueden estar en cualquier combinación, pero combinadas, no puede exceder de 100 reglas.
Tenga la vista Event Summary (Resumen de eventos) abierta en una página diferente del navegador al crear la nueva regla. Los siguientes procedimientos especifican los campos de la vista Event Summary (Resumen de eventos) que se pueden copiar y pegar en los campos de la regla. Trabajar en la vista Events Summary (Resumen de eventos)
Las reglas de políticas del registrador no se admiten para los clientes de Mac.
Cualquier creación o cambio en las reglas de políticas de registrador se registran en el registro de auditoría de Symantec EDR.
  1. Haga clic en
    Policies
    (Políticas) y seleccione la ficha
    Recorder
    (Registrador).
  2. Seleccione el tipo de regla que desea realizar.
    No registrar
    Supervisa los procesos que se definen.
    Los eventos no se almacenan en el endpoint o se envían a Symantec EDR.
    Registrar pero no enviar
    Supervisa los procesos que se definen.
    Los eventos se almacenan en el endpoint, pero no se envían a Symantec EDR casi en tiempo real.
    Registrar y enviar
    Supervisa los procesos que se definen.
    Los eventos se almacenan en el endpoint. Y los tipos de evento que ha seleccionado en la página
    Endpoint Activity Recorder Configuration
    (Configuración de Endpoint Activity Recorder) se envían a Symantec EDR casi en tiempo real.
    Deshabilitar supervisión
    Deshabilita la supervisión, el registro y el envío a Symantec EDR de todos los eventos para el actor especificado.
    Si se selecciona esta opción, solo se puede configurar
    Actor Type
    (Tipo de actor) y
    Actor
    para todos los eventos.
    Esta opción es equivalente a agregar el actor a la lista de aceptación. Por tanto, solo es necesario configurar esta opción para aquellos actores que sean seguros y que no necesiten la supervisión.
  3. Seleccione
    Event Type
    (Tipo de evento) para el que desea crear una regla.
    El valor predeterminado es
    All Events
    (Todos los eventos). Para seleccionar un evento específico, haga clic en la lista desplegable
    Event Type
    (Tipo de evento) y seleccione el evento.
  4. Especifique
    Actor Type
    (Tipo de actor) (SHA256 o ruta de archivo).
  5. En el campo
    Actor
    , especifique lo siguiente en función del
    tipo de actor
    seleccionado:
    Tipo de actor
    Valor
    SHA256
    Escriba el valor de hash SHA256.
    event_actor.file.sha2
    Ruta de archivo
    Escriba una ruta completa. Este valor se puede modificar mediante comodines y expresiones regulares. ¹
    event_actor.file.path
  6. En el campo
    Actor Command Line
    (Línea de comandos del actor), escriba la línea de comandos que se utilizó para iniciar el proceso.
    event_actor.cmd_line
    Este valor se puede modificar mediante comodines y expresiones regulares. ¹
  7. Haga clic en el menú desplegable
    Operation
    (Operación) para seleccionar la operación para la que desea crear la regla.
    Los valores que se pueden seleccionar varían en función del
    tipo de evento
    seleccionado.
    Tipo de evento
    Descripción
    Todos los eventos
    No disponible
    8001 - Actividad del proceso
    • All
    • Launched
    • Terminated
    • Injected
    8002 - Actividad del módulo
    • All
    • Loaded
    • Unloaded
    8003 - Actividad del archivo
    • All
    • Created
    • Deleted
    • Opened
    • Renamed
    • Modified
    • Set Attributes
    • Set Security
    • Encrypted
    • Decrypted
    8004 - Actividad del directorio
    • All
    • Created
    • Deleted
    • Opened
    • Renamed
    • Modified
    • Set Attributes
    • Set Security
    • Encrypted
    • Decrypted
    8005 - Actividad de la clave de registro
    • All
    • Create Key
    • Delete Key
    • Open Key
    • Rename Key
    • Set Key Security Descriptor
    • Restore Key
    8006 - Actividad del valor de registro
    • All
    • Set
    • Delete
    8007 - Actividad en la red
    • All
    • Connect
    • Disconnect
    • Static
    8009 - Actividad del kernel
    • All
    • Create
    8015 - Actividad de ETW
    No disponible
    8016 - Actividad de AMSI
    No disponible
  8. Si se selecciona el evento 8015 - ETW Activity, aparece la opción
    Target Type
    (Tipo de destino). Seleccione una de las siguientes opciones:
    • ID de evento de referencia (ref_event)
    • Instalación de origen (monitor_source.facility)
  9. En el campo
    Target
    (Destino), escriba el destino del proceso.
    Se pueden utilizar comodines y expresiones regulares.¹
    Tipo de evento
    Campo de vista de Resumen de eventos
    Todos los eventos
    No disponible
    8001 - Actividad del proceso
    process.file.path
    process.file.sha2
    8002 - Actividad del módulo
    file.path
    file.sha2
    8003 - Actividad del archivo
    file.path
    file.sha2
    8004 - Actividad del directorio
    directory.path
    8005 - Actividad de la clave de registro
    reg_key.path
    8006 - Actividad del valor de registro
    reg_value.name
    8007 - Actividad en la red
    conn.dst_ip
    8009 - Actividad del kernel
    kernel.name
    8015 - Actividad de ETW
    monitor_source.facility
    ref_event,
    8016 - Actividad de AMSI
    recurso
  10. En el campo
    Target Command Line
    (Línea de comandos de destino), escriba en la línea de comandos utilizada para el destino.
    Este campo solo está disponible para el evento 8001 - Process Activity (process.cmd_line).
    Este valor se puede modificar mediante comodines y expresiones regulares. ¹
  11. Opcionalmente, escriba un comentario en el recuadro
    Comments
    (Comentarios).
  12. Haga clic en
    Save
    (Guardar).
    Symantec EDR asigna la regla a todas las conexiones existentes del controlador de SEPM que tienen habilitada la opción
    Apply Endpoint Activity Recorder rule policy
    (Aplicar la política de reglas de Endpoint Activity Recorder).
  13. Si procede, asigne la prioridad de la regla.
¹ Las cadenas de expresiones regulares deben encerrarse entre un carácter de barra diagonal (/) inicial y final. Las rutas también se deben escapar cuando se definen entre indicadores de expresión regular: /c:\\windows.*/ Al definir una entrada comodín: c:\windows* (tenga en cuenta que el separador de ruta no se escapa).