Envío de archivos al espacio aislado

El espacio aislado en EDR permite enviar un archivo sospechoso para el análisis a fin de determinar si el archivo es malicioso o seguro.
En Symantec Endpoint Detection and Response, las maneras en que los archivos se envían al espacio aislado para un análisis adicional son las siguientes:
  • Enviar archivos automáticamente al espacio aislado
  • Enviar archivos manualmente al espacio aislado
Es posible usar esta función solamente con SEP 14.3 y versiones posteriores.
Enviar archivos automáticamente al espacio aislado
Symantec Endpoint Detection and Response envía automáticamente los archivos sospechosos al espacio aislado para la evaluación. Si el resultado del espacio aislado para el archivo es malicioso, se crea un evento con el Id. de evento 8031.
Todos los eventos que se detectan como sospechosos por el espacio aislado pueden verse usando el
Filtro rápido
de la página
Investigar > Eventos de seguridad > Buscar
.
No hay límites en la cantidad de archivos que se envían automáticamente al espacio aislado para la evaluación.
Enviar archivos manualmente al espacio aislado
Si detecta un archivo sospechoso en el entorno, también puede enviar manualmente los archivos al espacio aislado para el análisis.
A continuación se muestran algunas restricciones relacionadas con el envío manual de archivos al espacio aislado:
  • Se permite un máximo de 100 envíos por día para un dominio del cliente.
  • Si los resultados del espacio aislado para un archivo están disponibles, no se podrá enviar al espacio aislado el mismo archivo en los 7 días siguientes.
  • El tamaño máximo del archivo que se puede enviar al espacio aislado es de 20 MB.
El siguiente procedimiento enumera los pasos que es necesario seguir para enviar un archivo al espacio aislado.
  1. Inicie sesión en la consola de Symantec Endpoint Security y vaya al menú
    Investigar
    .
  2. Busque y filtre el archivo sospechoso usando los filtros de la página
    Investigar
    .
  3. Seleccione el menú
    Acción
    .
  4. En el menú
    Acción
    , seleccione
    Enviar al espacio aislado
    .
  5. Seleccione
    Siguiente
    .
  6. En la página
    Enviar al espacio aislado
    , seleccione el tipo de archivo que desea enviar al espacio aislado para el análisis. Es posible seleccionar si el archivo es un archivo portable ejecutable (PE) o un archivo no portable ejecutable (no PE).Si el archivo es un archivo no portable ejecutable (PE), debe proporcionar las credenciales del endpoint o de las credenciales del administrador del dominio.
  7. Haga clic en
    Enviar
    .
Cuando un archivo se envía al espacio aislado para el análisis, se crea un incidente correspondiente. Para ver el detalle de un incidente, seleccione el menú
Incidentes y alertas
.