Detalles de la política predeterminada de Endpoint Detection and Response

Esta página muestra los detalles de la política de Endpoint Activity Recorder. También se puede editar la configuración de la política predeterminada en esta página, incluidos los siguientes valores de la configuración:
  • Si Endpoint Activity Recorder está activado o desactivado de forma predeterminada.
  • El tamaño de la base de datos en los endpoints que almacenan datos de eventos. Esta configuración se establece por primera vez durante la configuración de Endpoint Activity Recorder. Si es necesario, se puede editar el valor aquí.
  • La frecuencia con la que los datos de eventos del endpoint se envían a EDR. Esta configuración se establece por primera vez durante la configuración de Endpoint Activity Recorder. Si es necesario, se puede editar el valor aquí.
  • Los tipos de datos de eventos enviados a EDR.
  • Los archivos y las rutas de archivo que no se deben registrar.
Eventos que se enviarán a EDR
De forma predeterminada, las ejecuciones de PowerShell se envían automáticamente a EDR. También se pueden seleccionar los siguientes tipos de datos de eventos para enviar a EDR:
Cambios de punto de carga
Este tipo de evento incluye cualquier evento que esté asociado con la capacidad de mantener la persistencia en un endpoint. Este tipo de evento incluye, pero no se limita a: claves de registro de inicio, servicios, trabajos programados, etc.
Actividad del sistema sospechosa
Este evento incluye reglas competentes como el uso del puerto-protocolo sospechoso por procesos del sistema, archivos de sistema que se inician desde ubicaciones inesperadas, etc.
Detecciones heurísticas
Este tipo de evento incluye las reglas que coinciden con una secuencia de eventos que se ven a menudo en actividad maliciosa.
Actividad de inicio de procesos
Envía cada evento de inicio de proceso con una relación principal/secundaria y la línea de comandos. Resulta muy útil para identificar qué se ejecutó en su entorno, qué argumentos de línea de comandos se usaron y en qué contexto de usuario. Aunque son valiosos, los eventos de inicio de proceso representan el 49 % de los eventos que se envían a EDR.
Actividad de finalización de procesos
Este tipo de evento no es tan útil como los eventos de inicio de proceso, pero indican si un proceso aún se está ejecutando. Esta categoría representa el 49 % de todos los eventos que se envían a EDR. Si es necesario reducir la carga, primero deshabilite esta categoría.
Actividad de AntiMalware Scan Interface (AMSI)
Este tipo de evento está formado por eventos relacionados con aplicaciones y servicios que se integran con cualquier producto de protección contra software malicioso.
Los endpoints deben ejecutar SEP 14.3 RU1 o una versión posterior para reenviar este evento a EDR.
Actividad de seguimiento de eventos para Windows (ETW)
Este tipo de evento está formado por eventos que están relacionados con la función de seguimiento de nivel de kernel que permite registrar eventos definidos por el kernel o la aplicación.
Los endpoints deben ejecutar SEP 14.3 RU1 o una versión posterior para reenviar este evento a EDR.
Es necesario seleccionar
Actividad del inicio del proceso
si se desea poder ver los eventos del
Linaje del proceso
en la página de detalles de los
Incidentes
.
Si se han realizado cambios en la política, haga clic en
Guardar política
.