Comparación entre una instancia en las instalaciones de
Symantec Endpoint Protection
14.x y una suscripción completa de
Symantec Endpoint Security

Acceda a todas las funciones de
Symantec Endpoint Security
desde la ficha
Endpoint
en
Integrated Cyber Defense Manager
.
En octubre de 2019, se ha cambiado el nombre de Symantec Endpoint Protection 15 a
Symantec Endpoint Security
.
Tipos de políticas
Políticas (descripción general)
Algunas opciones de configuración de políticas y de seguridad en
Symantec Endpoint Security
(
Endpoint Security
) no aparecen en la interfaz de usuario, pero se habilitan de forma predeterminada. En este caso, no hay ninguna configuración para deshabilitar o configurar.
Políticas (general)
Symantec Endpoint Protection
en las instalaciones
Symantec Endpoint Security
Protección antivirus y antispyware
  • Se ha sustituido por la política de protección contra software malicioso en la versión 14.2 MP2 y versiones posteriores de los agentes totalmente administrados en la nube.
  • Solo se ha sustituido por la política de protección intensiva en los agentes de administración híbrida de la versión 14.1 y versiones posteriores: combina Diagnóstico de Insight de descargas, Bloodhound y algunas opciones de SONAR.
Mitigación de puntos vulnerables de red y host
  • Protección contra amenazas de red (prevención de intrusiones y firewall)
  • Mitigación de puntos vulnerables de memoria (ha sustituido Mitigación de puntos vulnerables genéricos en la versión 14)
En la consola en la nube, el término Mitigación de puntos vulnerabilidades de red y host ya no se usa y se ha sustituido por los siguientes nombres de políticas:
  • Política de firewall
  • Política de prevención de intrusiones
  • Política de protección de puntos vulnerables (mitigación de puntos vulnerables de memoria)
El término Mitigación de puntos vulnerables de red y host todavía se usa en el cliente.
Protección proactiva contra amenazas (hasta la versión 14.2)
  • Control de aplicaciones y dispositivos
  • SONAR
En la consola en la nube, ya no se usa el término Protección proactiva contra amenazas y se ha sustituido por las siguientes políticas o funciones:
  • Política de control de aplicaciones
  • Política de Control de dispositivos
  • Análisis de comportamiento (nombre nuevo para SONAR)
  • PTP se sigue utilizando en el cliente de
    Symantec Endpoint Protection Manager
    /
    Symantec Endpoint Protection
    (en la versión 14.2 RU1 y posteriores).
Política de excepciones
Política de lista de aceptación (versión 14.1 y posteriores). Lista de denegación para la excepción HASH (versión 14.1 y posteriores)
Integridad del host
Política de integridad del host (próximamente)
  • Bloqueo del sistema
  • Aprendizaje de la aplicación (Clientes > ficha Políticas > Configuración > Configuración general)
  • Bloqueo del sistema: Se ha sustituido por la política de lista de denegación y el Control de aplicaciones (
    Symantec Endpoint Security
    completo)
  • Aprendizaje de la aplicación: Se ha sustituido por elementos detectados, así como por la política Lista de denegación y el Control de aplicaciones
Protección contra intervenciones (
Clientes
> ficha
Políticas
>
Configuración
>
Configuración general
)
Acciones que se efectuarán en caso de que una aplicación intente intervenir o cerrar el software de seguridad de Symantec
  • Bloquear y no registrar
  • Bloquear y registrar
  • Registrar
Se ha movido a la política del sistema y se ha etiquetado como
Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre
(encendido o apagado)
  • Bloquear y no registrar
  • Bloquear y registrar
  • Registrar
Reconocimiento de ubicación:
Se ha cambiado el nombre de Destino de políticas (agentes de la versión 14.3). Se apunta una política a un dispositivo donde un determinado usuario haya iniciado sesión (página
Políticas
> ficha
Reglas de destino de políticas
)
Supervisión de aplicaciones de red (página
Clientes
> ficha
Políticas
)
Rechazado
Estafa
Solo en las instalaciones.
Active Directory Threat Defense
Solo en las instalaciones.
Control de aplicaciones
El Control de aplicaciones se incluye con Symantec Endpoint Security Complete.(El Aislamiento de aplicaciones también está disponible para los clientes heredados.)
La política de Aislamiento de comportamiento proporciona la mitigación de la superficie de ataque para Symantec Endpoint Security Enterprise y Symantec Endpoint Security Complete.
Power Eraser
Disponible pronto
Habilitación de Endpoint Detection and Response (se ha cambiado el nombre de ATP)
Endpoint Detection and Response (EDR) se incluye con Symantec Endpoint Security Complete.
Candados o control mixto, de servidores o de clientes
:
Se impide que los usuarios deshabiliten la protección en el equipo cliente al establecer el nivel de control del usuario o al bloquear las opciones de las políticas. Algunas políticas usan un candado. Otras políticas usan el nivel de control del usuario.
El desbloqueo de ciertas políticas permite a los usuarios del cliente anular la configuración de la política en el dispositivo.
Políticas (acciones)
Políticas (acciones)
SEP en las instalaciones
Symantec Endpoint Security
Políticas
  • Plantillas de políticas
  • Tipos de políticas
  • Policy status - Published/Draft - Deprecated in December 2019
Agregar
Create
Editar
Haga clic con el botón secundario en los puntos suspensivos verticales (menú Acción)
Para actualizar la política:
  • Seleccione y abra la política y, a continuación, seleccione
    Guardar política
    .
  • La ficha
    Políticas
    >
    Versiones
    muestra las versiones anteriores de la política.
    Se crea una versión más reciente de una política cada vez que se cambia una configuración de la política y se aplica la política a un dispositivo o a un grupo de dispositivos.
Copiar
Duplicado
Asignar (a un grupo o a una ubicación)
Aplicar (a un grupo de dispositivos)
Reemplazar
N/D (utilice Aplicar en su lugar)
Retirar de los grupos o las ubicaciones asignados antes de su eliminación
Eliminar
Eliminar
Eliminar
Importar y exportar
  • Importar las políticas admitidas de la versión 12.1.6.x a la versión 14.2 MP1 y versiones posteriores.
  • Exportar políticas (Políticas > ficha Políticas > menú Acciones > Exportar política)
Control de aplicaciones y Aislamiento de aplicaciones
La política de Control de aplicaciones en
Symantec Endpoint Protection Manager
se puede reemplazar con el Control de aplicaciones en la nube. El Aislamiento de aplicaciones solo está disponible en la nube.
Control de aplicaciones
SEP en las instalaciones
Symantec Endpoint Security
Modo de prueba/producción
  • Prueba (solo reg.)
  • Producción
SEPM no tiene ningún equivalente a la anulación (los usuarios del cliente no pueden anular).
Configuración general
Active
Ejecutar en modo de supervisión
para probar la política. Desactive
Ejecutar en modo de supervisión
para aplicar la política.
Modo de aplicación
(para producción)
  • Aplicar con anulaciones (dispositivos dinámicos)
    Opciones de anulación
    :
    (Configura el tipo de aplicaciones que los usuarios del cliente pueden anular)
    • Permitir anulaciones si las aplicaciones están firmadas y tienen buena reputación
    • Permitir anulaciones si las aplicaciones no están firmadas pero tienen buena reputación
    • Permitir anulaciones si las aplicaciones están firmadas pero tienen una reputación gris
    • Permitir anulaciones si las aplicaciones no están firmadas y tienen una reputación gris
  • Aplicación estricta (dispositivos de función fija)
Agregar reglas o condiciones
personalizadas
:
  • Intentos de acceso al registro
  • Intentos de acceso a archivos y carpetas
  • Intentos de iniciar procesos
  • Intentos de terminar procesos
  • Intentos de cargar DLL
Propiedades:
  • Nombre y descripción de la regla
  • Habilitar esta regla
  • Aplicar o No aplicar esta regla a los siguientes procesos
Los procesos secundarios heredan las condiciones
Agregar reglas o condiciones
personalizadas
  • Nombre de la aplicación
  • Nombre del archivo
  • Regla personalizada:
    • Editor
    • Reputación
    • Ruta
    • Hash
Acciones:
Intento de lectura, creación, eliminación o escritura
  • Continuar procesando otras regla
  • Permitir acceso
  • Bloquear acceso
  • Terminar proceso
  • Habilitar registro
  • Enviar alerta de correo electrónico
  • Notificar al usuario
Reglas predeterminadas:
  • Bloquear la ejecución de aplicaciones [AC1]
  • Bloquear la ejecución de programas de unidades extraíbles [AC2]
  • Hacer que todas las unidades extraíbles sean de solo lectura [AC3]
  • [AC4-1.1] Bloquear escritura en las unidades USB
  • [AC5-1.1] Registrar escritura en unidades USB
  • Bloquear modificaciones en el archivo del host
  • Bloquear acceso a scripts
  • Detener instaladores de software [AC8]
  • Bloquear el acceso a Autorun.inf [AC9]
  • Bloquear herramienta de restablecimiento de contraseñas [AC10]
  • Bloquear uso compartido de archivos [AC11]
  • Impedir cambios en puntos de cargas shell de Windows (HIPS) [AC12]
  • Impedir cambios en el sistema mediante el navegador y productos de Office (HIPS) [AC13]
  • Impedir modificaciones de archivos del sistema (HIPS) [AC14]
  • Impedir registro de nuevos objetos del ayudante del navegador (HIPS) [AC15]
  • Impedir registro de nuevas barras de tareas (HIPS) [AC16]
  • Evitar que procesos vulnerables de Windows escriban código [AC17]
  • Evitar que los servicios de Windows utilicen rutas UNC [AC-23]
  • Bloquear el acceso a archivos Ink y pif [AC-24]
  • Bloquear la ejecución de aplicaciones fuera de la papelera de reciclaje [AC-25]
Ninguna: Se crea una regla personalizada en el Control de aplicaciones en la nube.
Cliente
>
Políticas
>
Configuración específica de la ubicación
>
Permitir a los usuarios habilitar y deshabilitar el control de dispositivo de la aplicación
No: Rechazado
Aislamiento de aplicaciones
SEP en las instalaciones
Symantec Endpoint Security
No disponible
  • Política de aislamiento de navegadores
  • Política de aislamiento de Office
  • Política de aislamiento de PDF Renderer
  • Política de aislamiento de plataformas
  • Política de actualización de confianza
Política de Control de dispositivos
La compatibilidad con dispositivos Mac estará disponible pronto.
Políticas (Control de dispositivos)
SEP en las instalaciones
Symantec Endpoint Security
  • Listas de control de dispositivos de hardware
    • Dispositivos bloqueados
    • Dispositivos excluidos del bloqueo
  • Registrar dispositivos detectados
  • Notificar a los usuarios cuando se bloquean o desbloquean dispositivos (especificar el texto del mensaje)
Políticas > Componentes de políticas > Dispositivos externos
  • Lista de dispositivos externos (hardware)
Políticas
>
Política de Control de dispositivos predeterminada
  • Dispositivos externos bloqueados
    • Registrar dispositivos externos detectados
    • Notificar a los usuarios cuando se permiten dispositivos externos
  • Dispositivos externos permitidos (los dispositivos se excluyen del bloqueo, una excepción a una regla de bloqueo)
    • Registrar dispositivos externos detectados
    • Notificar a los usuarios cuando se permiten dispositivos externos
Control de dispositivos funciona basado solamente en el Id. de clase (GUID) y el Id. de dispositivo.
Control de dispositivos funciona basado solamente en el Id. de clase (GUID) y el Id. de dispositivo.
Control de dispositivos establece coincidencias con comodín en el Id. de clase o el Id. de dispositivo con el carácter de asterisco (*).
Información disponible pronto
La lista de dispositivos de hardware incluye muchos tipos de dispositivo comunes de forma predeterminada.
Políticas > Componentes de políticas > Dispositivos externos
  • Contiene dispositivos de Windows
  • Sistema (valor predeterminado)
  • Personalizado (el usuario lo agrega manualmente)
  • Detectado
Es posible agregar dispositivos personalizados adicionales a la lista de dispositivos de hardware por Id. de clase o Id. de dispositivo.
Políticas > Componentes de políticas > Dispositivos externos
  • Agregar dispositivo externo (uno a la vez)
  • Editar o eliminar elemento de la lista (menú de acción, uno a la vez)
Se aplica a dispositivos externos en Windows .
Los dispositivos para bloquear (o excluir del bloqueo) se derivan solamente de la lista de dispositivos de hardware. La lista incluye los tipos de dispositivo comunes predeterminados, así como los dispositivos personalizados que pudo haber agregado.
La lista de selección de dispositivos procede de la lista global. Se puede seleccionar qué dispositivos se desean bloquear o excluir del bloqueo y agregarlos directamente a la política.
Es posible agregar más de un tipo de dispositivo al mismo tiempo.
Políticas > Componentes de políticas > Dispositivos externos
  • Agregar dispositivo externo (se agrega uno a la vez)
Políticas
>
Política de Control de dispositivos
  • Dispositivos externos bloqueados
    • Agregar para Windows (se pueden seleccionar varios a la vez y se puede filtrar la lista)
    • Eliminar (individualmente, en el menú de acción para los elementos individuales)
  • Dispositivos externos permitidos:
    • Agregar para Windows (se pueden seleccionar varios a la vez)
    • Eliminar (individualmente, en el menú de acción para los elementos individuales)
  • Control de acceso para dispositivos USB de almacenamiento masivo:
    • Agregar (se pueden seleccionar varios a la vez y se puede filtrar la lista)
    • Eliminar (se pueden seleccionar varios a la vez en la política y, a continuación, se puede hacer clic en Eliminar)
Las acciones para realizar son bloquear os excluir del bloqueo (permitir).
Se pueden bloquear o permitir dispositivos externos .
Personalizar las notificaciones del cliente
Se pueden habilitar y personalizar la notificación del cliente para bloquear y permitir .
Endpoint Detection and Response (EDR)
Detección y respuesta del endpoint
SEP en las instalaciones
Symantec Endpoint Security
SEP proporciona las detecciones de amenazas a EDR para que las analice. Sin embargo, SEP no tiene ninguna funcionalidad integrada de EDR.
  • Los clientes ahora tienen una única vista de Endpoint Activity Recorder, los eventos de la técnica avanzada de ataque y los eventos de SEP.
  • Las nuevas y mejoradas herramientas de búsqueda proporcionan una búsqueda unificada y avanzada en todos los eventos. Las herramientas de búsqueda incluyen lo siguiente:
    • Filtrado basado en la hora en intervalos relativos (por ejemplo, Última semana) y en intervalos absolutos (fechas y horas de inicio y finalización).
    • Filtros rápidos predefinidos que filtran por elementos clave como, por ejemplo, tácticas MITRE, tecnología de detección, herramientas de doble uso, etc.
    • Filtros personalizados definidos por el usuario creados a partir de cualquier campo de datos de eventos.
    • Creación de filtros ad hoc basados en texto utilizando la sintaxis estándar del sector de Lucene Parser.
    • La capacidad de guardar consultas.
  • Una nueva ficha
    Incidentes
    en
    Alertas y eventos
    en la barra de navegación izquierda. La ficha proporciona una lista de todos los incidentes que un analista de seguridad debe investigar a fondo junto con una descripción que explica la detección, la prioridad y el número de endpoints afectados. Los incidentes se generan en función de los eventos de SEP, TAA, AAT y FDR.
  • Vistas detalladas de incidentes, eventos y entidades implicadas individuales (endpoints, archivos, dominios, etc.).
  • Representación gráfica de los incidentes que muestran las relaciones entre los elementos del incidente.
  • La capacidad de comentar los incidentes por parte de varios investigadores y de cerrar el comentario al solucionar el incidente.
  • Configuración del registro de datos de endpoints basado en políticas que incluye lo siguiente:
    • Capacidad de asignar la política a grupos de dispositivos específicos.
    • Programación cuándo se envían los datos a EDR.
    • Los tipos de datos enviados a EDR.
  • Se racionaliza el aprovisionamiento y la incorporación de EDR usando los mismos grupos de dispositivos que se han creado para otras soluciones de seguridad del endpoint.
Investigar la búsqueda: Mejoras en la cuadrícula de resultados de eventos
  • Desea ajustar rápidamente los resultados de la búsqueda para que se muestren aquellos que coincidan con un valor de campo específico o para excluir resultados que no coincidan con un campo específico.
    Esta versión agrega la capacidad de filtrar fácilmente por un valor o eliminando uno. Cuando se expande una fila en la cuadrícula de resultados, pase el puntero sobre un campo de evento para mostrar el icono
    +
    y el icono
    -
    . Haga clic en el icono
    +
    para filtrar por un valor y haga clic en el icono
    -
    para eliminar del filtro un valor.
  • Desea ver de un vistazo qué campos tienen valores nulos o vacíos.
    Los campos con valores nulos o vacíos ahora se muestran con un guion largo (—).
  • Desea ver todas las fechas de los campos como fechas locales.
    Las fechas para todos los campos ahora muestran la fecha local.
  • Las filas de eventos que se han expandido ya no muestran valores duplicados.
Investigar la búsqueda: Filtrar
  • Desea poder utilizar caracteres especiales como, por ejemplo, [ ] " . ! { } ~ ( ) \ : y ^ en una búsqueda de formato libre.
    Con esta versión, ahora se puede realizar una búsqueda por palabras (ponga la palabra entre comillas dobles) para buscar palabras que contengan caracteres especiales.
  • Los valores booleanos ya no distinguen entre mayúsculas y minúsculas.
  • Ahora puede especificar una ruta del archivo Windows dentro de una consulta de expresión regular.
Página Incidentes
  • Desea ver los eventos de red que no son de HTTP para los incidentes de IPS en el gráfico de incidentes.
    El gráfico de incidentes ahora muestra el incidente de IPS y los eventos de red que no son de HTTP.
  • El valor
    first_seen
    del incidente ahora se actualiza durante la actualización del incidente.
  • La regla de incidentes de AVE ahora excluye los eventos bloqueados.
  • Ahora solo los eventos de bloqueo del Aislamiento de aplicaciones en CDM crean incidentes relevantes.
  • Los incidentes nulos ya no aparecen para los eventos de bloqueo del firewall en CDM.
Política de excepciones
Política de excepciones
SEP en las instalaciones
Symantec Endpoint Security
Excepciones basadas en el servidor
  • Aplicaciones
    • (Ver) Aplicaciones en observación
    • Aplicaciones sin observar
    • Acciones: Omitir, Solo registrar, Cuarentena, Terminar, Eliminar
  • Aplicaciones para supervisar
    • Auto-Protect
    • Análisis programados y a petición
  • Extensiones
  • Archivos
    • Variable de prefijo
  • Carpetas
  • Riesgos conocidos
  • Dominio web de confianza
  • Excepciones de Protección contra intervenciones
  • Excepción de cambio de archivo de host o DNS
  • Certificado (nuevo en la versión 14.1)
Admitidas:
  • Certificado
  • Nombre de archivo (Archivo > Riesgo para la seguridad/SONAR)
    • Auto-Protect
    • Análisis programados y a petición
    • Análisis de comportamiento
    • Protección contra intervenciones
  • Excepción de dominio web (dominio web de confianza)
  • Hash (aplicación) solo admite valores SHA-256.
  • Ruta (Carpeta > Riesgo para la seguridad/SONAR)
    • Auto-Protect
    • Análisis programados y a petición
    • Análisis de comportamiento
  • Extensión (nueva en la versión 14.2 RU1)
    • Auto-Protect
    • Análisis programados y a petición
  • Host de IPS (movido desde la política de IPS)
    • Tipo de host: Dirección IP4/IP6, subred, intervalo
No admitidas:
  • Aplicación para supervisar (
    Symantec Endpoint Security
    Complete)
  • Archivo: Se ha movido al Control de aplicaciones
  • Carpeta: Control de aplicaciones (Desaprobada)
  • Riesgos conocidos (Desaprobados. No hacer nada basado en riesgos)
  • Protección contra intervenciones (disponible pronto)
  • Excepción de cambio de archivo de host o DNS
  • Excepciones de Mac o Linux (disponibles pronto)
Excepciones o restricciones basadas en el cliente:
(Controla qué excepciones pueden agregar los usuarios finales en el equipo cliente)
14 y versiones anteriores:
  • Aplicación
  • Extensión
  • Archivo
  • Carpeta
    • Riesgo para la seguridad
    • SONAR
  • Riesgos conocidos
  • Dominio web de confianza
  • Cambio de DNS o archivo de host
  • Certificado: Usar administración de contenido de terceros*
De 14.1 a 14.2 MP1:
Si
Symantec Endpoint Protection Manager
está inscrito en la consola en la nube, SEPM no muestra las siguientes restricciones del cliente:
  • Excepción de aplicación
  • Excepción de archivo
  • Excepciones de carpeta > Excepción de riesgo para la seguridad/Excepción SONAR
  • Excepción de dominio web de confianza
  • Excepción de certificado
Además, en los clientes de Windows controlados por excepciones basadas en la nube, estas excepciones no aparecen en la interfaz de usuario del cliente.
SEPM muestra las siguientes restricciones del cliente, independientemente de que esté inscrito o no. •
  • Excepción de cambio de archivo de host o DNS
  • Excepción de extensiones
  • Excepción de riesgos conocidos
Los usuarios del cliente no pueden agregar sus propias excepciones. (Disponible pronto)
Excepciones del cliente
(Cómo muestra el cliente estas excepciones)
  • Riesgos para la seguridad:
    • Riesgos conocidos
    • Archivo
    • Carpeta
    • Extensión
    • Dominio web
  • SONAR > Carpeta
  • Cambio de configuración del archivo de DNS > Aplicación
  • Aplicación
No hay excepciones basadas en el cliente para un cliente controlado en la nube.
Política de firewall
Actualmente la política de firewall no está disponible en los dispositivos Mac.
Política de firewall
SEP en las instalaciones
Symantec Endpoint Security
Habilitar esta política
Firewall (alternancia de activación/desactivación)
Reglas predeterminadas:
  • 13 reglas
  • Heredar reglas de firewall del grupo principal
  • Habilitar reglas
  • Subir o Bajar
Reglas predeterminadas:
  • 13 reglas
  • Heredar reglas de firewall del grupo principal (Rechazado). La nube usa la herencia implícita.
  • Casilla de selección Reglas habilitadas (alternancia activada/desactivada)
  • Cortar y Pegar (en lugar de Subir y Bajar)
  • Exportar políticas
Reglas personalizadas:
  • Asistente para agregar reglas
  • Agregar regla vacía
  • Eliminar regla
  • Agregar
  • Eliminar
Agregar regla en blanco (rechazada)
Reglas integradas:
Protocolos de tráfico permitidos
  • Habilitar Smart DHCP
  • Habilitar Smart DNS
  • Habilitar Smart WNS
  • Permitir el tráfico de token ring
Otro:
  • Habilitar la protección de NetBIOS
  • Habilitar búsqueda inversa de DNS
Protocolos de tráfico permitidos
: Ya no se admiten. Los administradores pueden obtener estos protocolos en la API de REST.
Admitidas:
  • Habilitar Smart DHCP
  • Habilitar Smart DNS
  • Habilitar Smart WNS
  • Permitir el tráfico de token ring
Configuración avanzada > Reglas integradas:
  • Habilitar la protección de NetBIOS
  • Habilitar búsqueda inversa de DNS
La regla de firewall
Bloquear detección de UPnP
está configurada para no registrar eventos para reducir al mínimo el número de eventos que el cliente envía a la nube.
Configuración de la protección:
  • Habilitar la detección de análisis de puertos
  • Habilitar la detección de negación de servicio
  • Habilitar reglas contra la falsificación de direcciones MAC
  • Bloquear automáticamente la dirección IP de un atacante
Opciones de modo de ocultación:
  • Habilitar exploración Web en modo de ocultación
  • Habilitar nueva secuencia TCP
  • Habilitar enmascaramiento de las huellas digitales del sistema operativo
Configuración avanzada > Configuración de la protección:
  • Habilitar la detección de análisis de puertos
  • Habilitar la detección de negación de servicio
  • Habilitar reglas contra la falsificación de direcciones MAC
  • Bloquear automáticamente la dirección IP de un atacante
    • Número de segundos durante los que se bloquea la dirección IP
Opciones de modo de ocultación:
  • Habilitar exploración Web en modo de ocultación
  • Habilitar nueva secuencia TCP
  • Habilitar enmascaramiento de las huellas digitales del sistema operativo
Integración con Windows:
  • Deshabilitar el Firewall de Windows
    • No hacer nada
    • Deshabilitar solo una vez
    • Deshabilitar siempre
    • Restaurar si se deshabilita
  • Mensaje de deshabilitación del Firewall de Windows (habilitar/deshabilitar)
  • Deshabilitar el Firewall de Windows
    • No hacer nada
    • Deshabilitar una vez
    • Deshabilitar siempre
    • Restaurar si se deshabilita
  • Habilitar el mensaje de deshabilitación del Firewall de Windows (activar/desactivar)
Configuración de la autenticación punto a punto:
  • Cantidad máxima de intentos de autenticación por sesión
  • Tiempo entre los intentos de autenticación (segundos)
  • Intervalo de tiempo después del cual se puede volver a autenticar el equipo remoto (segundos)
  • Duración del bloqueo del equipo remoto rechazado (segundos)
  • Intervalo de inactividad entre el equipo autenticado y el cliente después del cual finaliza la sesión (segundos)
Excluir hosts de la autenticación
Planificado para una versión de la función
Configuración de seguridad
Clientes
> ficha
Políticas
>
General
> ficha
Configuración de seguridad
  • Bloquear todo el tráfico hasta que el firewall se inicie y después de que se detenga
    • Permitir tráfico inicial de DHCP y NetBIOS
    • Habilitar comunicación segura entre el servidor de administración y los clientes mediante el uso de certificados digitales para autenticación
Configuración avanzada > Configuración de la seguridad
  • Bloquear todo el tráfico hasta que el firewall se inicie y después de que se detenga
    • Permitir tráfico inicial de DHCP y NetBIOS
    • Habilitar comunicaciones seguras (rechazada)
Configuración del usuario del control de clientes y Configuración del modo del servidor cliente-usuario (
Clientes
> ficha
Políticas
>
Configuración específica de la ubicación
>
Modo de servidor
)
  • Permitir a los usuarios realizar prueba de seguridad
  • Tiempo transcurrido antes de rehabilitar protección contra amenazas de red
  • Veces que los usuarios pueden deshabilitar protección contra amenazas de red
  • Permitir a los siguientes usuarios habilitar y deshabilitar el firewall
    • Solo administradores de Windows
    • Todos los usuarios
    • Cuando el firewall está deshabilitado:
      • Permitir todo el tráfico
      • Permitir el tráfico saliente solamente
  • Comando de menú Bloquear todo el tráfico
  • Configurar las opciones de configuración del tráfico IP no coincidentes
    • Permitir tráfico IP
    • Permitir solo el tráfico de aplicaciones
      • Preguntar a los usuarios antes de permitir el tráfico de aplicaciones
Disponible ahora:
  • Permitir a los usuarios realizar la prueba de seguridad (se ha movido a la configuración de la interacción del usuario)
  • Tiempo transcurrido antes de volver a habilitar la protección contra amenazas de red (rechazado)
  • Veces que los usuarios pueden deshabilitar la protección contra amenazas de red (rechazado)
  • Permitir a los siguientes usuarios habilitar y deshabilitar el firewall (se ha movido a la configuración de la interacción del usuario)
    • Solo administradores de Windows
    • Todos los usuarios
    • Cuando el firewall está deshabilitado:
      • Permitir todo el tráfico
      • Permitir el tráfico saliente solamente
Todavía no está disponible:
  • Comando de menú Bloquear todo el tráfico
  • Configurar las opciones de configuración del tráfico IP no coincidentes
    • Permitir tráfico IP
    • Permitir solo el tráfico de aplicaciones
      • Preguntar a los usuarios antes de permitir el tráfico de aplicaciones
Notificaciones y registro
Disponible pronto:
  • Configuración de notificaciones
  • Notificaciones de usuario final
  • Visor de registros y visor de paquetes
  • Grupos de hosts (políticas de firewall y Prevención de intrusiones)
  • Grupo de servicios de red
  • Grupos de adaptadores de red
  • Grupos de hosts (solo política de firewall) (Configuración > Grupos de hosts)
  • Grupos de servicios de red (disponible pronto)
  • Grupos de adaptadores de red (disponible pronto)
Política de redirección de tráfico de red
Política de redirección de tráfico de red (llamada Integraciones en la versión 14.3 MP1 y anteriores)
SEP en las instalaciones
Symantec Endpoint Security
Redirección de tráfico de red (a partir de la versión 14.3 RU1), llamada Redirección de tráfico (WTR) de Web Security Services (WSS) en versiones anteriores
Conexión segura
Servicio de proxy local (parte de WTR a partir de la versión 14.2)
Disponible pronto
Instalar los certificados raíz de Symantec Web Security Service en los clientes para facilitar la protección del tráfico cifrado
Disponible pronto
Política de prevención de intrusiones
Se puede habilitar o deshabilitar el IPS en los dispositivos Mac.
Política de prevención de intrusiones
SEP en las instalaciones
Symantec Endpoint Security
Compatibilidad con dispositivos Windows y Mac
Se puede configurar para dispositivos Windows
Se puede habilitar o deshabilitar para los dispositivos Mac y configurar algunas opciones.
  • Habilitar la prevención de intrusiones de red
    • Habilitar hosts excluidos
  • Habilitar prevención contra intrusiones de navegador para Windows
    • Registrar detecciones, pero no bloquearlas
    • Modo registrar solamente
Ajuste del rendimiento del servidor (a partir de la versión 14.2 RU1)
  • Subconjunto de firmas para servidores
  • Análisis fuera de banda
  • Firmas de auditoría: Agregar > Registrar, Habilitar, Deshabilitar
    Solo admite dispositivos Windows.
    Se pueden configurar una o más excepciones de firma antes de seleccionar
    Enviar
    .
  • Excepciones de la acción de la firma: Agregar > Registrar, Habilitar, Deshabilitar
    Admite dispositivos Windows y Mac.
    Se pueden configurar una o más excepciones de firma antes de seleccionar
    Enviar
    .
  • Configuración avanzada
    • Prevención de intrusiones: Activado o Desactivado
    • Protección del navegador: Habilitar, Deshabilitar, Registrar
      (Nuevo nombre para la Prevención contra intrusiones de navegador)
      La Protección del navegador no está disponible para Mac.
    • Ajuste del rendimiento del servidor: Incluye el análisis fuera de banda y el subconjunto de firmas para los servidores.
    • Los hosts excluidos se han movido a la política de lista de aceptación.
Excepciones:
  • Mostrar categoría
    • Todo
    • Protección del navegador (335 firmas)
      Nota:
      Las excepciones personalizadas no se admiten para las firmas de Protección del navegador.
    • Firmas de Prevención de intrusiones
  • Mostrar gravedad (Todos, Alto, Medio, Bajo)
  • Se administra en la política en Excepciones de acción de firma.
  • También se pueden agregar exclusiones a través de
    Alertas y eventos
    >
    Tipo de evento
    :
    IPS
    . Cuando se ven los detalles del evento, se pueden agregar exclusiones y editar la política.
Mostrar u ocultar notificaciones del usuario
Se pueden habilitar o deshabilitar las notificaciones para los dispositivos Windows y Mac. Las notificaciones solo se envían para las firmas habilitadas.
Mostrar opciones avanzadas
permite personalizar el mensaje de notificación para dispositivos Windows.
Firmas IPS personalizadas
Disponible pronto
Descarga de las firmas de IPS más recientes: La política de contenidos de LiveUpdate
No existe ninguna política de contenidos de LiveUpdate en
Endpoint Security
. LiveUpdate descarga las firmas de IPS de forma automática mediante la política del sistema. No se puede configurar el cliente para que no obtenga firmas.
El paquete cliente incluye IPS
La configuración avanzada en
Configuración > Paquete de instalación
incluye una opción que se selecciona de forma predeterminada,
Instalación optimizada para el servidor
, que no incluye IPS. Sin embargo, los sistemas operativos de escritorio omiten esta configuración e IPS está instalado siempre. No se puede deshabilitar IPS en el cliente.
Interacción del usuario en el cliente
La configuración de la Prevención de intrusiones y la Mitigación de puntos vulnerables de memoria se encuentra en Configuración de la interfaz de usuario del cliente. Estos controles se encuentran en
Symantec Endpoint Protection Manager
en
Clientes >
Nombre de grupo
> Políticas > Configuración y políticas específicas de la ubicación > Configuración específica de la ubicación
.
  • Mostrar notificaciones de prevención de intrusiones y mitigación de puntos vulnerables en la memoria
    • Usar sonido al notificar a los usuarios
    • Texto adicional para notificaciones
Las notificaciones se habilitan de forma predeterminada para los dispositivos Windows y Mac en la política de Prevención de intrusiones. Se pueden habilitar o deshabilitar las notificaciones, que solo se envían para las firmas habilitadas.
Para dispositivos Windows, se puede personalizar el mensaje de notificación en
Mostrar opciones avanzadas
.
Sonido: Rechazado
Política de integridad del host
No disponible en dispositivos Windows o Mac.
Política de integridad del host
SEP en las instalaciones
Symantec Endpoint Security
¿Cuándo se debe comprobar la integridad del host en el cliente?
  • Comprobar siempre la integridad del host
  • Comprobar la integridad del host solo cuando está conectado al servidor de administración
  • No comprobar nunca la integridad del host
Requisitos de integridad del host
  • Requisito de antivirus
  • Requisito de antispyware
  • Requisito de firewall
  • Requisito de parche
  • Requisito de Service Pack
  • Requisito personalizado
Disponible pronto
Configuración avanzada
Opciones de comprobación de la integridad del host
  • Comprobar la integridad del host cada: minutos/horas/días
  • Conservar resultados de la comprobación durante: minutos/horas/días
  • Continuar con la comprobación de requisitos después de un error
Opciones de cuadro de diálogo de reparación
  • Permitir al usuario cancelar la reparación durante:
    - Tiempo mínimo y máximo: De 2 minutos a 4 semanas
  • Número de veces que el usuario puede cancelar la reparación
Notificaciones
  • Mostrar un registro detallado de la integridad del host
  • Mostrar un mensaje de notificación cuando se produzca un error en la comprobación de la integridad del host
  • Mostrar un mensaje de notificación cuando se apruebe una comprobación de integridad del host después de haber presentado un error
Disponible pronto
Política de configuración de LiveUpdate (política del sistema)
En
Endpoint Security
, la política del sistema reemplaza la política de configuración de LiveUpdate.
Política de configuración de LiveUpdate
SEP en las instalaciones
Symantec Endpoint Security
Usar el servidor de administración predeterminado
Rechazado, ya no es necesario
Usar un servidor de LiveUpdate (interno o externo)
  • Usar el servidor predeterminado de Symantec LiveUpdate
  • Usar el servidor de Symantec LiveUpdate para obtener contenido previo al lanzamiento (servidor del usuario pionero)
  • Usar un servidor interno especificado de LiveUpdate
  • Usar el servidor interno predeterminado de LiveUpdate
  • Use el servidor de Symantec LiveUpdate para obtener contenido previo al lanzamiento
  • Usar un servidor interno especificado de LiveUpdate
Modo de servidor FTP (activo o pasivo)
Rechazado, ya no es necesario
Usar un proveedor de actualizaciones de grupo
  • Varios proveedores de actualizaciones de grupo
  • Proveedores de actualizaciones de grupo explícitos
  • Proveedores de actualizaciones de grupo únicos
- Tiempo máximo durante el que el cliente trata de descargar actualizaciones de un proveedor de actualizaciones de grupo antes de probar con el servidor de administración predeterminado
Configuración del proveedor de actualizaciones de grupo
  • Puerto predeterminado
  • Tamaño máximo de caché de disco permitido para descargar actualizaciones
  • Eliminar actualizaciones de contenido, si no se utilizan
  • Número máximo de descargas simultáneas a los clientes
  • Ancho de banda máximo permitido para descargas del proveedor de actualizaciones de grupo desde el servidor de administración
  • Ancho de banda máximo permitido para descargas de cliente del proveedor de actualizaciones de grupo
Disponible pronto: El proveedor de actualizaciones de grupo funcionará de manera diferente
Habilitar administración de contenido de terceros
Usar administración de contenido de terceros
Servidor proxy HTTP/HTTPS
  • No deseo usar un servidor proxy para HTTP/HTTPS
  • Deseo usar mi configuracion proxy para opciones de Internet de Windows
  • Deseo personalizar la configuración de HTTP o HTTPS
  • Proxy de host
  • Puerto HTTP/HTTPS
  • Se requiere autenticación.
  • Nombre de usuario/contraseña
  • Autenticación de NT LAN Manager
Servidor proxy FTP
  • No deseo usar un servidor proxy para FTP
  • Utilizar el servidor proxy especificado por el navegador cliente (predeterminado)
  • Deseo personalizar la configuración de FTP
  • Dirección del servidor
  • Puerto
Servidor proxy HTTP/HTTPS
  • No deseo usar un servidor proxy para HTTP/HTTPS
  • Usar mi configuración proxy para opciones de Internet de Windows
  • Utilizar una personalización de mi configuración de HTTP o HTTPS
  • Puerto HTTP/HTTPS/proxy del host
  • Seleccione Se requiere autenticación.
  • Autenticación básica (nombre de usuario/contraseña)
  • Autenticación de NT LAN Manager (rechazado)
Servidor proxy FTP
  • No deseo usar un servidor proxy para FTP
  • Utilizar el servidor proxy especificado por el navegador cliente (predeterminado)
  • Utilizar configuración de FTP personalizada
  • Dirección del servidor
  • Puerto
Configuración del proxy de LiveUpdate para la comunicación entre el cliente y el servidor de administración
Página
Clientes
> ficha
Políticas
>
Comunicaciones externas
Rechazado. Esta funcionalidad no es necesaria para la nube. Sin embargo, para la comunicación entre el cliente y la nube o para la inscripción en la nube, esta funcionalidad se combina con las opciones de configuración del proxy en la nueva política del sistema. La política del sistema abarca la comunicación entre el cliente y la nube.
Ejecutar Intelligent Updater para actualizar el contenido
  • Definiciones de virus y spyware
  • SONAR
  • Definiciones de IPS
No es necesario en este momento.
Programación de LiveUpdate
  • Habilitar programación de LiveUpdate
  • Frecuencia
  • Intentarlo de reintento
  • Descarga aleatoria
  • Retrasar LiveUpdate programado hasta que el equipo esté inactivo
  • Opciones para omitir LiveUpdate
    • LiveUpdate solo se ejecuta si las definiciones de virus y spyware son anteriores a x
    • LiveUpdate solo se ejecuta si el cliente se ha desconectado de SEPM durante más de x
  • Habilitar programación de LiveUpdate
  • Frecuencia
  • Intentarlo de reintento
  • Descarga aleatoria
  • Detección de inactividad
  • Opciones para omitir LiveUpdate (rechazado)
Configuración avanzada
  • Permitir al usuario iniciar LiveUpdate manualmente (sin planes actuales)
    • Permitir al usuario modificar la programación de LiveUpdate
    • Permitir al usuario modificar la configuración del proxy HTTP, HTTPS y FTP de LiveUpdate
  • Descargar los parches de seguridad para reparar las vulnerabilidades en la versión más reciente del agente
  • Descargue paquetes de instalación de clientes más pequeños de un servidor de LiveUpdate
Planificado para una futura versión:
  • Permitir al usuario iniciar LiveUpdate manualmente
No hay planes futuros:
  • Permitir al usuario modificar la programación de LiveUpdate
  • Permitir al usuario modificar la configuración del proxy HTTP, HTTPS y FTP de LiveUpdate
Rechazado:
  • Descargar los parches de seguridad para reparar las vulnerabilidades en la versión más reciente del agente
    - De forma predeterminada, esto ocurre cuando el cliente se actualiza automáticamente. No es necesario que el administrador controle esto.
  • Descargar paquetes de instalación del agente más pequeños de un servidor de LiveUpdate
    De forma predeterminada, esto ocurre cuando el agente se actualiza automáticamente. No es necesario que el administrador controle esto.
Usar encabezados HTTP estándar
Rechazado
Política de contenidos de LiveUpdate (política del sistema)
En
Symantec Endpoint Security
, el contenido se descarga automáticamente y el usuario no tiene la capacidad de configurar qué contenido desea descargar a los clientes.
Política de contenidos LiveUpdate
SEP en las instalaciones
Symantec Endpoint Security
Definiciones de seguridad
  • Definiciones de virus y spyware
  • Firmas heurísticas de SONAR
  • Firmas de Prevención de intrusiones
  • Firmas de control de envíos
  • Configuración de la reputación
  • Detección y respuesta del endpoint
  • Biblioteca y configuración de transporte de red común
  • Aprendizaje automático avanzado
  • Redirección de tráfico de WSS
Requisitos de integridad del host
  • Requisito de antivirus
  • Requisito de antispyware
  • Requisito de firewall
  • Requisito de parche
  • Requisito de Service Pack
  • Requisito personalizado
Disponible ahora:
  • Estas mismas definiciones se descargan al cliente de forma predeterminada, a excepción de:
    • Redirección de tráfico de WSS
    • Detección y respuesta del endpoint
  • El contenido no es una coincidencia perfecta en la nube.
Disponible pronto:
  • Tiene la capacidad de controlar qué definiciones se descargan:
    Redirección de tráfico de WSS
Bloqueo en un conjunto específico de definiciones
  • Usar la versión más reciente
  • Seleccionar una revisión
  • Seleccionar una versión de motor
Se ha movido a la política del sistema con los cambios siguientes:
  • Versión anterior
    : Nuevo. Se trata de la versión anterior a la versión actual o más reciente y es la más estable.
  • Versión más reciente
    : La misma versión que la de
    Symantec Endpoint Protection Manager
    , pero no tan estable como la versión anterior.
  • Seleccionar una revisión
    : Rechazado
  • Versión previa al lanzamiento
    : Modificado (versión del motor). Esta es la versión beta de la versión y es la menos estable.
Descarga del contenido del administrador de LiveUpdate a
Symantec Endpoint Protection Manager
  • Actualizaciones de productos para clientes
  • Parches de seguridad para clientes
  • Definiciones de virus y spyware
  • Firmas heurísticas de SONAR
  • Firmas de Prevención de intrusiones
  • Contenido de integridad del host
  • Firmas de control de envíos
  • Configuración de reputación
  • Firmas y atributos de archivo extendido
  • Biblioteca y configuración de transporte de red común
  • Detección y respuesta del endpoint
  • Aprendizaje automático avanzado
  • Redirección de tráfico de WSS
  • Contenido de control de aplicaciones
Rechazado. El administrador de LiveUpdate descarga el contenido directamente en la consola en la nube.
Administración del espacio libre en disco: Número de revisiones de contenido que se conservarán
Usa la configuración predeterminada.
Disponible pronto: La capacidad para controlar esta configuración
Programación de descarga
Rechazado, ya no es necesario.
Plataformas para descargar (Mac, Windows de 32 bits y de 64 bits)
Usa la configuración predeterminada.
Disponible pronto: La capacidad para controlar esta configuración
Idiomas para descargar
Usa la configuración predeterminada.
Disponible pronto: La capacidad para controlar esta configuración
Política de protección de puntos vulnerables de memoria (MEM)
Actualmente no se admiten los dispositivos Mac.
La Mitigación de puntos vulnerables de memoria se incluyó en la versión 14 MP1 como Mitigación de puntos vulnerables genéricos. Si se ejecutan los clientes de la versión 14.1 a la versión 14.2 MP1, se podrá usar una política de MEM desde
Symantec Endpoint Protection Manager
o desde la nube.
Endpoint Security
llama al tipo de política
Protección de puntos vulnerables
.
Política de protección de puntos vulnerables de memoria
SEP en las instalaciones
Symantec Endpoint Security
Habilitar la mitigación de puntos vulnerables en la memoria
No se puede modificar una política de MEM en SEPM mientras una política basada en la nube está en uso.
Alternancia de la protección de mitigación de puntos vulnerables de memoria (Activado/Desactivado)
Configuración general:
  • Configurar la acción de protección para todas las aplicaciones como Solo registrar
  • Eligir una acción de protección para todas las aplicaciones de la lista (Predeterminado/Sí/No/Solo registrar)
Configuración general:
  • Ejecutar en modo de supervisión
  • Habilitar Java Protection (Desactivado/Activado/Registrar)
Aplicaciones personalizadas (No)
Aplicaciones personalizadas:
Protección para la aplicación seleccionada para el administrador
. Se pueden agregar directamente en
Endpoint Security
o desde el Aislamiento de aplicaciones.
Elegir técnica de mitigación
Técnicas de mitigación:
  • DllLoad
  • EnhASLR
  • ForceASLR
  • ForceDEP
  • HeapSpray
  • NullProt
  • RopCall
  • RopHeap
  • SEHOP
  • StackNX
  • StackPvt
Anulación global para la protección de técnicas de mitigación (Desactivado/Activado/Registrar/Predeterminado (Activado))
Técnicas de mitigación
: Igual que la versión 14.x
Reglas de la aplicación (casilla de selección Protegido)
Protección para la cobertura de aplicaciones recomendada por Symantec (Habilitada/Deshabilitada)
Política de protección antivirus y antispyware (Protección contra software malicioso)
La consola en la nube tiene una única política predeterminada de protección contra software malicioso, que se alinea más estrechamente con la política predeterminada de protección antivirus y antispyware. Equilibrada en
Symantec Endpoint Protection Manager
. No hay ningún plan para agregar una política predeterminada de alto rendimiento o de seguridad alta.
La consola en la nube de las versiones 14.1 y 14.2 solo admite Auto-Protect.
*Admitido en dispositivos Mac.
Políticas: Protección antivirus y antispyware y Protección contra software malicioso
SEP en las instalaciones (virus y spyware)
Symantec Endpoint Security
(Protección contra software malicioso)
Análisis:
  • Análisis definidos por el administrador
  • Análisis programados (activos, completos, personalizados)
  • Análisis a petición
  • Análisis al iniciar
Análisis:
  • Análisis definidos por el administrador
  • Análisis programados (activos, completos, personalizados)
  • Análisis a petición
  • Análisis al iniciar
Detalles del análisis:
  • Analizar todos los tipos
  • Analizar solo las extensiones seleccionadas
  • Comprobar lo siguiente para mejorar el análisis [Memoria (personalizada), Ubicaciones comunes de infecciones (Personalizada), Ubicaciones conocidas de virus y riesgos para la seguridad]
Opciones de análisis avanzadas
  • Archivos comprimidos
  • Opciones de migración de almacenamiento
  • Opciones de ajuste
Habilitar Búsquedas de Insight
Detalles del análisis:
  • Analizar todos los tipos
  • Analizar solo las extensiones seleccionadas
Opciones de compresión
Opciones de ajuste
La Búsqueda de Insight forma parte de la configuración del nivel de intensidad
Análisis programados (Programación)
:
  • Diario, Semanal, Mensual
  • Duración del análisis (hasta finalizar, hasta x horas, aleatoriamente )
  • Análisis programados no realizados
Análisis programados (Programación):
  • Diario, Semanal, Mensual
  • Duración del análisis (incluido el orden aleatorio)
  • Análisis programados no realizados
Acciones:
  • Detecciones
    (Tipos de riesgo en los que las detecciones toman medidas):
    • Software malicioso (virus)
    • Riesgos para la seguridad:
      • Publicidad no deseada
      • Cookie
      • Marcador
      • Herramienta de piratería
      • Programa de broma
      • Aplicación engañosa
      • Control para padres
      • Acceso remoto
      • Herramienta de evaluación de seguridad
      • Riesgo para la seguridad
      • Spyware
      • Software de seguimiento
  • Reparación (primera y segunda acción para las detecciones)
    • Limpiar riesgo (solo se aplica al software malicioso)
    • Poner riesgo en cuarentena
    • Suprimir riesgo
    • No hacer nada (registrar)
    Las acciones se aplican a las categorías de software malicioso y de riesgos para la seguridad que Symantec actualiza periódicamente.
  • Reparación (otra):
    • Hacer copia de seguridad de los archivos antes de intentar repararlos
    • Terminar procesos automáticamente
    • Detener servicios automáticamente
Acciones de reparación: Rechazado. La nube determina el mejor método de acción.
Reparación (otra):
  • Hacer copia de seguridad de los archivos antes de intentar repararlos: Activado de forma predeterminada, no se puede deshabilitar.
  • Terminar procesos automáticamente: Rechazado
  • Detener servicios automáticamente: Activado de forma predeterminada, no se puede deshabilitar.
Acciones que se deben tomar mientras un análisis se está ejecutando:
  • Detener el análisis
  • Pausar un análisis
  • Posponer un análisis
  • Analizar solamente cuando el equipo está inactivo
Planificado para una futura versión
Auto-Protect:
  • Activar Auto-Protect
  • Analizar todos los archivos
  • Analizar solo las extensiones seleccionadas
  • Determinar tipos de archivos según su contenido
  • Analizar en busca de riesgos para la seguridad
  • Analizar archivos de equipos remotos
  • Analizar cuando se accede a los archivos, cuando se modifican los archivos o cuando se hacen copias de seguridad de los archivos
  • Analizar los disquetes en busca de virus de arranque, con la opción de eliminar el virus de arranque o de registrarlo solamente
  • Siempre eliminar riesgos para la seguridad o archivos infectados recién creados
  • Conservar horas de archivos
  • Ajustar el rendimiento del análisis para la velocidad del análisis o la velocidad de la aplicación
  • Emulador de software malicioso en paquete
*Auto-Protect:
  • Activar Auto-Protect
  • Cargar Auto-Protect cuando se inicia el equipo (nuevo en
    Endpoint Security
    )
  • Habilitar caché de archivos
    • Tamaño de la memoria caché de archivos: 30000 archivos
  • Habilitar Buscador de riesgos
    • Resolver la dirección IP del equipo de origen
    • Sondear sesiones de red cada 1000 milisegundos
  • Analizar cuando se accede a los archivos, cuando se modifican los archivos o cuando se hacen copias de seguridad de los archivos
  • No analizar archivos cuando los procesos de confianza acceden al archivo
  • Siempre eliminar archivos infectados recién creados
  • Especifique las opciones de red para analizar archivos en equipos remotos
    • Analizar archivos de equipos remotos (desde las opciones de Análisis global)
      • Solo cuando se ejecutan los archivos
    • Memoria caché de red
      • Mantener 30 entradas
      • Eliminar entradas después de 600 segundos
No disponible:
  • Analizar los disquetes en busca de virus de arranque, con la opción de eliminar el virus de arranque o de registrarlo solamente: Rechazado
  • Siempre eliminar riesgos para la seguridad o archivos infectados recién creados: A determinar
  • Conservar horas de archivo: Activado de forma predeterminada, pero no se puede deshabilitar.
  • Ajustar el rendimiento del análisis para la velocidad del análisis o la velocidad de la aplicación: Planificado para una versión futura
  • Emulador de software malicioso empaquetado: Activado de forma predeterminada, pero no se puede deshabilitar
Análisis del correo electrónico:
  • Auto-Protect para Microsoft Outlook
    • Habilitar Auto-Protect para Microsoft Outlook, Analizar todos los archivos, Analizar solamente las extensiones seleccionadas, Analizar archivos dentro de archivos comprimidos
  • Auto-Protect para correo electrónico de Internet (rechazado a partir de la versión 14.2 RU1, todavía está disponible para los paquetes de instalación heredados)
  • Auto-Protect para Lotus Notes (rechazado a partir de la versión 14.2 RU1, todavía está disponible para los paquetes de instalación heredados)
  • *Auto-Protect para Microsoft Outlook (solamente Activado y desactivado)
  • Auto-Protect para correo electrónico de Internet: Rechazado
  • Auto-Protect para Lotus Notes: Rechazado
  • Diagnóstico Insight de descargas
  • Bloodhound
  • Búsquedas Insight
  • SONAR
La configuración del nivel de intensidad incluye lo siguiente:
  • Acciones de detección de la Política de protección antivirus y antispyware
  • Opciones de configuración de Bloodhound
  • Control deslizante de sensibilidad de Diagnóstico Insight de descargas
  • Prevalencia, Se vio primero como y opciones de Intranet de Diagnóstico Insight de descargas
  • Detección heurística de SONAR, modo intenso de SONAR y opciones de detección de comportamiento sospechoso de SONAR
El nivel de bloqueo predeterminado Protección intensiva es menos intenso que la opción de configuración más intensa de Bloodhound en una política de protección antivirus y antispyware. Si las políticas actuales indician que Bloodhound está configurado en su nivel más alto, es posible que sea necesario aumentar el nivel de Protección intensiva.
SONAR:
Detalles del análisis:
  • Detección de alto riesgo o de bajo riesgo (Registrar, Eliminar, Cuarentena, Deshabilitado)
  • Habilitar modo intenso
  • Cuando la detección encontró:
    • Mostrar alerta después de la detección
    • Avisar antes de terminar un proceso
    • Avisar antes de detener un servicio
Eventos de cambio del sistema:
  • Cambio de DNS detectado (Omitir solicitud, Bloquear, Registrar)
  • Cambio de archivo de host detectado (Omitir, Preguntar, Bloquear, Registrar)
Detección de comportamiento sospechoso
  • Habilitar la detección de comportamiento sospechoso
  • Detección de alto riesgo o bajo riesgo (Omitir, Preguntar, Bloquear registro)
Configuración de red:
  • Analizar archivos de equipos remotos
Se ha renombrado a
Análisis de comportamiento
*
  • Habilitar análisis de comportamiento
  • Cambio de DNS detectado (Omitir, Bloquear, Solo registrar)
  • Cambio de archivo de host detectado (Omitir, Bloquear, Solo registrar)
  • Analizar archivos de equipos remotos
Otro
  • Mostrar alerta después de la detección (en la configuración de notificaciones de usuario)
  • Avisar antes de terminar un proceso: Rechazado, deshabilitado de forma predeterminada
  • Avisar antes de detener un servicio: Rechazado, deshabilitado de forma predeterminada
  • Detección de comportamiento sospechoso (incluida en la configuración del nivel de intensidad)
Inicio prematuro del controlador contra software malicioso
  • Al detectar un controlador potencialmente malicioso
*Habilitar la protección contra software malicioso de inicio prematuro de Symantec
  • Al detectar un controlador potencialmente malicioso: Rechazado
Notificaciones
Análisis definido por el administrador:
  • Mostrar un mensaje de notificación en el equipo infectado
Auto-Protect:
  • Mostrar un mensaje de notificación en el equipo infectado
  • Mostrar el cuadro de diálogo de resultados de Auto-Protect en el equipo infectado
Auto-Protect para Microsoft Outlook:
  • Mostrar un mensaje de notificación en el equipo infectado
Protección de descargas:
  • Mostrar un mensaje de notificación en el equipo infectado
Otros:
  • Cuando las definiciones estén desactualizadas
  • Cuando el agente se ejecuta sin definiciones de virus
  • Mostrar mensajes de error con la URL de una solución
Las notificaciones de las diversas funciones de virus y spyware se consolidan en un único lugar de la política de Protección contra software malicioso, en la Configuración de notificaciones del usuario:
  • Mostrar resultados del análisis contra software malicioso en el dispositivo infectado
    • Configurar resultados de análisis programados y manuales para mostrar (Todas las detecciones, Solo medio y alto, Siempre (progreso del análisis))
    • Mostrar un mensaje de notificación al usuario en el equipo infectado
    • Mostrar notificaciones sobre detecciones cuando el usuario inicia sesión
  • Cuando las definiciones estén desactualizadas (parte de Diagnóstico Insight de descargas)
  • Cuando el agente se está ejecutando sin definiciones de virus: Se ha movido a la página Dispositivos, muestra el dispositivo con el estado En riesgo.
  • Mensajes personalizados: Rechazado
  • Mostrar mensajes de error con la URL de una solución: Rechazado
Cuarentena
Ficha General:
  • Acciones para cuando lleguen nuevas definiciones de virus
  • Opciones locales de cuarentena (carpeta predeterminada o personalizada)/Permitir que los equipos cliente envíen automáticamente elementos en cuarentena a un servidor de cuarentena
Ficha Limpieza:
  • Habilitar la eliminación automática de archivos reparados
  • Habilitar la eliminación automática de archivos de copia de seguridad
  • Habilitar la eliminación automática de archivos en cuarentena que no se pudieron reparar
  • Acciones para cuando lleguen las nuevas definiciones: Utiliza la configuración predeterminada y forma parte de la configuración del nivel de intensidad
  • Compatibilidad con el servidor de cuarentena: Rechazado
  • Opciones de limpieza: Activado de forma predeterminada, pero no se puede deshabilitar.
Poner en cuarentena un comando del dispositivo (
Dispositivos
> ficha
Dispositivos administrados
> menú Acciones >
Comando Cuarentena
).
Opciones de análisis global
  • Habilitar Insight para (Archivo de confianza para la comunidad y Symantec, Archivo de confianza para Symantec)
  • Habilitar la detección Bloodhound para analizar archivos en busca de comportamiento sospechoso (Automático, Agresivo)
  • Solicitar una contraseña antes de analizar una unidad de red asignada
  • Mostrar notificaciones sobre detecciones y reparaciones cuando el usuario inicia sesión
  • Insight: Forma parte de la configuración avanzada de la intensidad. No se puede deshabilitar la configuración.
  • Bloodhound: Forma parte de la configuración del nivel de intensidad. No se puede deshabilitar la configuración.
  • Solicitar una contraseña antes de analizar una unidad de red asignada: Rechazado
  • Mostrar notificaciones sobre detecciones: Forma parte de la configuración de notificaciones del usuario.
Otros
  • Deshabilitar Centro de seguridad de Windows
  • Protección del navegador de Internet
  • Opciones de manejo de registros
  • Excepción de imágenes virtuales
  • Memoria caché de conocimientos compartida
  • Deshabilitar Centro de seguridad de Windows: A determinar
  • Protección del navegador de Internet: En la política de IPS (Habilitar o Deshabilitar, Registrar)
  • Opciones de manejo de registros: Habilitadas de forma predeterminada. No se pueden deshabilitar.
Planificado para una futura versión:
  • Excepción de imágenes virtuales
  • Memoria caché de conocimientos compartida
Componentes de políticas
En la consola en la nube, se encuentran estos componentes en
Políticas
>
Componentes de políticas
.
SEP en las instalaciones
Symantec Endpoint Security
Plantillas de análisis programado
No hay ningún plan para las plantillas. Solo se puede usar el análisis programado.
Listas de servidores de administración
Rechazado: No hay ninguna instancia de
Symantec Endpoint Protection Manager
.
Grupos de hosts
Sí:
Políticas > Componentes de políticas > Grupos de hosts
Servicios de red
Disponible pronto
Adaptadores de red
Disponible pronto
Dispositivos de hardware
Sí:
Políticas > Componentes de políticas
>
Dispositivos externos
Funciones del cliente
  • El cliente de Symantec Endpoint Protection en SEP se llama Agente de Symantec en SES. Son el mismo cliente.
  • Los equipos cliente en SEP se llaman dispositivos en SES.
Instalación de clientes/Detección de dispositivos
Se accede a la mayoría de las funciones de instalación del cliente seleccionando:
  • Symantec Endpoint Protection Manager
    :
    Administrador
    >
    Paquetes de instalación
    >
    Valores de configuración de instalación de clientes
    .
  • Symantec Endpoint Security
    :
    Configuración
    >
    Paquete de instalación
El software de endpoint se llama el cliente de
Symantec Endpoint Protection
en
Symantec Endpoint Protection
y el Agente de Symantec en
Symantec Endpoint Security
.
Paquetes de instalación de clientes
SEP en las instalaciones
Symantec Endpoint Security
Implementar el paquete de instalación del cliente desde
Symantec Endpoint Protection Manager
:
  • Guardar paquete
  • Transferencia remota
  • Correo electrónico y vínculos web
El Agente de Symantec reemplaza al cliente de
Symantec Endpoint Protection
.
Implementar el Agente de Symantec desde
Symantec Endpoint Security
:
  • Creador del paquete de instalación (crea un paquete que se instala directamente o que se puede implementar para la instalación, similar a Guardar paquete).
    El creador del paquete de instalación no está disponible para Linux.
  • Paquete de instalación directa: Descarga los componentes del paquete que se instalan directamente en el dispositivo (novedad en
    Endpoint Security
    )
  • Invitar usuarios (correo electrónico y vínculo web)
  • Inscripción push (instalación remota)
    La inscripción push no está disponible para Mac y Linux.
El
Tipo de instalación
incluye: Interactiva, Silenciosa y Mostrar únicamente la barra de progreso
El
Tipo de instalación
incluye: Interactiva, Silenciosa y Mostrar únicamente la barra de progreso
No está disponible para Mac y Linux. De forma predeterminada, la instalación es Silenciosa.
Carpeta de instalación personalizable (Valores de configuración de instalación de clientes)
Especificación de la carpeta de instalación:
(Mostrar más > Opciones avanzadas)
  • Instalar en la carpeta de instalación predeterminada
  • Instalar en una carpeta de instalación personalizada
No está disponible para Mac y Linux.
Conjuntos personalizados de funciones
(Conjunto de funciones de instalación de clientes):
  • Protección completa para clientes
  • Protección completa para servidores
  • Protección básica para servidores
Las funciones de protección del Agente de Symantec que están disponibles para las estaciones de trabajo de Windows dependen de los productos activados:
  • Protección contra software malicioso
  • Análisis de comportamiento
  • Control de dispositivos
  • Prevención de intrusiones
  • Protección de puntos vulnerables
  • Firewall
  • Auto-Protect para Microsoft Outlook
  • Control de aplicaciones y Aislamiento de aplicaciones
  • Active Directory Defense
  • Detección y respuesta del endpoint
  • Conexión segura
La opción
Configuración de protección para servidores Windows
está limitada intencionalmente para los servidores solamente. Las estaciones de trabajo omiten esta configuración. No hay ningún plan para la configuración granular que tiene
Symantec Endpoint Protection Manager
.
La instalación completa (igual que la Protección completa para servidores) incluye lo siguiente:
  • Protección contra software malicioso
  • Análisis de comportamiento
  • Control de dispositivos
  • Prevención de intrusiones
  • Protección de puntos vulnerables
  • Firewall
La instalación optimizada para el servidor (igual que la Protección básica para servidores) incluye lo siguiente:
  • Protección contra software malicioso
Funciones de protección disponibles para Mac:
  • Protección contra software malicioso
  • Control de dispositivos
  • Prevención de intrusiones
  • Firewall
Funciones de protección disponibles para Linux:
  • Protección contra software malicioso
Opción para incluir las definiciones de virus en el paquete de instalación:
Asistente de implementación del cliente
>
Nuevo paquete
>
Opciones de contenido
Se implementan las definiciones de virus en el paquete de implementación, pero no se admiten.
No está disponible para Mac y Linux.
Configurar el tipo de reinicio para los clientes:
  • Forced (Forzado)
  • Retrasado
  • Sin reinicio
  • Reinicio personalizado
En función de la selección, esto puede ocurrir:
  • Inmediatamente
  • En este momento (o hasta este momento), en la siguiente incidencia de este día, con el orden aleatorio de la hora
Tipo de reinicio:
(Mostrar más > Opciones avanzadas)
  • Sin reinicio
  • Reinicio inmediato (forzado)
  • Retrasado (programado, hasta este momento, en la siguiente incidencia de este día, con el orden aleatorio de la hora)
No está disponible para Mac y Linux.
Configuración de reinicio para los tipos forzado, retrasado y personalizado:
  • Sin mensaje
  • Mensaje con una cuenta regresiva de X minutos
  • Enviar mensaje y permitir posponer hasta X (no siempre está disponible)
Otras opciones, dependiendo del tipo de reinicio:
  • Reinicio completo
  • Reiniciar inmediatamente si el usuario no ha iniciado sesión
Configuración del reinicio:
(Mostrar más > Opciones avanzadas)
  • Sin mensaje
  • Mensaje con una cuenta regresiva de X minutos
  • Notificar y permitir al usuario que posponga el reinicio hasta X
    - Mensaje de reinicio
Otro:
  • Reinicio completo
  • Reiniciar inmediatamente si el usuario no ha iniciado sesión
No está disponible para Mac y Linux.
Opciones de eliminación del software de cliente
  • No desinstalar el software de seguridad existente
  • Desinstalar automáticamente software de seguridad existente de otro fabricante
  • Eliminar el software existente del cliente de
    Symantec Endpoint Protection
    que no se puede desinstalar (Cleanwipe) (14)
Configuración de la eliminación de software
(Mostrar más):
  • No desinstalar el software de seguridad existente
  • Desinstalar automáticamente software de seguridad existente de otro fabricante
  • Eliminar el software existente del Agente de Symantec que no se puede desinstalar (Cleanwipe) (14)
No está disponible para Mac y Linux.
Definiciones de tamaño reducido
Rechazado
Actualizar el software de cliente (actualización automática)
La actualización automática no está disponible en dispositivos Mac y Linux. Para actualizar el software de cliente en un dispositivo Mac o Linux, se debe reinstalar un nuevo paquete de instalación del cliente.
Política del sistema (opciones de la actualización automática)
SEP en las instalaciones
Symantec Endpoint Security
Actualizar de forma automática el cliente
(asistente para Actualizar clientes con paquetes)
  • Conservar funciones existentes del cliente al actualizar
  • Seleccionar funciones (Protección completa para clientes, Protección completa para servidores, Protección básica para servidores)
  • Configuración de la instalación (configuración de instalación de tamaño estándar predeterminada para el cliente, integrada o VDI, red oscura)
  • Incluir tipos de contenido nuevo en el paquete de instalación del cliente
  • Programación de las actualizaciones (De - A, Distribuir actualizaciones durante x días)
  • Notificaciones
    • Notificar a los usuarios antes de ejecutar una actualización
    • Mensaje de notificación (utilizar predeterminado)
  • Permitir a los usuarios posponer el proceso de actualización (tiempo máximo y mínimo)
No hay ningún plan para las plantillas. Solo se puede usar el análisis programado.
  • Conservar funciones existentes del cliente al actualizar: Rechazado
    (No es necesario, el cliente no cambia las funciones al actualizar. En su lugar, LiveUpdate descarga la diferencia de las funciones.)
  • Seleccionar funciones: Rechazado
    No es necesario. El paquete actualizado usa las mismas funciones que en el paquete de instalación del cliente.
  • Configuración de la instalación: Solo se admite el paquete de tamaño estándar. No hay ningún plan actual para el paquete oscuro e integrado.
  • Incluir nuevos tipos de contenido... No, la nube usa siempre LiveUpdate y ningún otro método.
  • Programación de la actualización: Las opciones de actualización son las mismas.
  • Notificaciones: Se incluye un mensaje estándar pero personalizable.
  • Permitir a los usuarios posponer el proceso de actualización: Utiliza la configuración y el tipo de reinicio
Seleccionar un servidor desde el que se desea descargar el paquete
  • Descargar del servidor de administración
  • Descargar de la siguiente URL
Usa LiveUpdate solamente, ya que el servidor de administración no está implicado. El administrador lo configura en la sección
Política del sistema
>
Servidor LiveUpdate y Programación
.
Opciones de reinicio
:
  • La actualización se completa en Valores de configuración de instalación de clientes
  • Las definiciones de virus están instaladas en el cliente
Se incluye una opción para que no se reinicie el equipo cliente de Windows.
Tipo de reinicio:
  • Reinicio inmediato
  • Sin reinicio
  • Reinicio programado
Configuración de reinicio:
  • Sin mensaje
  • Mensaje con una cuenta regresiva de X minutos
  • Notificar y permitir al usuario que posponga el reinicio hasta X
Actualizaciones de una versión anterior:
Se puede actualizar a la última versión de Symantec Endpoint Protection desde cualquier versión anterior, en función de la ruta de actualización admitida.
El canal de versión (Configuración de actualización del cliente) se ha movido a la política del sistema con los cambios siguientes:
  • Versión anterior
    : Se trata de la versión anterior a la versión actual o más reciente y es la más estable.
  • Versión más reciente
    : La misma versión que la de
    Symantec Endpoint Protection Manager
    , pero no tan estable como la
    Versión anterior
    .
  • Seleccionar una revisión
    : Eliminada.
  • Versión previa al lanzamiento
    : Modificado (versión del motor). Esta es la versión beta de la versión y es la menos estable.
Administración de clientes y protección general
Todavís no está disponible en dispositivos Windows o Mac.
Administración de clientes y protección general
SEP en las instalaciones
Symantec Endpoint Security
Ejecutar comandos en clientes desde el servidor de administración:
  • Analizar
  • Actualizar contenido
  • Actualizar contenido y analizar
  • Iniciar análisis de Power Eraser
  • Reiniciar equipos cliente
  • Activar Auto-Protect
    Notificar a los usuarios antes de ejecutar una actualización
  • Habilitar/deshabilitar protección contra amenazas de red
  • Habilitar/deshabilitar Diagnóstico Insight de descargas
  • Recopilar lista de huellas digitales de archivos
  • Eliminar de Cuarentena**
  • Cancelar todos los análisis**
  • Analizar
  • Actualizar contenido
  • Reiniciar
Control de servidores, control de clientes, control mixto
  • Control mixto: Rechazado.
  • Control de servidores/Control de clientes: La configuración en estas páginas se ha eliminado principalmente, está habilitada de forma predeterminada y no es visible para el usuario. Algunas opciones de configuración son visibles para el usuario cliente si el administrador las hace visibles. En cada política, estos tipos de configuración deben estar en
    Configuración de interacción de usuario
    .
Modo de ancho de banda bajo (nuevo en la versión 14.1)
Política del sistema > Configuración general:
  • Ejecutar en modo de ancho de banda bajo
  • Permitir al usuario solicitar una excepción para un evento bloqueado (solo está disponible si el Control de aplicaciones está habilitado)
Proteger con contraseña al cliente
(Clientes > ficha Políticas)
  • Solicitar una contraseña para abrir la interfaz de usuario del cliente
  • Solicitar una contraseña para detener el servicio de cliente
  • Solicitar una contraseña para desinstalar el cliente
  • Solicitar una contraseña para importar o exportar una política y para importar la configuración de la comunicación con el cliente
  • Aplicar la configuración de contraseña a los subgrupos no heredados
  • Contraseña/Confirmar contraseña
  • Solicitar una contraseña para abrir la interfaz de usuario del cliente
  • Solicitar una contraseña para detener el servicio de cliente
  • Solicitar una contraseña para desinstalar el cliente
  • Solicitar una contraseña para importar o exportar una política y para importar la configuración de la comunicación con el cliente
  • Aplicar la configuración de contraseña a los subgrupos no heredados: Rechazado No es necesario, los grupos usan la herencia natural de la nube.
  • Contraseña/Confirmar contraseña
  • Transferir clientes a un servidor de administración diferente ejecutando la herramienta SylinkDrop
  • Transferir clientes a un servidor de administración diferente volviendo a implementar un paquete cliente con la opción Implementación de paquete de actualización de comunicaciones
La nube no tiene servidores de administración, pero tiene dominios. En ambos casos, se debe utilizar uno de los siguientes métodos:
  • Se mueve el cliente a otro dominio o a un dominio personalizado (rara vez).
  • Use el paquete de FSD al volver a implementar el paquete cliente o al inscribirse en un nuevo dominio.
Configure los envíos del cliente de información de seguridad seudónima a Symantec
Envíe archivos sospechosos de forma seudónimo a Symantec para mejorar la inteligencia sobre la protección contra amenazas.
Habilitado de forma predeterminada en la política del sistema para dispositivos administrados en la nube.
Configure los clientes para enviar con seguridad información seudónima del sistema y del uso
No disponible
Administrar la comunicación externa entre el servidor de administración y los clientes
  • Listas de servidores de administración
  • Modo de comunicación (transferencia u obtención)
  • Configurar el intervalo de latidos
  • Cargar las aplicaciones reconocidas
  • Cargar eventos críticos de forma inmediata
  • Configure el cálculo aleatorio de descargas
  • Configure las preferencias de reconexión
No: Rechazado porque el servidor de administración no está usado.
Cargar eventos críticos inmediatamente
se ejecuta de forma predeterminada
Configure los clientes para usar los servidores privados
  • Servidor de protección avanzada contra amenazas para envíos y búsquedas Insight
  • Servidor Insight privado para las búsquedas Insight
Nota:
ATP ahora se llama Endpoint Detection and Response (EDR)
No: Rechazado
Compatibilidad con el proxy
Servidor proxy usado para la instalación y la inscripción de clientes. También se usa para el servidor de LiveUpdate.
Detector no administrado
Compatibilidad parcial:
Endpoint Security
incluye la detección a petición de dispositivos no administrados, donde la nube busca y encuentra los dispositivos no administrados continuamente. Esta función es más avanzada, pero no es automática.
Dispositivos
>
Dispositivos no administrados
Configurar la recopilación de información de usuarios
Rechazado
Funciones del Agente de Mac
Funciones del Agente de Mac
Opción
Symantec Endpoint Security
Instalación
  • Creador del paquete de instalación: Crea un paquete que se instala directamente o que se puede implementar para la instalación, similar a Guardar paquete
  • Paquete de instalación directa: De forma predeterminada, la instalación es Silenciosa. La personalización no está disponible en Mac.
  • Carpeta de instalación personalizable (Valores de configuración de instalación de clientes): Solo para el reinicio y la actualización. No es posible personalizar la carpeta de instalación. El registro de instalación se escribe siempre en /tmp/sepinstall.log.
Políticas
Disponible ahora:
Protección contra software malicioso:
  • Análisis programados (rápidos y completos)
  • Activar/desactivar AutoProtect
  • Activar/desactivar el Análisis de comportamiento
  • Activar/desactivar la Protección contra software malicioso de inicio prematuro de Symantec
  • Activar/desactivar Auto-Protect para Microsoft Outlook
Prevención de intrusiones:
  • Activar/desactivar la Prevención de intrusiones
  • Excepciones de la acción de firma
  • Activar/desactivar las notificaciones del usuario
Disponible pronto:
  • Control de dispositivos
  • Firewall
  • Lista de aceptación
  • Lista de denegación
Comandos del dispositivo (como Ejecutar LiveUpdate, Analizar ahora, Cuarentena)
Funciones del agente de Linux
Funciones del agente de Linux
Opción
Symantec Endpoint Security
Instalación
Creador del paquete de instalación: Crea un paquete que se instala directamente o que se puede implementar para la instalación, similar a Guardar paquete
Políticas
Protección contra software malicioso:
  • Nivel de intensidad
  • Análisis programados (rápidos y completos)
  • Activar/desactivar AutoProtect
  • Activar/desactivar el Análisis de comportamiento
  • Activar/desactivar la Protección contra software malicioso de inicio prematuro de Symantec
  • Activar/desactivar Auto-Protect para Microsoft Outlook
Prevención de intrusiones:
  • Activar/desactivar la Prevención de intrusiones
  • Excepciones de la acción de firma
  • Activar/desactivar las notificaciones del usuario
Configuración del registro para clientes
Configuración de registros de clientes
SEP en las instalaciones
Symantec Endpoint Security
Configuración del registro para clientes en
Symantec Endpoint Protection Manager
Configurar el tamaño y las opciones de retención para los registros que se mantienen en los equipos cliente:
Actividad del cliente, Sistema, Seguridad y riesgo, Seguridad, Tráfico, Paquete, Control
Todavía no está disponible.
Configuración del registro de riesgos:
  • Eliminar notificaciones confirmadas después de 30 días
  • Eliminar eventos de riesgos después de 60 días
  • Eliminar eventos de análisis después de 30 días
  • Comprimir eventos de riesgos después de 7 días
  • Eliminar notificaciones no confirmadas después de 30 días
  • Eliminar comandos después de 30 días
  • Eliminar eventos EICAR
Sin planes
Funciones de la administración
Symantec Endpoint Security
reemplaza al servidor de administración (
Symantec Endpoint Protection Manager
) con una consola en la nube global, Integrated Cyber Defense Manager (ICDm).
Un asistente de actualización está disponible para migrar las políticas de
Symantec Endpoint Protection Manager
a
Symantec Endpoint Security
.
Consola de administración
Consola
SEP en las instalaciones
Symantec Endpoint Security
Symantec Endpoint Protection Manager
(SEPM)
Integrated Cyber Defense Manager (ICDm).
  • Página
    Mis tareas
    >
    Tareas
    : Recopila acciones y las muestra en función del estado, gravedad y a qué función pertenecen.Cuando el administrador completa una tarea, pasa de la categoría pendiente a la categoría completada.
  • Mis tareas y
    >
    Cuadernos de estrategias
    ejecuta flujos de trabajo preconfigurados a petición en varios dispositivos.
Servidor de administración
Instalación, dominios, sitios, replicación, servidores, licencias
SEP en las instalaciones
Symantec Endpoint Security
Instalación de
Symantec Endpoint Protection Manager
Rechazado.
Se instala un agente, pero no el servidor de administración
Dominios:
Agregar, eliminar, editar un dominio
Para la administración híbrida, inscriba un dominio de SEPM en
Integración
>
Inscripción
(versión 14.0.1 y posteriores)
Para la administración solamente en la nube, se pueden usar los siguientes dominios:
  • Dominio predeterminado (producción, suscripción pagada): Crear, cambiar el nombre o eliminar. (
    Configuración
    >
    Administración de dominios
    o el menú desplegable Dominio).
  • Bloc de prueba (suscripción de prueba): Una versión de prueba del software solo está disponible a través del representante de la cuenta.
  • Launchpad (para funciones previas al lanzamiento): Rechazado en enero de 2020. Los clientes existentes deben contactar con Soporte.
Se puede agregar, eliminar o editar un dominio
Sitios
Rechazado, ya no es necesario
Replicación
Rechazado, ya no es necesario
Bases de datos
Rechazado, ya no es necesario
Servidores
Rechazado, ya no es necesario
Licencias
  • Activar licencia
  • Editar información del partner
  • Comprar licencias adicionales
La licencia de prueba es de 90 días
Sí, suscripciones
  • Consola en la nube: ficha Endpoint > Configuración > Suscripciones o ficha Endpoint > Inicio > Activar suscripción
  • Cliente: Solución de problemas > Concesión de licencias (14.2 RU1) La concesión de licencias es similar a la de SEPM.
Las licencias de SEPM (mediante Oracle) se cargan y se extienden automáticamente a la consola en la nube y aparecen en la nube (mediante la opción Probar ahora).
La suscripción de prueba está oculta, pero se convierte en una suscripción de pago.
Los dispositivos habilitados por
Symantec Endpoint Security
que han estado desconectados durante más de 30 días se eliminan automáticamente de la nube.
API (integración)
API
SEP en las instalaciones
Symantec Endpoint Security
Administradores
Administradores
SEP en las instalaciones
Symantec Endpoint Security
General:
  • Agregar, cambiar el nombre, editar y eliminar un administrador
  • Cambiar la contraseña de administrador
  • Bloquear la cuenta después del número especificado de intentos de inicio de sesión incorrectos
  • Bloquear la cuenta para el número especificado de minutos
  • Enviar una alerta al administrador cuando se bloquee la cuenta
  • Agregar, cambiar el nombre, editar y eliminar un administrador
  • Cambiar la contraseña de administrador
Derechos de acceso:
  • Administrador del sistema
  • Administrador (dominio)
  • Administrador limitado
    • Ver informes
    • Administrar grupos (Comandos que se ejecutan remotamente > Ejecutar comandos en grupos de solo lectura)
    • Derechos del sitio
    • Administrar paquetes de instalación
    • Administrar políticas > No permitir la edición de políticas compartidas
Se ha cambiado el nombre a
Roles
:
(
Configuración
>
Administrador y roles
)
  • Superadministrador de la consola de endpoints (crear, editar y eliminar para todos los dominios)
  • Administrador de la consola de endpoints (crear, editar y eliminar para 1 dominio)
  • Administrador limitado (crear, editar para todos los dominios)
    • Sí, pero sin activos
    • Sin comandos
    • Sin políticas
  • Visor (de solo lectura para todos los dominios)
Autenticación para el inicio de sesión de
Symantec Endpoint Protection Manager
:
  • Autenticación de
    Symantec Endpoint Protection Manager
  • Autenticación de directorios
  • Autenticación de dos factores (nuevo en la versión 14.2)
  • Autenticación de RSA
  • Autenticación de tarjeta inteligente (PIV/CAC) (nuevo en la versión 14.2)
Se aplica a todos los productos de la consola en la nube y puede encontrarse en
Configuración > Acceso y autenticación
.
Proveedor de identidades:
  • Inicio de sesión en Symantec Security Cloud
  • Microsoft Azure
  • Proveedor de identidades basado en SAML 2.0
Autenticación de dos factores
Página principal
Página principal
SEP en las instalaciones
Symantec Endpoint Security
Comandos de la página
Inicio
Use la página
Mis tareas
.
Algunas acciones están disponibles en la lista de aceptación y denegación.
Se puede crear una vista personalizada del panel de información que se convertirá en la vista predeterminada cuando se inicie sesión.
Preferencias
No disponible
VDI (Virtualización)
Virtualización
SEP en las instalaciones
Symantec Endpoint Security
VDI
Memoria caché de conocimientos compartida
Rechazado
Habilitado para vShield (versión 12.1.6 y anteriores)
TBD
Informes, registros y notificaciones
Informes y plantillas
Informes
SEP en las instalaciones
Symantec Endpoint Security
Auditoría
Políticas utilizadas
No disponible
Control de aplicaciones y dispositivos
  • Grupo principal con registro de control de apls. con más alertas
  • Principales destinos bloqueados
  • Principales dispositivos bloqueados
Control de aplicaciones:
  • Control de aplicaciones
Control de dispositivos:
  • Los 5 principales dispositivos externos únicos bloqueados
  • KPI:
    Total de dispositivos con dispositivos externos bloqueados
    Total de dispositivos externos únicos bloqueados
Cumplimiento
  • Estado de integridad del host
  • Resumen de clientes por error de cumplimiento
  • Detalles del error de cumplimiento
  • Clientes con errores de cumplim. por ubicación
Disponible pronto
Estado del equipo
  • Distribución de definiciones de virus
  • Equipo no actualizado recientemente
  • Ver. de prod. Symantec Endpoint Protection
  • Distribución firmas de prevención de intrusiones
  • Distribución firmas protección descargas
  • Distribución de firmas de SONAR
  • Distribución de contenido de ancho de banda bajo
  • Inventario de clientes
  • Distribución del estado de cumplimiento
  • Estado de conexión del cliente
  • Clientes con la última política
  • Cantidad de clientes por grupo
  • Resumen del estado de seguridad
  • Versiones de contenido de protección
  • Estado licencias Symantec Endpoint Protection
  • Detalles de inventario de clientes
  • Informe de implementación
  • Informe completo de Integridad de dispositivos
  • Informe de estado del equipo de Integridad de dispositivos: Incluye los clientes administrados en la nube y en las instalaciones
Control de aplicaciones:
  • Informe de aplicaciones bloqueadas
  • Informe de análisis de variación
Estafa
(nuevo a partir de la versión 14.1)
Pronto estará disponible.
Mitigación de puntos vulnerables de red y host
  • Principales destinos atacados
  • Principales fuentes de ataque
  • Principales tipos de ataque
  • Principales aplicaciones bloqueadas
  • Ataques a lo largo del tiempo
  • Eventos de seguridad por gravedad
  • Aplicaciones bloqueadas a lo largo del tiempo
  • Notificaciones de tráfico a lo largo del tiempo
  • Principales notificaciones de tráfico
  • Detecciones de mitigación de puntos vulnerables en la memoria
  • Informe completo
  • Informe de Prevención de intrusiones
  • Informe de firewall
Riesgo
  • Equipos infectados y en riesgo
  • Lista de acciones
  • Recuento de detecciones de riesgos
  • Nuevos riesgos detectados en la red
  • Correlación de las principales detecciones de riesgos
  • Descargar distribuciones de riesgos
  • Resumen de distribución de riesgos
  • Distribución de riesgos a lo largo del tiempo
  • Distribución de riesgos por tipo de protección
  • Resultados de detección de SONAR
  • Distribución de amenazas de SONAR
  • Detec. amenazas SONAR en el tiempo
  • Resumen de acciones para riesgos princip.
  • Número de notificaciones
  • Número de notificaciones a lo largo del tiempo
  • Ataques semanales
  • Informe completo de riesgos
  • Estado diario de Symantec Endpoint Protection
  • Est. semanal Symantec Endpoint Protection
Protección contra software malicioso
Consulte Informes de análisis.
Analizar
  • Histograma de estadísticas de análisis
  • Equipos por la hora del último análisis
  • Equipos no analizados
  • Informe diario de SES
  • Informe semanal de SES
  • Informe completo de SES
Sistema:
  • Principales clientes que generan errores
  • Principales servidores que generan errores
  • Errores de replic. de base de datos a lo largo del tiempo
  • Estado del sitio
  • Uso del token de integración con WSS
Formato
: HTML
PDF, HTML, CSV
Registros (Eventos), Notificaciones (Alertas), Comandos
En
Symantec Endpoint Security
, los registros son
Eventos
y las notificaciones se llaman
Alertas
.
Notificaciones/comandos
SEP en las instalaciones
Symantec Endpoint Security
Registros
  • Estado de integridad del host:
    Todo, Error, Correcto, Pendiente, Deshabilitado, Omitido
  • Motivo de integridad del host:
    • Todo
    • Aprobado
    • La versión del antivirus está desactualizada
    • El antivirus no se está ejecutando
    • Error en el script
    • La comprobación está incompleta
    • La comprobación está deshabilitada
    • Ubicación modificada
  • Filtros:
    • Solo infectados
    • Protección contra intervenciones desactivada
    • Auto-Protect desactivado
    • Módulo de plataforma de confianza instalado
    • Mitigación de puntos vulnerables en la memoria desactivada
    • Diagnóstico Insight de descargas desactivado
    • SONAR desactivado
    • Firewall desactivado
    • Prevención de intrusiones desactivada
    • Motor antivirus desactivado
    • Debe reiniciar
No hay comandos en los eventos.
Eventos (Gravedad)
  • Informativo
  • Menor
  • Importante
  • Crítico
  • Informativo
  • Advertencia
  • Menor
  • Importante
  • Crítico
  • Grave
Commands (Comandos)
  • Analizar
  • Análisis de evidencia de peligro/Cancelar análisis de evidencia de peligro
  • Analizar/Cancelar análisis
  • Recopilar lista de huellas digitales de archivos
  • Eliminar de Cuarentena
  • Deshabilitar/Habilitar Diagnóstico Insight de descargas
  • Deshabilitar/Habilitar Protección contra amenazas de red
  • Activar Auto-Protect
  • Power Eraser
  • Reiniciar equipos cliente
  • Actualizar contenido
  • Actualizar contenido y análisis
Con estado:
  • No recibido
  • Recibido
  • En progreso
  • Completed (Completado)
  • Rechazado
  • Cancelado
  • Error
Dispositivos:
  • Análisis de evidencia de peligro (disponible pronto)
  • Power Eraser (disponible pronto)
  • Reiniciar equipos cliente
  • Ejecutar análisis
  • Ejecutar LiveUpdate
Políticas
:
TBD
Notificaciones
  • Error de autenticación
  • Lista de clientes modificada
  • Alerta de seguridad de cliente
  • Protección de descarga desactualizada
  • Alerta de búsqueda de reputación de archivos
  • Aplicación forzada detectada
  • Firmas IPS desactualizadas
  • Problema de concesión de licencias
  • Contenido de AML de ancho de banda bajo desactualizado
  • Detección de mitigación de puntos vulnerables en la memoria
  • Alerta de carga de red: solicitud de definiciones completas de virus y spyware
  • Nueva aplicación aprendida
  • Nuevo riesgo detectado
  • Nuevo paquete de software
  • Descarga admitida por usuario nuevo
  • Power Eraser recomendado
  • Ataque de riesgo
  • Estado del servidor
  • Evento de riesgo simple
  • Definic. SONAR desactualizadas
  • Evento del sistema
  • Equipos no administrados
  • Definiciones de virus desactualizadas
  • ¿Qué debe ocurrir cuando se active esta notificación?
  • Registrar la notificación
  • Ejecutar el archivo tratamiento por lotes o ejecutable
  • Enviar correo electrónico a administradores del sistema
  • Enviar correo electrónico a (separar direcciones con coma o punto y coma):
Alertas
:
  • Amenazas sospechosas
  • Licencia
  • Reputación desconocida
  • Dispositivos en peligro
  • Error en LiveUpdate
Disponible pronto: Notificaciones personalizables