Sophos Central Admindocs.sophos.com/central/Customer/help/es-es/PDF/sc_customer_h.pdf · Consulte Informe Resumen de mensajes (página 49). Control web de estaciones y servidores

Sophos Central Admin

Ayuda

ContenidoAcerca de esta Ayuda............................................................................................................................. 1Active su licencia..................................................................................................................................... 2Descripción general..................................................................................................................................4

Panel de control............................................................................................................................ 4Alertas............................................................................................................................................5Centro de análisis de amenazas................................................................................................ 19Registros e informes................................................................................................................... 30Personas......................................................................................................................................54Dispositivos..................................................................................................................................65Configuración global....................................................................................................................84Proteger dispositivos................................................................................................................. 146

Protección de estaciones de trabajo................................................................................................... 151Panel de control........................................................................................................................ 151Registros e informes................................................................................................................. 151Personas....................................................................................................................................155Ordenadores.............................................................................................................................. 166Grupos de equipos....................................................................................................................175Políticas..................................................................................................................................... 176Configuración.............................................................................................................................200Proteger dispositivos................................................................................................................. 247

Cifrado.................................................................................................................................................. 250Panel de control........................................................................................................................ 250Alertas........................................................................................................................................250Registros e informes................................................................................................................. 253Personas....................................................................................................................................269Ordenadores.............................................................................................................................. 281Ordenadores no administrados................................................................................................. 289Grupos de equipos....................................................................................................................290Políticas..................................................................................................................................... 291Configuración.............................................................................................................................297Proteger dispositivos................................................................................................................. 316

Protección de servidores..................................................................................................................... 318Panel de control........................................................................................................................ 318Alertas........................................................................................................................................318Registros e informes................................................................................................................. 331Servidores..................................................................................................................................348Servidores en AWS...................................................................................................................357Políticas..................................................................................................................................... 360Configuración.............................................................................................................................387Proteger dispositivos................................................................................................................. 426

Inalámbrico........................................................................................................................................... 429Panel de control de Wireless....................................................................................................429Alertas de redes inalámbricas...................................................................................................431Dispositivos................................................................................................................................432Información detallada de uso....................................................................................................433Diagnóstico de eventos inalámbricos........................................................................................433Puntos de acceso......................................................................................................................441Identificadores de red (SSID)....................................................................................................446Sitios.......................................................................................................................................... 459Configuración.............................................................................................................................461

Email Gateway..................................................................................................................................... 463Panel de control de Email Gateway......................................................................................... 463

(2019/12/09)

Informe del historial de mensajes............................................................................................. 465Informe Resumen de mensajes................................................................................................ 467Resumen de la actividad de Sandstorm...................................................................................467Resumen de Momento del clic................................................................................................. 468Usuarios en riesgo.................................................................................................................... 468Infracciones de las políticas de prevención de fugas de datos................................................ 469Personas....................................................................................................................................469Buzones..................................................................................................................................... 481Mensajes en cuarentena...........................................................................................................483Políticas..................................................................................................................................... 484Configuración.............................................................................................................................501Integrar Sophos Email con servicios externos..........................................................................530

Web Gateway.......................................................................................................................................557Panel de control........................................................................................................................ 557Registros....................................................................................................................................558Informes..................................................................................................................................... 558Personas....................................................................................................................................558Ordenadores.............................................................................................................................. 570Políticas..................................................................................................................................... 578Configuración.............................................................................................................................585Proteger dispositivos................................................................................................................. 609

Administración del firewall....................................................................................................................611Panel de control........................................................................................................................ 611Firewalls.....................................................................................................................................612Copia de seguridad................................................................................................................... 621

Phish Threat......................................................................................................................................... 624Panel de control........................................................................................................................ 624Informes..................................................................................................................................... 625Personas....................................................................................................................................627Campañas..................................................................................................................................638Configuración.............................................................................................................................646

Cloud Optix...........................................................................................................................................653Explorar productos............................................................................................................................... 654Cuentas y licencias.............................................................................................................................. 656

Datos de la cuenta....................................................................................................................656Licencias.................................................................................................................................... 660

Programas de acceso temprano..........................................................................................................662Navegadores de Internet compatibles................................................................................................. 664Obtener más ayuda............................................................................................................................. 665Aviso legal............................................................................................................................................ 666

(2019/12/09)


1 Acerca de esta AyudaEn esta Ayuda se explica cómo utilizar todas las funciones de Sophos Central.

Si no encuentra la ayuda que necesita aquí, vaya a la sección de soporte de nuestro sitio weby búsquelo allí. Esta búsqueda devuelve artículos de la base de conocimiento o debates de laComunidad de Sophos.

Sugerencia¿Aún no utiliza Sophos Central? Inicie sesión aquí y le ayudaremos a ponerse en marcha.

Puede iniciar sesión con los detalles de inicio de sesión de Microsoft si su administrador lo haconfigurado. Haga clic en Iniciar sesión con Microsoft e introduzca los detalles de inicio de sesiónde Microsoft.

Copyright © Sophos Limited 1

https://secure2.sophos.com/en-us/support.aspxhttps://central.sophos.com/manage/login


2 Active su licenciaCuando compra una licencia nueva, tiene que activarla.

Esto se hace desde su consola de Sophos Central (a menos que un partner de Sophos se encarguede la activación de la licencia por usted).

Al adquirir una actualización, es posible que se active automáticamente o que tenga que activarla.

NotaSi acaba de empezar a utilizar una versión de prueba de Sophos Central, no es necesario queactive una licencia aún. Deberá hacerlo únicamente cuando se actualice a una licencia de pago.

Para activar una licencia, haga lo siguiente.

NotaEstamos cambiando la activación de la licencia. Es posible que las opciones del último paso acontinuación no estén disponibles todavía.

1. Asegúrese de que la clave de licencia aparece en el anexo de la licencia que Sophos le envió.

2. Busque su nombre de cuenta en la parte superior derecha de la interfaz de usuario. Haga clic en elnombre y seleccione Licencias.

3. Ahora use su clave de licencia.

• Si ve la opción Aplicar código de activación, introduzca su clave y haga clic en Aplicar.

• Si ve un enlace Aplicar clave de licencia, púlselo. Introduzca la clave y haga clic en Aplicar.

4. Si su cuenta ya tiene licencias para las funciones incluidas en la clave, es posible que aparezcaotro cuadro de diálogo. Este le permite elegir cómo utilizar las nuevas licencias.

• Renovar inicia las nuevas licencias cuando sus licencias actuales caducan.

• Cambiar inicia las nuevas licencias en ese momento. Ajustaremos el plazo de la licencia paraque todas sus licencias caduquen en la misma fecha.

Haga clic en Aplicar de nuevo.

Cómo funciona la opción "Cambiar"

Un cliente compra 50 licencias para un año. Seis meses más tarde, compra otras 50 licencias paraun año.

Si el cliente selecciona Cambiar, hacemos lo siguiente:

• Añadir las nuevas licencias a las anteriores. Ahora el cliente tiene 100 licencias.

• Añadir el tiempo restante de las licencias anteriores (50 licencias x 6 meses = 300) al tiempo delas nuevas licencias (50 licencias x 12 meses = 600). El total es de 900 meses.

• Distribuir el tiempo entre las 100 licencias. Ahora la licencia de cada usuario tiene una duraciónde 9 meses a partir de la fecha en que se aplica la clave (y la fecha de caducidad se ajusta enconsecuencia).

Ahora el cliente tiene 100 licencias que caducarán dentro de 9 meses.

2 Copyright © Sophos Limited


En la mayoría de casos, la fecha de caducidad de la licencia existente se ampliará, pero no olvidecomprobar la nueva fecha de caducidad mostrada.



3 Descripción generalEl menú principal muestra las funciones que tiene a su disposición en Sophos Central. Se enumeranbajo sus nombres de producto, por ejemplo, Endpoint Protection.

Si tiene más de un producto con licencia, entonces verá un Resumen que reúne las funciones detodos sus productos con licencia.

3.1 Panel de controlEl Panel de control es la página de inicio de Sophos Central y proporciona acceso a la informaciónmás importante de forma inmediata. Se compone de estas áreas.

Alertas más recientes

Alertas más recientes muestra las últimas alertas. Las alertas Informativo solo tienen carácterinformativo y no requieren ninguna medida.

Haga clic en Ver todas las alertas para ver todas las alertas.

Dispositivos y usuarios: resumen

Dispositivos y usuarios: resumen muestra los detalles de uso y protección para los usuarios odispositivos protegidos. También muestra el número de usuarios o dispositivos sin proteger.

Haga clic en las fichas para ver la información de cada tipo de dispositivo o usuarios.

Haga clic en Ver informe para abrir un informe detallado para la ficha que ha seleccionado.

Email Security

Entrante muestra información de las siguientes categorías de mensajes:

• Legítimos: mensajes que se clasifican como limpios y, por tanto, se entregan.

• Infracciones de políticas DLP: Mensajes que infrinjan las políticas de prevención de fugas dedatos.

• Spam: mensajes clasificados como spam.

• Amenaza avanzada: mensajes clasificados como que contienen amenazas avanzadas.

• Virus: mensajes clasificados como que contienen virus.

• Error de autenticación: mensajes que no han superado las comprobaciones de autenticaciónde DMARC, SPF o DKIM.

• Lista de bloqueo tiempo real: mensajes detectados debido a una IP de envío en la lista negra.

• Lista de bloqueo empresa: mensajes enviados desde una dirección que ya se ha añadido a lalista de bloqueo de empresa (permitir/bloquear entrantes).

Saliente muestra la cantidad total de mensajes de correo electrónico salientes escaneados porEmail Security en sus buzones de correo electrónico protegidos en los últimos 30 días. También



muestra el número de mensajes legítimos procesados, el número de mensajes de spam y con virusdetectados y el número de mensajes que infrinjan las políticas DLP.

Haga clic en Ver informe para abrir el informe Resumen de mensajes y revise los detalles de losmensajes procesados; consulte Informe Resumen de mensajes.

Control web de estaciones y servidores

Control web de estaciones y servidores muestra la estadísticas de su protección Web Control.

Las cifras corresponden a amenazas bloqueadas, infracciones de políticas bloqueadas y avisos depolíticas. También hay una cifra para "avisos de políticas ignoradas", que se corresponde al númerode usuarios que han ignorado un aviso para visitar un sitio web.

Haga clic en la cifra para abrir un informe detallado.

Estadísticas puerta de enlace web

Estadísticas puerta de enlace web muestra estadísticas de su protección Web Gateway (solo seven si dispone de una licencia para Web Gateway).

Las cifras son para el malware bloqueado y los sitios web bloqueados.

Haga clic en la cifra para abrir un informe detallado.

Conceptos relacionadosInforme Resumen de mensajes (página 51)El informe Resumen de mensajes detalla los mensajes de correo electrónico procesados por EmailSecurity en sus buzones de correo protegidos.

3.2 AlertasLa página Alertas enumera todas las acciones que requieren alguna medida por su parte.

RestricciónEs posible que algunas funciones aún no estén disponibles para todos los clientes.

No se muestran las alertas que se resuelven automáticamente. Para ver todas las alertas, vaya aRegistros e informes > Eventos.

NotaLa hora del evento de alerta no se actualiza si se produce el mismo evento repetidas veces.

En la página Alertas, puede hacer lo siguiente:

• Agrupar alertas.

• Filtrar alertas.

• Actuar sobre las alertas.

• Cambiar la frecuencia de las alertas por correo electrónico.

Para obtener información sobre los diferentes tipos de alertas, consulte las otras páginas de Ayudade esta sección.



NotaSi tiene Intercept X Advanced with EDR puede investigar, bloquear y limpiar amenazas desdeCasos de amenaza.

Agrupar alertas

Puede agrupar todas las alertas para una amenaza o un evento en particular en una única entradade la lista. Así es más fácil gestionar las alertas.

Active Grupo (esquina superior derecha de la página).

Para ver el número de alertas para cada entrada del grupo, consulte la columna Contador.

Para mostrar todas las alertas de un grupo, haga clic en la flecha desplegable de la derecha.

Filtrar alertas

Para ver alertas con una prioridad específica, haga clic en las cifras de las Alertas altas, Alertasmedias o Alertas bajas en la parte superior de la página.

Para ver alertas para un tipo de producto o amenaza específico, utilice los filtros desplegables deencima de la lista de alertas.

Actuar sobre las alertas

Puede tomar medidas contra las alertas.

Para tomar medidas ante una alerta concreta, haga clic en la flecha desplegable situada junto a unaalerta para abrir sus detalles. En Acciones, haga clic en un enlace de acción (si está disponible).

Si está viendo grupos de alertas, haga clic en un botón de acción (si está disponible) junto al grupode la lista.

NotaSi desea permitir una aplicación que la tecnología de Deep Learning de Sophos notifica comomalware, no se hace aquí, sino desde la página Eventos.

En función del tipo de alerta, puede haber disponibles las siguientes acciones:

• Marcar como validado: Haga clic aquí para quitar una alerta de la lista. La alerta no se mostraráde nuevo.

Esto no resuelve las amenazas ni elimina los detalles de las amenazas del área de cuarentenaen el ordenador o el servidor.

• Marcar como resuelto: Haga clic aquí si la amenaza ya se ha resuelto en el ordenador o elservidor. Esta acción quita la alerta de la lista en Sophos Central y también elimina los detalles dela amenaza del área de cuarentena en el ordenador o el servidor.

Esta acción no resuelve las amenazas.

Esta acción solo está disponible para ordenadores o servidores Windows.

• Limpieza: Haga clic aquí para quitar el ransomware de un servidor.



• Reinstalar Endpoint Protection: Haga clic aquí para ir a la página Proteger dispositivos, en laque podrá descargar el software del agente de Sophos.

• Contactar con soporte: Haga clic aquí para obtener ayuda adicional. Esta acción está disponibleen los casos que pueda necesitar ayuda, p. ej., cuando falla la limpieza de un programa malicioso.

• Limpiar aplicación no deseada: Haga clic aquí para limpiar aplicaciones no deseadasdetectadas.

Esta acción está disponible solamente para ordenadores.

Esta acción podría no estar disponible si la aplicación no deseada se ha detectado en unrecurso compartido de la red. La razón es que el agente de Sophos Endpoint Protection no tienelos derechos suficientes para limpiar archivos en esa ubicación. Para obtener más informaciónsobre cómo tratar las aplicaciones no deseadas.

• Autorizar aplicación no deseada: Haga clic aquí para autorizar la ejecución de una aplicación nodeseada en todos los ordenadores. Puede optar por esta opción si considera que la aplicación esútil.

Esta acción está disponible solamente para ordenadores.

Cambiar la frecuencia de las alertas por correo electrónico

Puede cambiar la frecuencia con la que se envía un tipo de alerta.

Haga clic en la flecha desplegable situada junto a una alerta para abrir sus detalles. En Alerta porcorreo electrónico, seleccione la frecuencia para enviar este tipo de alerta.

Esta opción se añadirá a las Excepciones de la configuración de alertas por correo electrónico.También puede editar la opción de configuración allí.

Conceptos relacionadosQué hacer con las amenazas (página 12)Casos de amenazas (página 20)Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

Aplicaciones autorizadas (página 121)Alertas de protección contra amenazas (página 7)Alertas de instalación, actualización y cumplimiento (página 10)Informe de eventos (página 31)Configurar alertas por correo electrónico (página 114)Obtener más ayuda (página 665)Para obtener ayuda del soporte técnico de Sophos:

3.2.1 Alertas de protección contra amenazas

Los tipos de alertas de protección contra amenazas son los siguientes:

Para obtener información sobre una amenaza y consejos sobre cómo hacerle frente, haga clic en sunombre en la alerta.

También puede visitar la página Análisis de amenazas del sitio web de Sophos. En Consulte losanálisis de amenazas, haga clic en el enlace para el tipo de amenaza, y luego haga una búsquedapara localizar la amenaza o búsquela en la lista de los últimos elementos.

Es posible que las detecciones de programas maliciosos aparezcan como ML/PE-A en la lista deeventos. Consulte el artículo 127331 de la base de conocimiento para más información.


http://www.sophos.com/en-us/threat-center/threat-analyses.aspx


Alto

Protección en tiempo real desactivada

La protección en tiempo real ha estado desactivada en un ordenador durante más de 2,5 horas.La protección en tiempo real debe estar activada en todo momento. El soporte técnico de Sophospuede aconsejarle que la desactive durante un corto período de tiempo con el fin de llevar a cabouna investigación.

Aplicación maliciosa no limpiada

Algunos programas maliciosos detectados no se pueden eliminar después de un período de24 horas, incluso aunque esté disponible la limpieza automática. Probablemente el programamalicioso se ha detectado con un escaneado que no proporciona una limpieza automática, p. ej., unescaneado en demanda configurado localmente. Puede hacer frente a un programa malicioso deuna de las siguientes maneras:

• Limpiarlo de manera centralizada, programando un escaneado en la política (que a su vez tendrála limpieza automática activada).

• Limpiarlo de manera local, a través del Administrador de cuarentena.

Se requiere limpieza manual

Algunos programas maliciosos detectados no se pueden eliminar automáticamente porque lalimpieza automática no está disponible. Haga clic en "Descripción" en la alerta para ir al sitio webde Sophos en el que encontrará información sobre como eliminar la amenaza. Si necesita ayuda,póngase en contacto con el soporte técnico de Sophos.

Aplicación maliciosa ejecutándose no limpiada

No se ha podido limpiar un programa en ejecución en un ordenador que exhibe un comportamientomalicioso o sospechoso. Haga clic en "Descripción" en la alerta para más información sobre laamenaza y cómo hacerle frente. Si necesita ayuda, póngase en contacto con el soporte técnico deSophos.

Tráfico malicioso detectado

Se ha detectado tráfico de red malicioso, posiblemente dirigido a un servidor de mando y control enuna botnet u otro ataque de aplicación malintencionada. Haga clic en "Descripción" en la alerta paramás información sobre la amenaza y cómo hacerle frente. Si necesita ayuda, póngase en contactocon el soporte técnico de Sophos.

Infección recurrente

Un ordenador ha vuelto a infectarse después de que Sophos Central tratase de eliminar laamenaza. Esto puede deberse a que la amenaza ha ocultado componentes que no se handetectado. Puede que sea necesario un análisis en profundidad de la amenaza. Póngase encontacto con el soporte técnico de Sophos para obtener ayuda.

Ransomware detectado

Se ha detectado ransomware y se le ha bloqueado el acceso al sistema de archivos. Si el equipo esuna estación de trabajo, limpiaremos el ransomware automáticamente. Debe hacer lo siguiente:

• Si aún necesita hacer una limpieza: Traslade el ordenador temporalmente a una red en la queno suponga un riesgo para otros equipos. Vaya al equipo y ejecute Sophos Clean (si no estáinstalado, descárguelo de nuestro sitio web).

Puede ejecutar Sophos Clean en un servidor desde Sophos Central. Consulte Alertas.



• Si no está activado el envío automático de muestras, envíenos una muestra del ransomware. Laclasificaremos y actualizaremos nuestras reglas: si es malicioso, Sophos Central lo bloqueará en elfuturo.

• Vaya a Sophos Central, visite Alertas y marque la alerta como resuelta.

Se ha detectado un ataque de ransomware contra un equipo remoto

Se ha detectado que este equipo está intentando cifrar archivos en otros equipos.

Se ha bloqueado el acceso de escritura de este equipo a los recursos compartidos de red. Siel equipo es una estación de trabajo, y Proteger archivos de documentos de ransomware(CryptoGuard) está habilitado, limpiaremos el ransomware automáticamente.

Debe hacer lo siguiente:

• Asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) que estáactivado en la política de Sophos Central. Esto proporciona más información.

• Si la limpieza no se ejecuta de forma automática: Traslade el ordenador a una red en la que nosuponga un riesgo para otros equipos. A continuación, vaya al equipo y ejecute Sophos Clean (sino está instalado, descárguelo de nuestro sitio web).


Medio

Aplicación no deseada detectada

Se ha detectado algún software que podría ser adware u otro software potencialmente no deseado.Por defecto, las aplicaciones no deseadas se bloquean. Puede autorizarlas, si lo consideranoportuno, o limpiarlas.

Autorizar aplicaciones no deseadas

Puede autorizar una aplicación no deseada de dos maneras posibles, dependiendo de si deseaautorizarla en todos los ordenadores o sólo en algunos:

• En la página Alertas, seleccione la alerta y haga clic en el botón Autorizar aplicación nodeseada en la parte superior derecha de la página. Esto autoriza la aplicación no deseada entodos los ordenadores.

• Añadir la aplicación no deseada a la lista de exclusiones del escaneado en la política de proteccióncontra programas maliciosos. Esto autoriza la aplicación no deseada sólo en los ordenadores a losque se aplica la política.

Limpiar aplicaciones no deseadas

Puede limpiar una aplicación no deseada de dos maneras posibles:

• En la página Alertas, seleccione la alerta y haga clic en el botón Limpiar aplicaciones nodeseadas en la parte superior derecha de la página.

• Limpiarla en el Administrador de cuarentena del software agente en el ordenador afectado.

NotaLa limpieza podría no estar disponible si la aplicación no deseada se ha detectado en un recursocompartido de red. La razón es que el agente de Sophos no tiene los derechos suficientes paralimpiar archivos en esa ubicación.

Aplicación no deseada (PUA) no limpiada



La aplicación no deseada no se pudo eliminar. Puede que sea necesario realizar una limpiezamanual. Haga clic en "Descripción" en la alerta para más información sobre la aplicación y cómohacerle frente. Si necesita ayuda, póngase en contacto con el soporte técnico de Sophos.

Es necesario un escaneado del ordenador para completar la limpieza

Para limpiar la amenaza se requiere un escaneado completo del sistema. Para escanear unordenador, vaya a la página Ordenadores, haga clic en el nombre del ordenador para abrir supágina de detalles y, a continuación, haga clic en el botón Escanear ahora.

El escaneado puede tardar algún tiempo. Una vez finalizado aparecerá un evento "Escaneado'Escanear el ordenador' completado" y cualquier evento de limpieza realizado correctamente en lapágina Registros e informes > Eventos. Las alertas de limpiezas no realizadas correctamente sepueden ver en la página Alertas.

Si el ordenador está sin conexión, se escaneará cuando vuelva a estar conectado. Si ya hay unescaneado del ordenador en ejecución, la nueva solicitud de escaneado se ignorará y el escaneadoanterior continuará.

Alternativamente, puede ejecutar el escaneado localmente usando el software del agente deSophos en el ordenador afectado. Utilice la opción Escanear de Sophos Endpoint en un ordenadorcon Windows, o la opción Escanear el Mac de Sophos Anti-Virus en un Mac.

Es necesario reiniciar para completar la limpieza

La amenaza se ha eliminado de forma parcial, pero es necesario reiniciar la estación para quefinalice la limpieza.

Se ha detectado ransomware ejecutado remotamente

Se ha detectado ransomware ejecutándose en un equipo remoto e intentando cifrar archivos enrecursos compartidos de red.

Se ha bloqueado el acceso de escritura a los recursos compartidos de red desde la dirección IP delequipo remoto. Si el equipo con esa dirección es una estación de trabajo gestionada por SophosCentral y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado,procederemos a limpiar el ransomware automáticamente.


• Localice el equipo en el que se está ejecutando el ransomware.

• Si el equipo está gestionado por Sophos Central, asegúrese de que Proteger archivos dedocumentos de ransomware (CryptoGuard) está activado en la política.



Conceptos relacionadosAlertas (página 5)La página Alertas enumera todas las acciones que requieren alguna medida por su parte.

Información relacionadaArtículo de la base de conocimiento 127331

3.2.2 Alertas de instalación, actualización y cumplimiento

Se utilizan los siguientes tipos de alertas para eventos relacionados con la instalación de agentes deSophos, la actualización de agentes de Sophos o el cumplimiento de políticas:


https://community.sophos.com/kb/es-es/127331


Alto

Error al proteger ordenador o servidor

Un ordenador ha iniciado la instalación del agente pero después de una hora no ha pasado aestar protegido. El programa de instalación que se ha ejecutado en el ordenador afectado puedeproporcionar más información sobre el motivo del fallo.

Medio

Ordenador o servidor no actualizado

Un ordenador que no se ha actualizado en las últimas 24 horas ha estado comunicándose conSophos Central en las últimas 6 horas y no se actualizó en las siguientes 2 horas. Normalmente,un ordenador intentará actualizarse unos 5 minutos después de haberse iniciado y después enintervalos regulares cada 60 minutos. Si la reaplicación de la política falla repetidamente, puede serdebido a un problema más grave. En esos casos, la reinstalación puede solucionar el problema.

Es necesario reiniciar

Para completar una actualización del software del agente es necesario que se reinicie el ordenador,pero el ordenador no se ha reiniciado en las últimas 2 semanas. Algunas veces, tras instalar/actualizar el software del agente, es necesario reiniciar el ordenador para activar completamentetodas las capacidades de la versión nueva/actualizada del software. Aunque no es necesario queuna actualización se realice de manera inmediata, es recomendable hacerlo lo antes posible.

Incumplimiento de política

El incumplimiento de una política por parte de un dispositivo puede deberse a varias razones, porejemplo, porque ha cambiado la configuración en el propio dispositivo. En ese caso, después dedos horas de incumplimiento, el sistema mostrará una alerta y tratará de volver a aplicar la políticacorrespondiente. La alerta se quita automáticamente cuando el dispositivo vuelve a cumplir lapolítica. Si las solicitudes consecutivas fallan repetidamente, esto puede deberse a un problemamás serio. En esos casos, la reinstalación puede solucionar el problema.

Periférico detectado

Se ha detectado un medio extraíble o un dispositivo periférico en un dispositivo controlado porSophos Central.

Detección de dispositivo duplicado

Se ha detectado un dispositivo duplicado. Si los dispositivos se han clonado a partir de una imagen,tendrán el mismo ID. Los ID duplicados pueden provocar problemas de gestión. Los dispositivosduplicados se vuelven a registrar con un nuevo ID.

Para más información, consulte el artículo 132029 de la base de conocimiento.

Notas:

• ordenadores que ejecutan Windows XP/Vista o Server 2003/2008 no se detectan comoduplicados. Sin embargo, si tienen el mismo ID que el que ejecuta un sistema operativo compatible(p. ej., Windows 10), se detectan como duplicados pero no se vuelven a registrar.

• Los ordenadores Windows con el producto Bloqueo de servidor instalado y bloqueados no vuelvena registrarse si se detectan como duplicados.

• No se admite la detección de dispositivos duplicados en entornos de tipo VDI como VMwareHorizon, Citrix PVS o Citrix MCS.




3.2.3 Alertas de redes inalámbricas

Vea las alertas de redes inalámbricas generadas por los puntos de acceso.

Alta

El punto de acceso tiene un mal estado de seguridad: La carga del punto de acceso esdemasiado alta. Hay demasiados dispositivos conectados. Compruebe que tiene suficientes puntosde acceso para cubrir el área.

Media

El punto de acceso está offline: El punto de acceso no tiene conexión a Internet, no recibealimentación o ha ocurrido un error de software. Puede intentar reiniciar. Los reinicios puedenresolver errores de software.

El punto de acceso no está difundiendo ninguna red: El punto de acceso no está configurado.Para configurar el punto de acceso, haga clic en Wireless > Puntos de acceso.

Comando de punto de acceso realizado: El reinicio ha terminado.

Reiniciar el punto de acceso puede resolver las siguientes alertas:

• Error al configurar el punto de acceso

• Los puntos de acceso no se han podido actualizar al nuevo firmware

Si el problema continúa, póngase en contacto con el servicio de soporte de Sophos. Necesitaránacceso remoto para investigar el problema. Vaya a Wireless > Configuración > Diagnósticos >Inicio de sesión remoto a los puntos de acceso para el soporte de Sophos para autorizar elacceso remoto.

Baja

El punto de acceso se actualizará con el nuevo firmware: Wireless se apagará duranteaproximadamente 5 minutos.

Todos los puntos de acceso se actualizarán con el nuevo firmware: Wireless se apagarádurante aproximadamente 5 minutos.

El punto de acceso se ha actualizado correctamente con el nuevo firmware

Todos los puntos de acceso se han actualizado correctamente

3.2.4 Qué hacer con las amenazas

Para obtener información sobre cómo abordar las amenazas, consulte:

• Tratar el ransomware (página 13).

• Tratar los exploits (página 14).


https://www.sophos.com/es-es/support/knowledgebase/132029.aspx


• Tratar los ataques de navegador web (página 15).

• Tratar el malware detectado por el Deep Learning (página 15).

• Tratar los eventos del bloqueo de aplicaciones (página 16).

• Tratar los falsos positivos (página 17).

Para obtener información sobre programas maliciosos, consulte las secciones sobre alertas deprogramas maliciosos enumeradas en Alertas de protección contra amenazas (página 7).

Tratar el ransomware

En este apartado se describe qué ocurre cuando se detecta un programa de ransomware y quéhacer al respecto.

Si sabe que una detección es un falso positivo, consulte Tratar los falsos positivos.

Qué sucede cuando se detecta ransomware

Cuando se detecta ransomware:

• Se comprueba si es una aplicación legítima, por ejemplo un producto de cifrado de archivos ocarpetas. Si no es así, lo detenemos.

• Los archivos se revierten a su estado previo a la modificación.

• Se notifica al usuario.

• Se genera un caso de amenaza. Le ayudarán a determinar si se deben tomar medidasadicionales.

• Se inicia un escaneado para identificar y limpiar otros programas maliciosos en el dispositivo.

• El estado del dispositivo se vuelve a establecer en Verde.

Qué hacer si ve el mensaje “Ransomware detectado”

Si aún necesita hacer una limpieza, haga lo siguiente:

• Si no está activado el envío automático de muestras, envíenos una muestra del ransomware. Laclasificaremos y actualizaremos nuestras reglas: si es malicioso, Sophos Central lo bloqueará en elfuturo.

Para obtener ayuda con el envío de muestras, consulte el artículo 11490 de la base deconocimiento.

• Traslade el ordenador temporalmente a una red en la que no suponga un riesgo para otrosequipos. Vaya al equipo y ejecute Sophos Clean (si no está instalado, descárguelo de nuestro sitioweb).

Puede ejecutar Sophos Clean en un servidor desde Sophos Central. Consulte Alertas.


Qué hacer si ve el mensaje "Se ha detectado ransomware ejecutadoremotamente"

Se ha detectado ransomware ejecutándose en un equipo remoto e intentando cifrar archivos enrecursos compartidos de red.



Se ha bloqueado el acceso de escritura a los recursos compartidos de red desde la dirección IP delequipo remoto. Si el equipo con esa dirección es una estación de trabajo gestionada por SophosCentral y Proteger archivos de documentos de ransomware (CryptoGuard) está habilitado,procederemos a limpiar el ransomware automáticamente.


• Localice el equipo en el que se está ejecutando el ransomware.

• Si el equipo está gestionado por Sophos Central, asegúrese de que Proteger archivos dedocumentos de ransomware (CryptoGuard) está activado en la política.



Qué hacer si ve el mensaje "Se ha detectado un ataque deransomware contra un equipo remoto"

Se ha detectado que este equipo está intentando cifrar archivos en otros equipos.

Se ha bloqueado el acceso de escritura de este equipo a los recursos compartidos de red. Siel equipo es una estación de trabajo, y Proteger archivos de documentos de ransomware(CryptoGuard) está habilitado, limpiaremos el ransomware automáticamente.


• Asegúrese de que Proteger archivos de documentos de ransomware (CryptoGuard) que estáactivado en la política de Sophos Central. Esto proporciona más información.



Conceptos relacionadosTratar los falsos positivos (página 17)Alertas (página 5)La página Alertas enumera todas las acciones que requieren alguna medida por su parte.


Tratar los exploits

En este tema se describe qué hacer con los exploits.

Si sabe que una detección es un falso positivo, consulte Tratar los falsos positivos.

Qué sucede cuando se detecta un exploit

Cuando se detecta un exploit, sucede lo siguiente:

• El exploit se detiene.





• Se inicia un escaneado para limpiar las amenazas.

• Se genera un caso de amenaza.

Qué debe hacer

Vaya a Casos de amenazasCentro de análisis de amenazas > Casos de amenazas y reviselos detalles del caso para averiguar dónde comenzó el ataque, cómo se propagó y qué procesos oarchivos se vieron afectados.

A menudo un usuario ha descargado o autorizado una aplicación que ha dado acceso al adversario.Para evitar esto, proporcione a los usuarios formación en materia de navegación segura.

Conceptos relacionadosTratar los falsos positivos (página 17)

Tratar los ataques de navegador web

Qué sucede cuando se detecta una amenaza de navegador web

Cuando se detecta un ataque:

• Intercept X avisa al usuario para que cierre el navegador.

• Se inicia un escaneado de Sophos Clean.


Qué debe hacer

Haga lo siguiente:

• Utilice el caso de amenaza para identificar la conexión URL e IP asociadas con el ataque.

• Decida si quiere bloquear esa ubicación en el firewall de la empresa. (Si el ataque no lo hadetectado su protección web, no se clasifica como malicioso.)

• Si el usuario ha introducido una contraseña, pídale que la cambie.

• Si el usuario estaba contactando con su banco, pídale que compruebe si se ha producido algúntipo de actividad inusual en su cuenta.

Tratar el malware detectado por el Deep Learning

El Deep Learning utiliza el aprendizaje automático avanzado para detectar amenazas o aplicacionesno deseadas sin usar firmas.

El malware detectado por el Deep Learning aparece en las alertas con el prefijo "ML/".

Los archivos PE (aplicaciones, bibliotecas y archivos de sistema) que se detectan se ponen encuarentena. Se pueden restaurar y autorizar si son seguros.

Qué sucede cuando se detecta malware

Cuando el Deep Learning identifica un archivo como malicioso, se adoptan estas medidas:



• Se comprueba si el archivo se ha añadido a una lista de aplicaciones autorizadas. (Esta lista lepermite excluir un archivo de la verificación si se ha detectado como malware de forma incorrecta.)

• Si el archivo no está en una lista autorizada, se notifica como malware y se pone en cuarentena.


• El estado del equipo aparece como verde porque el programa malicioso está puesto encuarentena.

Qué debe hacer

Dado que el malware se pone en cuarentena, normalmente no hay que tomar ninguna medida.

No obstante, en ocasiones el Deep Learning puede notificar un archivo legítimo como malware (unfalso positivo). Si tiene la certeza de que el archivo es seguro, lo puede restaurar y permitir a losusuarios volver a utilizarlo.

Para restaurar y permitir un archivo, siga los pasos que se describen en Autorizar una aplicaciónque ha sido detectada.

Conceptos relacionadosAplicaciones autorizadas (página 121)Información relacionadaAutorizar una aplicación que ha sido detectada (página 121)

Tratar los eventos del bloqueo de aplicaciones

La función del bloqueo de aplicaciones detiene los ataques que se aprovechan de funcioneslegítimas de aplicaciones habituales para lanzar un ataque o desplegar malware.

Qué sucede cuando se detecta un ataque

Cuando una aplicación bloqueada hace algo prohibido, como instalar otro programa o modificar laconfiguración del sistema, se toman estas medidas:

• Intercept X cierra la aplicación de forma automática.


• Se inicia un escaneado de Sophos Clean, que puede identificar otros posibles componentes demalware.


Qué debe hacer

Haga lo siguiente:

• Utilice el caso de amenaza para identificar el archivo o la actividad causante del ataque.

• Confirme que no se requiere ninguna otra acción.



Tratar los falsos positivos

Nuestro software puede detectar amenazas no conocidas hasta ahora. Sin embargo, aunque ustedsepa que una aplicación es segura, es posible que a veces la identifique como malware o queinforme de un exploit. Esto es un "falso positivo".

Cuando se produce un falso positivo, puede hacer que el software no vuelva a detectar la amenazay, si procede, que restaure los archivos que se hayan eliminado.

Para obtener más detalles, consulte estos temas:

• Dejar de detectar una aplicación (página 17)

• Dejar de detectar un exploit (página 17)

• Dejar de detectar ransomware (página 18) Dejar de detectar una aplicación

Si se detectan archivos PE (portables ejecutables), como aplicaciones, bibliotecas y archivos desistema, se ponen en cuarentena y pueden restaurarse.

Para autorizar una aplicación que Sophos ha detectado y eliminado, haga lo siguiente.

• Esto autoriza la aplicación en todos los ordenadores y para todos los usuarios.

• Esto autoriza que la aplicación pueda iniciarse, pero nosotros seguiremos analizándola enbúsqueda de amenazas, exploits y comportamiento malicioso mientras se está ejecutando.

1. Vaya a la página Ordenadores o Servidores, en función de dónde se haya detectado laaplicación.

2. Localice el ordenador donde ha tenido lugar la detección y haga clic en él para ver los detalles.

3. En la ficha Eventos, busque el evento de detección y haga clic en Detalles.

4. En el cuadro de diálogo Detalles el evento, diríjase a Permitir esta aplicación.

5. Seleccione el método para autorizar la aplicación:

• Certificado: Se recomienda esta opción. También autoriza otras aplicaciones con el mismocertificado.

• SHA-256: Esta opción autoriza esa versión en concreto de la aplicación. No obstante, si laaplicación se actualiza, podría detectarse de nuevo.

• Ruta: Esto autoriza la aplicación siempre y cuando esté instalada en la ruta (ubicación)mostrada. Puede editar la ruta (ahora o más adelante) y puede usar variables si la aplicaciónestá instalada en ubicaciones distintas en equipos distintos.

6. Haga clic en Autorizar. Dejar de detectar un exploit

Si se detecta un exploit pero tiene la seguridad de que esta detección es incorrecta, puede impedirque se produzca de nuevo.

Esto se aplicará a todos sus usuarios y ordenadores.

NotaEstas instrucciones parten de la base de que utiliza opciones disponibles en su lista de eventos.De lo contrario, puede utilizar la configuración de políticas o la configuración global. Consulte lasdemás secciones de esta página.





3. En la ficha Eventoss, busque el evento de detección y haga clic en Detalles.

4. En Detalles del evento, busque No volver a detectar esto y seleccione una opción:

• Excluir este ID de detección de la comprobación impide esta detección en esta aplicación.

• Excluir esta aplicación de la comprobación impide todas las comprobaciones de exploits enesta aplicación.

Pruebe a excluir el ID de detección primero, ya que es una acción más precisa. Si se vuelve aproducir la misma detección, excluya la aplicación la próxima vez.

5. Haga clic en Excluir.

Añadiremos su exclusión a una lista.

Las exclusiones de ID de detección se incluyen en Exclusiones globales. Las exclusiones deaplicaciones se incluyen en Exclusiones de mitigación de vulnerabilidades.

Dejar de detectar un exploit (usando la configuración de políticas)

Puede dejar de detectar un exploit para la aplicación en la que se haya detectado.

Si utiliza este método, comprobaremos si hay otros exploits que afectan esta aplicación.

1. En Políticas, busque la política Detección de amenazas que se aplica a los ordenadores.

2. En Exclusiones de escaneado, haga clic en Añadir exclusión.

3. En la lista desplegable Tipo de exclusión, seleccione Vulnerabilidad detectada.

4. Seleccione el exploit y haga clic en Añadir.

También puede utilizar una política para dejar de detectar exploits para todas las aplicaciones deun determinado tipo. Para hacerlo, vaya a la política de protección contra amenazas y desactive lamitigación de exploits (que se encuentra en "Protección en tiempo de ejecución") para ese tipo deaplicación.

NotaNo se recomienda desactivar la mitigación de exploits.

Dejar de detectar exploits (usando la configuración global)

Puede dejar de detectar todos los exploits para una aplicación.

Si utiliza este método, no comprobaremos si hay otros exploits que afectan esta aplicación, pero síverificaremos si hay programas maliciosos y comportamiento de ransomware.

1. Vaya a Configuración global > Exclusiones de mitigación de vulnerabilidades.

2. Haga clic en Añadir exclusión.

3. En el cuadro de diálogo que se abre, seleccione una Aplicación.

4. Haga clic en Añadir.

Dejar de detectar ransomware

Si se detecta ransomware pero tiene la seguridad de que esta detección es incorrecta, puedeimpedir que se produzca de nuevo.

Esto se aplicará a todos sus usuarios y ordenadores.





3. En la ficha Eventoss, busque el evento de detección y haga clic en Detalles.

4. En Detalles del evento, busque No volver a detectar esto.

Seleccione Excluir este ID de detección de la comprobación. Esto impide esta detección enesta aplicación.

5. Haga clic en Excluir.

Añadiremos su exclusión a la lista Exclusiones globales.

3.3 Centro de análisis de amenazasEl panel de control le permite ver la información más importante de un vistazo.

Se compone de estas áreas.

Casos de amenazas más recientes

Los casos de amenazas le permiten investigar los ataques de malware. Haga clic en un caso paraaveriguar dónde se ha iniciado un ataque, cómo se ha propagado y qué procesos o archivos se hanvisto afectados.

Haga clic en Ver todos los casos de amenazas para ver todos los casos de amenazas.

Los casos de amenazas solo están disponibles para dispositivos Windows.

Búsqueda de amenazas

Esta opción está disponible si tiene Intercept X Advanced with EDR o Intercept X Advanced withEDR for Server.

Busque todas las amenazas potenciales en su red.

Puede buscar hash de archivo SHA-256, nombres de archivo, direcciones IP o dominios (completoso parciales) o líneas de comando. Normalmente, esta información de búsqueda se obtiene de otrosproductos de seguridad o servicios de notificación de amenazas.

Las búsquedas de amenazas encuentran lo siguiente:

• Archivos portables ejecutables (como aplicaciones, bibliotecas, archivos de sistema) con unareputación incierta o mala.

• Direcciones IP o dominios a los que se han conectado esos archivos.

• Herramientas de administración que se han ejecutado. Estas herramientas pueden ser malutilizadas.

NotaTambién puede ejecutar una búsqueda de amenazas desde un caso de amenaza. Así seencuentran más ejemplos de las posibles amenazas identificadas en ese caso.



NotaEs posible que las búsquedas de líneas de comandos y herramientas de administración no esténdisponibles para todos los clientes todavía.

Búsquedas de amenazas recientes


Muestra búsquedas de amenazas que ha ejecutado y guardado recientemente. Haga clic en unabúsqueda para volver a ejecutarla, encontrar los dispositivos afectados y tomar medidas.

Haga clic en Ver todas las búsquedas para ver todas las búsquedas.

Principales indicadores de amenazas

Los indicadores de amenazas son archivos sospechosos que Sophos no ha bloqueado, pero quequizá desee investigar.

La lista de los principales indicadores de amenazas muestra los indicadores de amenazas másfrecuentes, con estos detalles:

• Nivel de Desconfianza. La probabilidad de que el archivo sea malicioso.

• El número de dispositivos afectados.

Para ver la lista completa y realizar un análisis más exhaustivo, haga clic en Ver todos losindicadores de amenazas.

3.3.1 Casos de amenazas

Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

Puede averiguar dónde se ha iniciado un ataque, cómo se ha propagado y qué procesos o archivosse han visto afectados. Esto le ayuda a mejorar la seguridad.

Si dispone de una licencia de Intercept X Advanced with EDR o Intercept X Advanced with EDR forServer, también podrá:

• Aislar los dispositivos afectados.

• Buscar más ejemplos de la amenaza en la red.

• Limpiar y bloquear la amenaza.

Creamos un caso de amenaza cada vez que detectamos malware que necesita investigar a fondo.

NotaActualmente esta función solo está disponible para dispositivos Windows.

Cómo investigar y limpiar amenazas

Esto es un resumen de cómo suele investigarse un caso. Para obtener más información sobre todaslas opciones, consulte la Página de análisis de los casos de amenazas.



Algunas opciones solo están disponibles si tiene una licencia de Intercept X Advanced with EDR oIntercept X Advanced with EDR for Server.

1. Si lo prefiere, haga clic en Casos de amenazas en el menú principal y luego haga clic en un caso.

Esto muestra la página de detalles del caso.

2. Consulte el Resumen para ver dónde se ha iniciado el ataque y qué archivos podrían estarafectados.

3. Consulte Siguientes pasos sugeridos. Puede cambiar la prioridad del caso y ver qué procesosinvestigar.

Si se trata de un caso de alta prioridad y tiene Intercept X Advanced with EDR, puede hacerclic en Aislar este dispositivo. Así se aísla de la red el dispositivo afectado. Puede seguirgestionando el dispositivo desde Sophos Central.

NotaNo verá esta opción si el dispositivo se ha aislado automáticamente o si tiene una licencia deManaged Threat Response (MTR) y está viendo detalles de una amenaza generada por MTR.

4. En la ficha Analizar, puede ver un diagrama que muestra el progreso del ataque. Al hacer clic enlos elementos se muestran más detalles.

5. Haga clic en la causa raíz u otro proceso para ver los detalles.

6. Para asegurarse de que dispone de los últimos análisis de Sophos, haga clic en Solicitarinformación más reciente.

Esta opción envía archivos a Sophos para analizarlos. Si tenemos nueva información sobre lareputación y prevalencia del archivo, la verá aquí en unos minutos.

RestricciónSi tiene Intercept X Advanced with EDR o Intercept X Advanced with EDR for Server, verá unanálisis más avanzado; consulte Información más reciente sobre amenazas. También podrárealizar otras tareas de detección y limpieza, como se muestra en los pasos siguientes.

7. Haga clic en Buscar elemento para buscar más ejemplos del archivo en la red.

Si la página Resultados de la búsqueda de elementos muestra más ejemplos del archivo,puede hacer clic en Aislar dispositivo para aislar los dispositivos afectados.

8. Vuelva a la página de detalles del caso de amenaza y consulte la información más reciente sobreamenazas.

9. Si está seguro de que el archivo es malicioso, puede hacer clic en Limpiar y bloquear.

Esto limpia el elemento en los dispositivos en los que se ha encontrado y lo bloquea en todoslos dispositivos.

10. Si está seguro de que ha resuelto la amenaza, puede quitar el dispositivo del aislamiento (si esnecesario). Vaya a Siguientes pasos sugeridos y haga clic en Quitar de aislamiento.

Si ha aislado varios dispositivos, vaya a Configuración > Dispositivos aislados por eladministrador y quítelos del aislamiento.

11. Vuelva a la lista Casos de amenazas detectados, seleccione el caso y haga clic en Cerrar.



Acerca de la lista de casos de amenazas

La página Casos de amenazas detectados enumera todos los casos de amenazas de los últimos90 días.

Se divide en fichas para los casos de amenazas que se han generado de la siguiente manera:

• Generado automáticamente por Sophos

• Generado por un administrador de Sophos Central

• Generado por el equipo de Sophos Managed Threat Response (MTR), si tiene una licencia MTR

Puede filtrar los casos por Estado o Prioridad.

Puede utilizar Buscar para ver los casos de un determinado usuario, dispositivo o nombre deamenaza (por ejemplo "Troj/Agent-AJWL").

Para cada caso, la lista muestra:

• Estado: el estado es Nuevo de forma predeterminada. Puede cambiarlo cuando consulte el caso.

• Hora de creación: fecha y hora en que se ha creado el caso.

• Prioridad: se establece una prioridad al crearse el caso. Puede cambiarla cuando consulte elcaso.

• Nombre: haga clic en el nombre de amenaza para ver los detalles del caso.

• Generado por: El administrador de Sophos Central que generó el caso de amenaza.

• Usuario: el usuario que ha provocado la infección. Haga clic en el nombre de usuario para ver losdetalles del usuario.

• Dispositivo: el dispositivo que ha provocado la infección. Haga clic en el nombre del dispositivopara ver sus detalles.

• Tipo de dispositivo: Tipo de dispositivo, por ejemplo, Ordenador o Servidor.

Puede hacer clic en cualquier columna para ordenar los casos.

Conceptos relacionadosPágina de análisis de los casos de amenazas (página 22)Para investigar un caso de amenaza, acceda a su página de detalles y utilice las herramientas deanálisis disponibles allí.

Información relacionadaInformación más reciente sobre amenazas (página 24)Aislamiento de dispositivos (página 183)

Página de análisis de los casos de amenazas

Para investigar un caso de amenaza, acceda a su página de detalles y utilice las herramientas deanálisis disponibles allí.

Busque el caso de amenaza en la página Casos de amenazas detectados. Haga clic en sunombre para ver un resumen, detalles de los artefactos (procesos, archivos, claves) afectados y undiagrama que muestra cómo se ha desarrollado la amenaza.

Para ver un resumen de qué debe hacer, consulte Cómo investigar y limpiar amenazas.

Para obtener más información sobre todas las opciones, lea las secciones de esta página.



NotaLas opciones que vea pueden depender de su licencia y de la gravedad de la amenaza.

Resumen

El Resumen muestra información general sobre la amenaza, incluidos estos datos:

• Causa raíz: punto por el que se introdujo la amenaza en su sistema.

• Posibles datos involucrados: archivos que pueden contener datos importantes. Consúltelos paraver si se han cifrado o robado datos.

• Dónde: nombre del dispositivo y su usuario.

• Cuándo: fecha y hora de la detección.

Siguientes pasos sugeridos

El panel Siguientes pasos sugeridos muestra esta información:

Prioridad: la prioridad se establece automáticamente. Puede modificarla.

Estado: el estado es Nuevo de forma predeterminada. Puede modificarlo.

NotaUna vez que haya establecido el estado en En progreso , no lo podrá volver a definir comoNuevo.

Aislar este dispositivo: Verá esta opción si el caso tiene prioridad alta y si tiene Intercept XAdvanced with EDR o Intercept X Advanced with EDR for Server. No lo verá si tiene una licencia deManaged Threat Response (MTR) y está viendo detalles de una amenaza generada por MTR.

Escanear el dispositivo: puede utilizar este enlace para escanear el dispositivo afectado a fin dedetectar amenazas.

Analizar

La ficha Analizar muestra la cadena de eventos de la infección de malware.

No verá esto si tiene una licencia de Sophos Managed Threat Response (MTR) y está viendodetalles de una amenaza generada por MTR.

El menú de la derecha de la ficha le permite elegir la cantidad de información que aparecerá:

• Mostrar ruta directa: muestra la cadena de elementos directamente implicados entre la causaraíz y el elemento en el que se ha detectado la infección (la "señal").

• Mostrar gráfico completo: muestra la causa raíz, la señal, los artefactos afectados (aplicaciones,archivos, claves), la ruta de la infección (indicada con flechas) y cómo se ha producido la infección.Esta es la opción predeterminada.

Para mostrar u ocultar los distintos tipos de artefacto, utilice las casillas de verificación de encimadel diagrama.

Para ver los detalles de un elemento, haga clic en él. Al hacerlo se abre un panel de detalles a laderecha del diagrama.



Registro de caso

La ficha Registro de caso muestra el historial del caso de amenaza, desde su creación por partede Sophos o el administrador. Puede publicar comentarios para registrar las acciones que se hanrealizado y otra información relevante. Si tiene una licencia de Sophos Managed Threat Response(MTR), la ficha también puede incluir comentarios publicados por el equipo de MTR.

Aislar este dispositivo

Esta opción está disponible si tiene Intercept X Advanced with EDR o Intercept X Advanced withEDR for Server. No está disponible si tiene una licencia de Sophos Managed Threat Response(MTR) y está viendo los detalles de una amenaza generada por MTR.

En Siguientes pasos sugeridos, puede aislar el dispositivo mientras investiga posibles amenazas.

Puede seguir gestionando el dispositivo desde Sophos Central. También puede seguir enviandoarchivos desde el dispositivo aislado a Sophos para que los analicen.

Además, puede permitir que los dispositivos aislados se comuniquen con otros dispositivos encircunstancias limitadas. Consulte Exclusiones de escaneado.

Puede quitar el dispositivo del aislamiento en cualquier momento. Verá la opción Quitar deaislamiento en Siguientes pasos sugeridos.

NotaSi el dispositivo ya se ha aislado automáticamente a sí mismo, no verá la opción Aislar estedispositivo. Ver Aislamiento de dispositivo.

Información más reciente sobre amenazas

Cuando haga clic en un elemento afectado, verá un panel de detalles. Si alguien ya ha enviado elarchivo a Sophos, verá la información más reciente sobre amenazas.

Si el archivo no ha sido enviado, o si desea ver si hay información actualizada, haga clic enSolicitar información más reciente.

Muestra la información más reciente sobre la reputación y la prevalencia globales del archivo.

Si tiene Intercept X Advanced with EDR o Intercept X Advanced with EDR for Server, verá másinformación en las fichas que se indican a continuación.

Detalles del proceso

Esta ficha muestra una evaluación de la reputación del artículo y le indica si necesita investigar.

Resumen informe

Esta ficha muestra la reputación y prevalencia del archivo. También resume los resultados denuestro análisis de Machine Learning, que indican lo sospechoso que es el archivo.

Análisis de Machine Learning

Esto muestra los resultados completos de nuestro análisis de Machine Learning.



Buscar


Haga clic en Buscar para buscar más ejemplos del archivo afectado en la red.

También puede realizar búsquedas desde la página Búsquedas de amenazas o desde el panelBúsqueda de amenazas del panel de control.

Limpiar y bloquear


Si un archivo es sospechoso, puede usar Limpiar y bloquear.

Esta opción limpia el archivo (y los archivos y claves asociados) en cualquier dispositivo en el quese encuentre. También lo añade a una lista de bloqueo para que no pueda ejecutarse en otrosdispositivos.

Lista de artefactos

Es una lista que aparece debajo del diagrama del ataque de malware. Muestra todos los elementosafectados; por ejemplo, archivos de la empresa, procesos, claves de registro o direcciones IP.

Para exportar un archivo de valores separados por comas (CSV) con una lista de los artefactosafectados, haga clic en Exportar a un archivo de valores separados por coma (CSV) en la partesuperior derecha de la ficha.

La lista muestra:

• Nombre: haga clic en el nombre para obtener más información en un panel de detalles.

• Tipo: tipo de artefacto, como un archivo corporativo o una clave de registro.

• Reputación

• Tiempo registrado: fecha y hora en que se ha accedido a un proceso.

• Interacciones

Crear instantánea forense

Puede crear una "instantánea forense" de los datos del dispositivo.

La instantánea recibe datos de un registro de Sophos de la actividad del dispositivo y lo guardaen ese dispositivo (o en el bucket de S3 de AWS que especifique). Luego puede realizar su propioanálisis.

Necesitará un conversor (que proporciona Sophos) para leer los datos.



NotaPuede configurar cuántos datos desea en sus instantáneas y dónde quiere colocarlas. Para ello,vaya a Configuración global > Instantáneas forenses. Es posible que estas opciones aún noestén disponibles para todos los clientes.

Para crear una instantánea:

1. Vaya a la ficha Analizar de un caso de amenaza.

También puede abrir la ficha Estado en la página de detalles del dispositivo.

2. Haga clic en Crear instantánea forense.

3. Siga los pasos que se describen en el artículo 132861 de la base de conocimiento.

Conceptos relacionadosResultados del análisis de Machine Learning (página 26)Puede enviar archivos a Sophos para realizar un análisis detallado de Machine Learning.

Cómo investigar y limpiar amenazas (página 20)Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

Elementos bloqueados (página 236)Búsquedas de amenazas (página 27)Puede buscar las posibles amenazas presentes en la red.

Dispositivos aislados por el administrador (página 126)Instantáneas forenses (página 127)Las instantáneas forenses extraen datos de un registro de Sophos de la actividad de un ordenadorpara que pueda realizar su propio análisis.

Información relacionadaExclusiones de escaneado (página 183)Aislamiento de dispositivos (página 183)Artículo de la base de conocimiento 132861

Resultados del análisis de Machine Learning

Puede enviar archivos a Sophos para realizar un análisis detallado de Machine Learning.

Para enviar archivos, vaya a Casos de amenazas, abra el caso de amenaza correspondiente,seleccione el archivo y haga clic en Solicitar información más reciente.

La información más reciente se muestra en varias fichas.

Análisis de Machine Learning

En la ficha Análisis de Machine Learning, se muestran los resultados siguientes.

Atributos

Comparamos los atributos de su archivo con millones de archivos benignos y maliciosos conocidos.Los resultados pueden ayudarle a establecer las probabilidades de que su archivo sea benigno omalicioso.

Similaridad del código

Procesamos su archivo con motores de Machine Learning que determinan si coincide con algúnarchivo que se reconoce como benigno o malicioso. Mostraremos las coincidencias más cercanas.




Cuantos más archivos maliciosos coincidan y cuanto más se acerque a ellos, más sospechoso serásu archivo.

La lista que se muestra aquí solo incluye las coincidencias más cercanas. El resto de coincidenciascontribuyen al resultado y pueden afectar la clasificación del archivo.

Archivo/ruta

Comparamos la ruta de su archivo con archivos benignos y maliciosos conocidos. Si la ruta delarchivo se parece más a la ruta de archivos que se sabe que son maliciosos, es más probable quesea sospechoso.

La ruta y el nombre de archivo que se utilizan para la comparación son los suyos (si ha solicitadola información más reciente) o los del último cliente que nos envió un archivo. Ocultamos lainformación confidencial que aparece en la ruta de otros clientes.

Propiedades del archivo

La ficha Propiedades del archivo enumera las propiedades clave del archivo.

Desglose de archivo

La ficha Desglose de archivo muestra los detalles de certificados, secciones de archivos PE eimportaciones PE.

3.3.2 Búsquedas de amenazas

Puede buscar las posibles amenazas presentes en la red.


Puede buscar hash de archivo SHA-256, nombres de archivo, direcciones IP o dominios (completoso parciales) o líneas de comando. Normalmente, esta información de búsqueda se obtiene de otrosproductos de seguridad o servicios de notificación de amenazas.

Las búsquedas de amenazas encuentran lo siguiente:

• Archivos portables ejecutables (como aplicaciones, bibliotecas, archivos de sistema) con unareputación incierta o mala.

• Direcciones IP o dominios a los que se han conectado esos archivos.

• Herramientas de administración que se han ejecutado. Estas herramientas pueden ser malutilizadas.

NotaTambién puede ejecutar una búsqueda de amenazas desde un caso de amenaza. Así seencuentran más ejemplos de las posibles amenazas identificadas en ese caso.

NotaEs posible que las búsquedas de líneas de comandos y herramientas de administración no esténdisponibles para todos los clientes todavía.



Las búsquedas de amenazas pueden guardarse. Volver a ejecutar búsquedas le permite comprobarsi las amenazas potenciales se han propagado a más dispositivos.

Nueva búsqueda de amenazas

Para buscar posibles amenazas:

1. En Nueva búsqueda de amenazas, especifique hash de archivo SHA-256, nombres de archivo,direcciones IP o dominios (completos o parciales) o líneas de comandos.

2. Haga clic en Buscar.

3. Revise los resultados en la página Resultados de la búsqueda de amenazas. Desde ahí tambiénpuede tomar medidas para aislar dispositivos y limpiar amenazas.

4. Seleccione la búsqueda y haga clic en Guardar búsqueda si la quiere volver a ejecutar en otromomento.

Búsquedas guardadas

Volver a ejecutar búsquedas de amenazas guardadas le permite:

• Comprobar si las posibles amenazas se han extendido a otros dispositivos.

• Comprobar el estado más reciente de las amenazas en cada dispositivo.

Para volver a ejecutar una búsqueda, haga clic en la lista Búsquedas guardadas.

Conceptos relacionadosResultados de la búsqueda de amenazas (página 28)Al ejecutar una búsqueda de amenazas, verá una lista de dispositivos en los que se han detectadoamenazas o archivos sospechosos.

Casos de amenazas (página 20)Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

Resultados de la búsqueda de amenazas

Al ejecutar una búsqueda de amenazas, verá una lista de dispositivos en los que se han detectadoamenazas o archivos sospechosos.

Las búsquedas de amenazas solo están disponibles si tiene Intercept X Advanced with EDR oIntercept X Advanced with EDR for Server.

Haga clic en Ver más datos junto a un dispositivo. Se abrirá una página donde puede ver elhistorial de cada elemento.

En la página de detalles, también puede realizar estas acciones (en función del elementodetectado):

• Aislar el dispositivo.

• Limpiar y bloquear aplicaciones.

• Generar un nuevo caso de amenaza (si procede) o ver uno que ya exista.

Si tiene varios dispositivos afectados, otra opción es aislarlos todos a la vez en la página principalde resultados.



Último estado

La columna Último estado muestra estos eventos para archivos sospechosos:

Descubierto: La búsqueda ha detectado el archivo pero no una amenaza en él.

Detectado: La búsqueda ha detectado una amenaza en el archivo.

Añadido: El archivo se ha añadido al dispositivo.

Ejecutado: Se ha ejecutado el archivo.

Reputación actualizada: Sophos ha actualizado el nivel de reputación del archivo o unadministrador de Sophos Central ha permitido o bloqueado el archivo (que actualiza su reputación"local").

Ruta actualizada: Se ha movido el archivo.

Eliminado: El archivo se ha eliminado del dispositivo.

NotaSe muestran diferentes detalles para las conexiones de red y las herramientas de administración.

Aislar el dispositivo

Para aislar el dispositivo, selecciónelo y haga clic en Aislar.

Puede permitir que los dispositivos aislados se comuniquen con otros dispositivos en circunstanciaslimitadas. Puede hacerlo en las políticas de protección contra amenazas para endpoints yservidores.

Limpiar y bloquear

Para revisar, limpiar y bloquear una amenaza:

1. Haga clic en Ver más datos.

2. Revise los detalles de la amenaza.

Para tratar una aplicación sospechosa:

a) Si el dispositivo aun no está aislado, haga clic en Aislar.

b) Para limpiar y bloquear la aplicación, haga clic en Acciones > Limpiar y bloquear.

Esto limpia la aplicación sospechosa en los dispositivos en los que se ha encontrado y labloquea en todos los dispositivos.

NotaTambién puede limpiar y bloquear aplicaciones añadiéndolas a la lista Elementosbloqueados.

Puede sacar dispositivos del aislamiento después de haber investigado y tomado medidas.



Conceptos relacionadosElementos bloqueados (página 236)Dispositivos aislados por el administrador (página 126)

3.3.3 Indicadores de amenazas

Los indicadores de amenazas destacan archivos sospechosos que Sophos no ha bloqueado, pero quequizá desee investigar.

Puede revisar los indicadores de amenazas y tomar las medidas que se indican a continuación:

1. Vaya a Descripción general > Centro de análisis de amenazas > Indicadores de amenazas.

2. En la ficha Elementos sospechosos, se ve una lista de archivos. Aquí se muestra lo siguiente:

• Nivel de Desconfianza: La probabilidad de que el archivo sea malicioso.

• Ejecutado: Si se ha ejecutado el archivo.

• Dispositivos afectados: El número de dispositivos en los que se ha visto el archivo.

3. Para obtener más detalles sobre un archivo, haga clic en Ver detalles (a la derecha de la tabla).Además, puede:

• Hacer clic en el hash SHA 256 del archivo para buscar más ejemplos del archivo en la red.

• Hacer clic en Generar caso de amenaza para realizar un análisis más profundo del historialdel archivo.

4. En el panel de detalles, para asegurarse de que dispone de los últimos análisis de Sophos, hagaclic en Solicitar información más reciente.

Esta opción envía el archivo a Sophos para analizarlo. Si tenemos nueva información sobre lareputación y prevalencia del archivo, la verá aquí en unos minutos.

5. Cuando haya terminado el análisis, puede tomar medidas.

• Si se cree que un archivo es malicioso, haga clic en Limpiar y bloquear.

• Si no cree que el archivo sea malicioso y no desea tomar más medidas, haga clic enDescartar. El archivo ya no se mostrará en la lista de indicadores de amenazas.

Limpiar y bloquear evita que se acceda a las aplicaciones sospechosas o que se ejecutenen los dispositivos. El archivo se añade a la lista Elementos bloqueados (en la Configuraciónglobal).

Las medidas que ha tomado se muestran en la ficha Acciones realizadas.

Conceptos relacionadosBúsquedas de amenazas (página 27)Puede buscar las posibles amenazas presentes en la red.

Casos de amenazas (página 20)Los casos de amenazas le permiten investigar y limpiar los ataques de malware.

3.4 Registros e informesLa página Registros e informes enumera los informes que puede generar sobre las funciones deseguridad de Sophos Central.

La página también muestra los Informes guardados, si los hay. Se trata de informespersonalizados que usted u otros administradores de esta cuenta han guardado.



Para obtener más información sobre los registros, consulte Registros.

Para saber cómo funcionan los informes y cómo puede personalizarlos, guardarlos y programarlos,consulte Informes.

Conceptos relacionadosRegistros (página 31)Informes (página 49)

3.4.1 Registros

Los registros que puede ver dependen de su licencia.

Están disponibles los siguientes registros:

Eventos. Todos los eventos en sus dispositivos; consulte Informe de eventos.

Malware y PUA bloqueados. Versión simplificada del registro Eventos. Muestra el malware y lasaplicaciones no deseadas (PUA) que hemos detectado y bloqueado.

Registros de auditoría. Registro de todas las actividades supervisadas por Sophos Central.Podrá acceder a este registro en función del rol de administrador que tenga; consulte Registros deauditoría.

Prevención de pérdida de datos. Todos los eventos activados por las reglas de prevención depérdida de datos para los ordenadores o servidores. Consulte Registro de eventos de prevención depérdida de datos.

Historial de mensajes. Mensajes de correo electrónico procesados por Email Security para susbuzones protegidos. Consulte Informe del historial de mensajes.

Registros de actividad de puerta de enlace. Todos los registros de actividad de red asociados asu protección Web Gateway; consulte Actividad de puerta de enlace.

Conceptos relacionadosInforme de eventos (página 31)Registros de auditoría (página 44)Puede consultar y exportar un registro de todas las actividades que monitoriza Sophos Centralmediante los informes de registro de auditoría.

Registro de eventos de prevención de pérdida de datos (página 46)Informe del historial de mensajes (página 47)El informe Historial de mensajes detalla los mensajes de correo electrónico procesados por EmailGateway para sus buzones protegidos.

Actividad de pasarela (página 48)

Informe de eventos

La página Informe de eventos proporciona información sobre todos los eventos en susdispositivos.

Los eventos que requieren alguna medida también se muestran en la página Alertas, dónde podrátratarlos.

Algunos eventos provocan alertas en el mismo momento en el que se producen. Otros "ascienden"a alertas más tarde (por ejemplo, si un ordenador no es conforme con la política durante dos horas).

Para obtener información acerca de los diferentes tipos de eventos, consulte Tipos de eventos.



Para obtener información sobre lo que debe hacer ante las amenazas, consulte Qué hacer con lasamenazas.

Malware y PUA bloqueados. Versión simplificada del registro Eventos. Muestra el malware y lasaplicaciones no deseadas (PUA) que hemos detectado y bloqueado.

Configurar el informe de eventos

Puede utilizar las opciones siguientes para configurar el informe:

Buscar: Si desea ver los eventos para un determinado usuario, dispositivo o nombre de amenaza(por ejemplo, "Troj/Agent-AJWL"), introduzca el nombre del usuario, dispositivo o amenaza en elcuadro de búsqueda.

NotaEn esta versión de Sophos Central no puede buscar eventos para un nombre de archivo, porejemplo, un archivo ejecutable mencionado en el evento.

Elegir periodo: Utilice el cuadro para seleccionar el período de tiempo para el que desea ver loseventos. Si selecciona Personalizado, utilice los campos De y A para seleccionar las fechas entrelas que desea ver eventos. Puede ver eventos que ocurrieron en los últimos 90 días o menos.

Tipo de evento y cantidad: La tabla en la izquierda de la página muestra el contador paracada tipo de evento dentro del rango de tiempo especificado. También le permite mostrar sólodeterminadas categorías o tipos de evento. Para ello, active o desactive las casillas de verificaciónsituadas junto a las categorías de tipo de evento, o ampliando las categorías y seleccionando odeseleccionando las casillas de verificación junto a los tipos de eventos. Por defecto, se muestrantodos los eventos.

Actualizar: Haga clic aquí para mostrar cualquier evento nuevo notificado desde que se abrió oactualizó la página por última vez.

Gráfico: El gráfico le muestra de un vistazo el número de eventos que se produjeron por día.

Lista de eventos

La lista de eventos proporciona la siguiente información sobre un evento:

• Gravedad: Gravedad del evento

• Fecha: Hora y fecha en las que se produjo el evento

• Evento: Tipo de evento

• Usuario: Fuente que causó el evento, por ejemplo, el nombre de un usuario o sistema de

• Grupos de usuarios: Grupo del que es miembro la fuente que ha causado el evento

• Dispositivo: Dispositivo que causó el evento

• Grupo de dispositivos: Grupo del que es miembro el dispositivo que ha causado el evento

Guardar como informe personalizado permite guardar la configuración del informe en la tablaI

Documents

Sophos Central Admindocs.sophos.com/central/Customer/help/es-es/PDF/sc_customer_h.pdf · Consulte Informe Resumen de mensajes (página 49). Control web de estaciones y servidores