Response 4.5 para appliances virtuales Guía de instalación ...

Guía de instalación de Symantec™ Endpoint Detection andResponse 4.5 para appliances virtuales

Guía de instalación de Symantec™ Endpoint Detection and Response 4.5 para

appliances virtuales

Table of Contents

Declaración de copyright.................................................................................................................4Acerca de Symantec Endpoint Detection and Response................................................................5

Acerca de Symantec Endpoint Detection and Response............................................................................................5Acerca de la instalación del appliance virtual................................................................................. 7

Acerca de los modos de funcionamiento de los appliances virtuales...................................................................... 7Información importante sobre el appliance virtual de Symantec EDR...................................................................... 7Antes de instalar el appliance virtual............................................................................................................................ 7Acerca de los adaptadores de red virtuales.................................................................................................................8

Requisitos del sistema........................................................................................................................ 9Requisitos del sistema para el appliance virtual......................................................................................................... 9Requisitos del navegador para EDR appliance console............................................................................................. 9Requisitos del sistema para la integración de Symantec Endpoint Protection...................................................... 10

Planificación para la instalación...................................................................................................... 11Lista de comprobación previa a la instalación para los appliances virtuales........................................................ 11Hoja de cálculo de instalación del appliance virtual................................................................................................. 12Flujo de trabajo de instalación del appliance virtual.................................................................................................16Configuración de conmutadores virtuales..................................................................................................................17Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red.............................. 22Acerca de cómo seleccionar un analizador de red....................................................................................................25Acerca de las configuraciones de red y las conexiones de puertos....................................................................... 25Dónde colocar el appliance en su red para obtener mejores resultados................................................................27Puertos necesarios del firewall.................................................................................................................................... 31Recomendaciones de proxy......................................................................................................................................... 36Matriz de compatibilidad de plataformas de Symantec EDR.................................................................................... 36Cómo obtener un archivo de licencia de Symantec EDR e instalarlo..................................................................... 38

Instalar un appliance virtual............................................................................................................. 40Implementación de la plantilla OVA.............................................................................................................................40Cómo reservar los recursos necesarios para el appliance virtual...........................................................................41Extensión del tamaño del disco duro virtual..............................................................................................................42Ejecución de la secuencia de arranque para configurar el appliance..................................................................... 43Comando sshconfig....................................................................................................................................................... 46Cómo ejecutar la herramienta extend_storage...........................................................................................................46Comando status_check................................................................................................................................................. 47Reinstalar un appliance virtual.....................................................................................................................................48

Configuración de Symantec EDR.....................................................................................................49

2



Ejecución del Asistente de configuración.................................................................................................................. 49Cómo completar las tareas de configuración.............................................................................................................50Cómo acceder a EDR appliance console....................................................................................................................52Prueba de Symantec EDR para la supervisión y el bloqueo correctos...................................................................53

Migración de datos durante la actualización a ATP v.3.1..............................................................54Migración de datos durante la actualización a Advanced Threat Protection v.3.1................................................. 54Acerca del proceso de migración de datos................................................................................................................54

3



Declaración de copyrightDeclaración de copyright

Broadcom, el logotipo de Pulse, Connecting everything y Symantec se encuentran entre las marcas registradas deBroadcom.

Copyright © 2020 Broadcom. Todos los derechos reservados.

El término \"Broadcom\" se refiere a Broadcom Inc. y/o sus subsidiarias.Para obtener más información, visitewww.broadcom.com.

Broadcom se reserva el derecho de realizar cambios sin previo aviso a los productos o datos en este documento paramejorar la confiabilidad, el funcionamiento o el diseño. Se cree que la información proporcionada por Broadcom esprecisa y confiable. Sin embargo, Broadcom no asume ninguna responsabilidad derivada de la aplicación o el uso deesta información, ni de la aplicación o el uso de ningún producto o circuito aquí descrito, ni transmite ninguna licenciabajo sus derechos de patente ni los derechos de otros.

4

http://www.broadcom.com



Acerca de Symantec Endpoint Detection and Response

Acerca de Symantec Endpoint Detection and ResponseSymantec Endpoint Detection and Response realiza las tareas de seguridad críticas que detectan las amenazas a su redy brindan protección y respuesta contra ellas. Symantec EDR está compuesto por los siguientes puntos de control:

Sensor de red de SymantecEDR

Procesa el flujo de la red en tiempo real a través de todos los puertos y protocolos de Internet y loenvía a través de diversos filtros y motores de detección. Symantec EDR puede detectar los eventosen los endpoints sin supervisar a medida que el tráfico pasa a través del analizador. Puesto queSymantec EDR no tiene información del agente de SEP, Symantec EDR no puede proporcionar todala información sobre el endpoint. Por ejemplo, la información incluye el nombre de usuario, el últimoregistro o el grupo de SEPM.

Symantec EDR Recopila la información mediante el proxy de las comunicaciones entre los clientes de SymantecEndpoint Protection y Symantec, y aprovecha la función Endpoint Detection and Response EndpointCommunications Channel de SEP.Acerca de Endpoint Communications Channel (ECC)

Symantec Email ThreatDetection and Response

Se integra con Symantec Email Security.cloud para detectar los ataques que ingresan a su organizacióna través del correo electrónico.

Symantec EDR usa Synapse para establecer una correlación entre datos de eventos de red con datos de eventosde correo electrónico, datos de eventos web y datos de eventos de endpoint. El motor de correlación de Synapsebusca coincidencias de forma automática con SEP, Email Security.cloud, Web Security.cloud y Symantec EDR parareducir el volumen de alertas de seguridad. Cuando se detectan incidentes, se establece una correlación con otrosincidentes detectados en su red para mostrar los patrones generales de ataque y para dar prioridad a las amenazas mássignificativas.

Symantec EDR emplea las tecnologías de detección siguientes:

Vantage Vantage es un motor de detección basado en firmas que encuentra las amenazas en el flujo de la red.Insight Insight accede a la base de datos de reputación más grande del mundo y tiene información de

reputación sobre más de 8 mil millones de archivos. Insight es un servicio de Symantec de solicitud dereputación para realizar consultas de reputación de Insight. Este servicio recopila la información sobrelos archivos ejecutables de Windows que se observan en los endpoints.

Mobile Insight Mobile Insight realiza análisis para las aplicaciones Android similares a los que Insight hace para losarchivos ejecutables de Windows. Además de abordar la detección de software malicioso, Mobile Insightdetecta problemas de privacidad y rendimiento en aplicaciones móviles.

Motor antivirus El motor antivirus es una tecnología basada en firmas que detecta software malicioso.Sandboxing (Aislamiento deprocesos)

Las tecnologías de aislamiento de procesos de Symantec desactivan archivos en un entorno de espacioaislado virtual, analizan los resultados e informan cada paso del comportamiento observado. Losespacios aislados usan la tecnología de aprendizaje automático para comparar los resultados con losmalos atributos conocidos. Luego, correlacionan sus datos y los datos del mundo real proporcionadospor Symantec Global Intelligence Network para determinar si los archivos son maliciosos.

Listas de denegación ylistas de aceptación

Las fuentes de la lista de denegación y de la lista de aceptación globales de Symantec, que seactualizan en los appliances de Symantec ATP regularmente, aceleran la detección y optimizan elrendimiento. Es posible también crear listas de denegación y listas de aceptación personalizadas que semantienen con Symantec EDR.

5



SONAR Symantec Endpoint Protection incluye la tecnología SONAR (del inglés Symantec Online Networkfor Advanced Response: Red en línea de Symantec para respuesta avanzada) para la deteccióny la reparación del comportamiento de proceso. Sin embargo, SEP no ayuda a comprender estosdetalles. Al integrar Symantec EDR y SEP, Symantec EDR puede proporcionar información sobre lasdetecciones de SONAR. SONAR detecta los cambios del sistema que han ocurrido en sus endpointsadministrados, el orden en que ocurrieron y los atributos de archivo relacionados. Esta información le dala mayor visibilidad de la actividad que ocurre en su entorno.SONAR usa un sistema heurístico que aprovecha la red de inteligencia en línea de Symantec consupervisión local proactiva en endpoints de SEP para detectar amenazas emergentes. SONAR ademásdetecta cambios o comportamientos en los endpoints que se deben supervisar. SONAR no hacedetecciones sobre el tipo de aplicación, sino sobre cómo un proceso se comporta.Acerca de analizar los comportamientos de proceso que ocurrieron en los endpoints

Clasificador de archivossospechosos

Symantec EDR usa un clasificador de archivos para analizar los archivos con estados desconocidos. Elclasificador de archivos divide los archivos por sus atributos para determinar si son buenos o maliciosos.El clasificador usa los árboles de decisión que se entrenan con millones de archivos.Esta tecnología usa aprendizaje automático en vez de desactivación de espacio aislado o firmas.

Cómo Symantec EDR crea y prioriza incidentes

Cómo Symantec EDR se ajusta a su marco de seguridad cibernética

6



Acerca de la instalación del appliance virtual

Acerca de los modos de funcionamiento de los appliances virtualesTodos los modos de funcionamiento que se admiten en el appliance físico se admiten en el appliance virtual. Sinembargo, el appliance virtual no tiene un modo de omisión.Si se implementa un appliance virtual como analizador, elmodo preferido es el de Punto de conexión de red.

Para el appliance virtual en un modo de funcionamiento de Bloqueo inline o Supervisión inline, el tráfico de red sedetiene cuando se apaga la máquina virtual. El tráfico de red también se detiene cuando se desactiva el equipo hostfísico.Symantec EDR no recomienda el modo inline para el appliance virtual. Pero puede usar este modo para propósitosde prueba. Si implementa un appliance virtual en el modo inline en un entorno de producción, se corre riesgo potencialporque no se puede omitir.

Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones de red

Información importante sobre el appliance virtual de Symantec EDR

Información importante sobre el appliance virtual de Symantec EDR• Symantec EDR puede requerir una gran cantidad de ancho de banda de red y potencia de procesamiento. Actúe con

cautela al considerar compartir recursos virtuales entre Symantec EDR y cualquier otra máquina virtual.• Es fundamental reservar los recursos necesarios antes de iniciar el equipo VMware por primera vez.

Cómo reservar los recursos necesarios para el appliance virtualExtensión del tamaño del disco duro virtual

• Symantec recomienda no implementar un appliance virtual como analizador si se intenta operar el analizador en losmodos Bloqueo inline o Supervisión inline. Los appliances físicos tienen una NIC de omisión que permite tráfico si elsistema está desconectado. Los appliances virtuales no tienen esta NIC de omisión.Acerca de los modos de funcionamiento de los appliances virtuales

• Si su host pierde la sincronización con su servidor de NTP, es necesario usar el reloj virtual de VMware, que es el relojfísico del equipo host. Configure el servidor del NTP en el cliente de VMware a UTC desde Configuration > Software> Time Configuration > Properties (Configuración > Software > Configuración de hora > Propiedades).

Antes de instalar el appliance virtualAl ejecutar Symantec EDR en un entorno virtual, es importante configurar correctamente la máquina virtual en la cualse ejecuta su appliance de Symantec EDR. A continuación, se describen algunas consideraciones importantes sobre laconfiguración:

Es imperativo que su equipo virtual tenga los recursos apropiados asignados antes de encender la máquina virtual.Cómo reservar los recursos necesarios para el appliance virtual

Si desea usar Endpoint Communications Channel, deberá extender el espacio libre en disco. Esto se debe a que EndpointActivity Recorder recopila datos de sus endpoints que luego se almacenan en la base de datos de Symantec EDR. Porlo tanto, Symantec EDR requiere más recursos del sistema y espacio de almacenamiento. De lo contrario, experimentaráproblemas de espacio libre en disco.Extensión del tamaño del disco duro virtual

7



Use el tamaño de bloque apropiado, dependiendo de la versión de VMFS de su sistema. Si el tamaño de bloque no seconfigura correctamente, la implementación de OVA puede fallar. El mensaje de error indica que la capacidad de disco delequipo es mayor que la capacidad disponible en el almacén de datos.Requisitos del sistema para el appliance virtualAl implementar un analizador de red en una máquina virtual y asignar el puerto WAN a una NIC física a través de unvSwitch, cambie la configuración del vSwitch para admitir todas las Id. de VLAN en las propiedades del grupo del puerto. Sinesta configuración, Symantec EDR no puede capturar cierto tráfico de red.Para máquinas virtuales orientadas a funcionar como analizadores de red de Symantec EDR, habilite el modo promiscuo enlos conmutadores virtuales WAN y LAN. Esta configuración permite que Symantec EDR para analice todos los de tráfico dered.Configuración de conmutadores virtuales

Flujo de trabajo de instalación del appliance virtual

Acerca de los adaptadores de red virtualesCuando instala un appliance virtual en un servidor ESXi, debe asignar los adaptadores de red virtuales que estánincluidos en la plantilla OVA a un puerto físico en el servidor ESXi. La plantilla OVA incluye los siguientes adaptadores dered virtuales:

Adaptador Descripción

Management (Administración) Requerido para todos los appliances en la conexión de administraciónMonitor1_WAN • Establece una conexión de supervisión cuando el appliance opera en el modo de punto de

conexión• Establece la conexión WAN cuando el appliance opera en el modo de bloqueo inline o

supervisión inline

Monitor2_LAN • Establece una segunda conexión de supervisión cuando el appliance opera en el modo depunto de conexión

• Establece la conexión LAN cuando el appliance opera en el modo de bloqueo inline osupervisión inline

Haga clic en el siguiente vínculo para obtener más información sobre los conmutadores virtuales que necesitará paraconectar cada adaptador de red virtual a un puerto físico en el servidor ESXi.

Configuración de conmutadores virtuales

Implementación de la plantilla OVA

8



Requisitos del sistema

Requisitos del sistema para el appliance virtualIMPORTANTEs imperativo que su equipo virtual tenga los recursos apropiados asignados antes de encender lamáquina virtual. De lo contrario, experimentará errores de falta de espacio libre en disco o alto uso de lamemoria. Además, la falta de núcleos de CPU podría provocar errores de elevación de servicios durantela secuencia de arranque y/o la imposibilidad de abrir EDR appliance console. Cómo reservar los recursosnecesarios para el dispositivo virtual | Extensión del tamaño del disco duro virtual | Flujo de trabajo deinstalación del dispositivo virtual

IMPORTANTEs imperativo que su equipo virtual tenga los recursos apropiados asignados antes de encender lamáquina virtual. De lo contrario, experimentará errores de falta de espacio libre en disco o alto uso de lamemoria. Además, la falta de núcleos de CPU podría provocar errores de elevación de servicios durante lasecuencia de arranque y/o la imposibilidad de abrir EDR appliance console. Para obtener más información,consulte la Guía de instalación de Symantec Endpoint Detection and Response para dispositivos virtuales.

Requisitos del sistema para la instalación de un dispositivo virtual enumera los requisitos del sistema para el dispositivovirtual. Estos requisitos varían si se usa la función Endpoint Activity Recorder de Symantec EDR. Endpoint ActivityRecorder recopila datos de sus endpoints que luego se almacenan en la base de datos de Symantec EDR. Por lo tanto,Symantec EDR requiere más recursos del sistema y espacio de almacenamiento cuando se habilita Endpoint ActivityRecorder.

Matriz de compatibilidad de plataformas de Symantec EDR

Table 1: Requisitos del sistema para la instalación de un appliance virtual

RequisitoMínimo por máquina virtual parael entorno de producción sin la

función Endpoint Activity Recorder

Mínimo por máquina virtual parael entorno de producción con la

función Endpoint Activity RecorderEspacio libre en disco 500 GB 1,5 TB (1 TB disco duro, además del disco duro de

500 GB de la máquina virtual existente)CPU 12 núcleos 12 núcleosMemoria 48 GB 48 GBVMware VMware ESXi versión 6.0 U2 o posterior

Consulte su documentación de VMware para conocer los requisitos del sistema de VMware y laconfiguración de las máquinas virtuales.

Los requisitos adicionales son los siguientes:

• Use el tamaño de bloque apropiado, dependiendo de la versión de VMFS de su sistema. Si su servidor de ESXi estáutilizando VMFS-2, establezca el tamaño de bloque en 4 MB, como mínimo.

• Si está utilizando un sistema de archivos posterior a VMFS-2, configure el tamaño de bloque en 8 MB, como mínimo.

Requisitos del navegador para EDR appliance consoleLa sección Requisitos del navegador para la EDR appliance console muestra los navegadores web compatibles conla EDR appliance console. JavaScript debe estar habilitado en el navegador y las cookies deben estar habilitadas. Laresolución mínima para visualizar EDR appliance console es 1280 x 1024.

9



Table 2: Requisitos del navegador para EDR appliance console

Navegador Versión

Microsoft Internet Explorer 11 o posterior

Note: No se admiten los filtros rápidos.

Mozilla Firefox 81.0 o posterior (64 bits)Google Chrome 85.0.4183.121 o posterior (64 bits)Microsoft Edge Versión 85.0.564.63 o posterior (64 bits)Safari No se admiteOpera No se admite

Requisitos del sistema para la integración de Symantec EndpointProtectionRequisitos de la versión de Symantec Endpoint Protection

Symantec Endpoint Detection and Response se puede integrar con Symantec™ Endpoint Protection para mejorar lainformación de eventos y obtener la función Endpoint Communications Channel (ECC). Symantec EDR tiene ciertosrequisitos de la versión basados en los diversos componentes de SEP.

La versión mínima de SEPM es 12.1 RU6 o posterior. Symantec EDR se puede conectar a varios sitios de SEP con unaconexión por sitio de SEP, hasta un total de diez conexiones a hosts de SEPM.

Symantec EDR puede administrar los endpoints del cliente que ejecutan SEP versión 12.1 RU 6 MP3 o posterior con lasfunciones completas de ECC. Sin embargo, los clientes deben ejecutar SEP 14 o posterior para aprovechar las funcionesde ECC 2.0.

Los endpoints del cliente que ejecutan versiones anteriores a SEP 12.1 RU5 no se admiten. Cierta funcionalidad estálimitada para los clientes que ejecutan versiones de SEP entre 12.1 RU5 y 12.1 RU6 MP3. En la documentación deSymantec EDR se describe cualquier límite en cuanto a las funciones según la versión del cliente SEP.

Versiones del cliente de SEP y funciones admitidas de Symantec EDR

Requisitos de la base de datos del recopilador de registros de Synapse

SEPM 14.3 RU1 o posterior utiliza Microsoft SQL Express como base de datos para la recopilación deregistros.Symantec EDR puede acceder a la base de datos sin ningún requisito especial del sistema de host.

SEPM 14.3 MP1 o versiones anteriores son compatibles con la base de datos de MS SQL Server o con una base dedatos integrada.Cuando SEPM utiliza una base de datos integrada, Symantec EDR utiliza un recopilador de registrosen el host de SEPM. Este recopilador de registros requiere que el host de SEPM se esté ejecutando en uno de lossiguientes sistemas operativos:

• Windows 7 (de 64 bits solamente)• Windows 8 (de 64 bits solamente)• Windows Server 2008• Windows Server 2012• Windows Server 2012 R2 o posterior (recomendado)

Consulte la documentación deSymantec Endpoint Protection para conocer los requisitos del sistema de SEPM.

Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Instalación del recopilador de registros de Synapse

10



Planificación para la instalación

Lista de comprobación previa a la instalación para los appliancesvirtualesPaso 1 del Flujo de trabajo de instalación del appliance virtual de Symantec EDR: Flujo de trabajo previo al comienzo.

La instalación del appliance de una máquina virtual asume que un administrador de la máquina virtual realiza lastareas necesarias para configurar e implementar la imagen de OVA mediante la ejecución de la secuencia de arranque.Después de la secuencia de arranque, un administrador o usuario de Symantec EDR realiza las tareas de instalaciónrestantes.


Administrador de Symantec EDR | Administrador de la máquina virtual

Table 3: Administrador de Symantec EDR

Tarea Descripción

Asegúrese de que su entorno tenga losrecursos necesarios.

Coordine con su administrador de máquina virtual para asegurarse de que el entornodel appliance de la máquina virtual pueda cumplir los requisitos para admitir lasfunciones de Symantec EDR.Matriz de compatibilidad de plataformas de Symantec EDRRequisitos del sistema para el appliance virtual

Decida el rol y el modo de funcionamiento. Como la asignación del conmutador virtual y del adaptador es diferente para los modosinline y el modo de punto de conexión de red, debe decidir el modo antes de configurarel appliance virtual.

Note: Los modos de bloqueo inline y supervisión inline no se recomiendan paraappliances virtuales porque el modo de omisión no está disponible.

Acerca de los roles de funcionamiento, los modos de funcionamiento y conexiones dered

Elija la configuración de red para elappliance.

Dónde colocar el appliance en su red para obtener mejores resultados

Abra los puertos requeridos en el firewall yotros dispositivos de red.

Asegúrese de que los puertos necesarios estén abiertos en su firewall y otrosdispositivos de red para permitir el tráfico al dispositivo de Symantec EDR o desde él.Puertos necesarios del firewall

Asegúrese de que se pueda acceder alarchivo de licencia.

Asegúrese de que se pueda navegar al archivo de licencia de Symantec y seleccionarlodesde el equipo que se usa para ejecutar el Asistente de configuración. Un archivo delicencia válido es necesario para la instalación.

Complete la hoja de cálculo de instalación. Tome todas las decisiones que necesitará para la instalación antes de comenzar. Teneresta información a mano garantiza que el proceso de instalación se ejecute de manerarápida y sin problemas.Proporcione esta hoja de cálculo al administrador de la máquina virtual que configuraráel appliance virtual.Hoja de cálculo de instalación del appliance virtual

11

https://knowledge.broadcom.com/external/article?legacyId=howto130412



Table 4: Administrador de la máquina virtual

Tarea Descripción

Asegúrese de que su entorno tenga losrecursos necesarios.

Asegúrese de que el appliance de la máquina virtual pueda cumplir los requisitos paraadmitir las funciones de Symantec EDR.Información importante antes de instalar el appliance virtualRequisitos del sistema para el appliance virtual

Descargue archivos de imágenes virtuales(appliance virtual solamente).

Descargue los archivos de imagen virtual de https://login.symantec.com/ en un únicodirectorio al que se pueda acceder desde la aplicación de VMware.

Tenga la hoja de cálculo de instalacióndisponible.

La hoja de cálculo de instalación contiene toda la información que necesitará paraconfigurar la máquina virtual mediante la secuencia de arranque. Tener esta informacióna mano garantiza que el proceso de instalación se ejecute de manera rápida y sinproblemas.Obtenga esta lista de comprobación de su administrador de Symantec EDR.Hoja de cálculo de instalación del appliance virtual

Hoja de cálculo de instalación del appliance virtualPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Flujo de trabajo previo al comienzo.

Symantec EDR le recomienda que complete la hoja de instalación en su totalidad antes de comenzar la instalación.Proporcione esta lista de comprobación a los administradores que realizarán las tareas de instalación. También debeconservar una copia para sus registros con fines de archivado y de copia de seguridad.

Table 5: Implementación de OVA

Configuración Descripción Valor que debe introducir

Plantilla de OVA deSymantec EDR

Acceda a la plantilla desde una ubicaciónde red a la que pueda acceder durante lainstalación.

Ubicación del archivo de plantilla de OVA de SymantecEDR:________________________________

Asigne los adaptadoresde Source Network (Redde origen) con OVA deSymantec EDR a lasDestination Networks(Redes de destino)

Los adaptadores se incorporan a la OVA deSymantec EDR. Las redes de destino seconfiguran en su red.

administración = _____________________Monitor1_WAN = __________________Monitor2_LAN = ____________________

Implementación de la plantilla OVA

Table 6: Extendiendo el tamaño del disco duro


Tamaño del disco Especifique el tamaño mínimo del disco duro. 500 GB

Extensión del tamaño del disco duro virtual

12

https://login.symantec.com/




Table 7: Asignación de recursos


CPU El espacio mínimo de CPU requerido. 12000 MHz (12 GHz)Memoria La memoria mínima necesaria. Reserve all guest memory (Reservar toda la

memoria de invitado)

Cómo reservar los recursos necesarios para el appliance virtual

Table 8: Configuración de la secuencia de arranque


New password: (Nuevacontraseña:)

Una nueva contraseña segura para laconsola. Esta contraseña reemplaza lacontraseña predeterminada, symantec.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Weak password(Contraseña no segura)Try another [y/n]?(¿Desea probar otra [s/n]?)

Note: Una contraseña similar a una palabraen el diccionario, demasiado corta o que noes lo suficientemente compleja es menossegura. Symantec EDR le pedirá queconfirme el uso de una contraseña pocosegura.

________ sí________ no

Re-enter new password(Volver a especificar lanueva contraseña):

Confirme la nueva contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Seleccione uno de lossiguientes roles delappliance:1 = Plataforma deadministración ..., 2 =Analizador de red ..., 3 =Todo en uno ... []?

Especifique el rol del appliance.Acerca de los roles de funcionamiento, losmodos de funcionamiento y conexiones dered

_______ 1: Plataforma de administración_______ 2: Analizador de red_______ 3: Todo en uno

Configure themanagement port. IPv4address []: (Configure elpuerto de administración.Dirección IPv4 []:)

La dirección IP estática para el puerto deadministración. Para una plataforma deadministración o un appliance todo en uno,se usa esta dirección IP para acceder a EDRappliance console desde un navegador.

________.________.________.________

IPv4 Netmask []: (Máscarade red IPv4 []:)

La máscara de red para la dirección IPv4 delpuerto de administración. ________.________.________.________

Gateway []: La dirección IP para el gateway (conmutadoro router) que el appliance puede usar paracomunicarse con el resto de su red.

________.________.________.________

Name server (IPv4) []:(Servidor de nombres[IPv4])

La dirección IP de un servidor de nombresque el appliance pueda usar para resolver lasdirecciones IP.

________.________.________.________

Configure anothernameserver? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” agrega un servidor de nombres adicional;“No” usa solamente un servidor de nombres.Si la respuesta es “sí”, proporcione ladirección IP de un segundo servidor denombres.

________ sí________.________.________.________________ no

13




Rol del analizador de redsolamente:IP address of theManagement Platform(Dirección IP dela plataforma deadministración):

La dirección IP del puerto de administracióndel appliance de la plataforma deadministración que controla este analizador.

________.________.________.________

Roles de la plataformade administración odel analizador de redsolamente:CommunicationChannel password:(Contraseña del canal decomunicaciones)

Una contraseña segura para cifrar lascomunicaciones entre la plataforma deadministración y todos sus analizadores dered. Esta contraseña debe ser la misma parala plataforma de administración y todos losanalizadores de red. Debe ser diferente de lacontraseña de la consola de administración.Las letras, los números, los puntos, loscaracteres de subrayado y los guiones estánpermitidos, y la contraseña puede ser dehasta 50 caracteres.

Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Roles de la plataformade administración odel analizador de redsolamente: Re-enterCommunication Channelpassword: (Volver aescribir contraseña delcanal de comunicaciones:)

Confirme la contraseña. Proporcione esta información al administrador queinstala el appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Configure IPv4 staticroutes? [y/n] (¿Deseaconfigurar otro servidorde nombres? [s/n])

“Sí” configura una ruta estática IPv4; “No”omite este paso de configuración.Las rutas estáticas pueden ser necesarias.Por ejemplo, use rutas estáticas paraconectar un analizador de red a su plataformade administración.

________ sí________ no

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4,escriba la dirección IP de destino y delgateway.

________.________.________.________

Add another route? [y/n](¿Desea configurar otroservidor de nombres? [s/n])

“Sí” para configurar una ruta estática adicionalIPv4. “No” para ir a la siguiente indicación.Es posible configurar hasta tres rutasestáticas IPv4 en la secuencia de arranque.Es posible configurar las rutas estáticasadicionales en EDR appliance console.

________ sí (se admiten hasta tres)________.________.________.________________.________.________.________________.________.________.________________ no

What do you want tocall this device? (¿Quénombre desea dar a estedispositivo?)

El nombre para identificar este sistemaen EDR appliance console. Las letras, losnúmeros, los espacios, los puntos y losguiones están permitidos, y el nombre puedeser de hasta 50 caracteres.

__________________________________

Set NTP server [] La dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que elappliance tenga una hora precisa para indicarcuándo se realizan detecciones.

________.________.________.________

14



Table 9: Asistente de configuración


Acceder a EDR applianceconsole.

Esta es la dirección IP estática para el puertode administración que se especificó durantela secuencia de arranque.

________.________.________.________

Upload License (Cargarlicencia)

Debe cargar una licencia antes de que eldispositivo de Symantec EDR sea funcional.No es posible usar Symantec EDR despuésde instalarlo sin una licencia. No existe unperíodo de gracia.

Ubicación de la licencia de Symantec EDR:______________________________________

SMTP Settings(Configuración de SMTP)

Symantec le recomienda especialmente que especifique la configuración de SMTP en el asistente deconfiguración. Si lo hace, podrá recuperar una contraseña perdida. También puede seleccionar Skipadding SMTP server configuration (Omitir adición de la configuración del servidor SMTP) y especificarla configuración más tarde en EDR appliance console.

SMTP Server (ServidorSMTP) y Port (Puerto)

El nombre de dominio completo y el númerode puerto del servidor de correo seguro. ________.________.________.________

Correo electrónico delappliance

La dirección de correo electrónico desdedonde se envían las alertas, como unanotificación de la caducidad de la licencia.

___________________@_____________._____

Authorize (Autorizar) Si su servidor de correo requiere un inicio desesión seguro para recibir mensajes, escribaun nombre de usuario y una contraseña queSymantec EDR pueda usar para autenticarcon el servidor de correo.

Nombre de usuario:_______________________________Contraseña:Proporcione esta información al administrador que instalael appliance mediante un método seguro.Asegúrese de que la contraseña se conserve en unaubicación segura para propósitos de archivado.

Create an Administrativeaccount (Crear unacuenta administrativa)

Estas son las credenciales de inicio de sesión para la cuenta de administrador inicial. Se necesita esteinicio de sesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

Logon name (Nombre deinicio de sesión)

Nombre de inicio de sesión del administradorinicial _______________________________

Nombre para mostrar El nombre del administrador que apareceinicialmente, tal y como aparece en laconsola de EDR appliance console.

_______________________________

User email address(Dirección de correoelectrónico del usuario)

La dirección de correo electrónico deladministrador inicial para las notificaciones. ____________________@____________._____

Hoja de trabajo de instalación completada por:

Nombre: ________________________________________________________ Fecha: _________________________

Proporcionado a:

Administrador de máquinas virtuales: _____________________________________________ Fecha:_________________________

Administrador de EDR: _____________________________________________ Fecha: _________________________

Listas de comprobación previas a la instalación para los appliances virtuales

15




Table 10: Flujo de trabajo de instalación del appliance virtual

Paso Acción Rol Descripción

1 Completar yrecopilar todoslos elementosen la lista decomprobaciónprevia a lainstalación.

Administrador deSymantec EDRy de la máquinavirtual

Completar la lista de comprobación previa a la instalación asegura que cumpletodos los requisitos necesarios para instalar un appliance. También garantizaque se hayan completado todas las tareas requeridas antes de que comience lainstalación.Listas de comprobación previas a la instalación para los appliances virtualesHoja de cálculo de instalación del appliance virtual

2 Crear losconmutadoresvirtualesnecesarios.

Administrador de lamáquina virtual

Cree los conmutadores virtuales que necesitará para conectarse a los adaptadoresfísicos en el servidor ESXi.Configuración de conmutadores virtuales

3 Implementar laplantilla OVA.


Implemente la plantilla OVA en el host ESXi y asigne los adaptadores a losconmutadores virtuales.Implementación de la plantilla OVA

4 Reservarlos recursosnecesarios.


Es fundamental que reserve los recursos necesarios en la máquina virtual delappliance de Symantec EDR antes de iniciar el equipo VMware por primera vez.Cómo reservar los recursos necesarios para el appliance virtual

5 Extender el tamañodel disco duro.Opcional


Si desea habilitar Endpoint Communications Channel, deberá agregar un disco duropara extender el tamaño de disco duro.Extensión del tamaño del disco duro virtual

6 Ejecute lasecuencia dearranque.


Abra la consola y ejecute la secuencia de arranque.Durante la secuencia de arranque, se le pedirá que proporcione la información dela configuración del appliance. Su administrador de Symantec EDR le proporcionaesta información en la lista de comprobación de instalación.Ejecución de la secuencia de arranque para configurar el appliance

7 Habilitar el servicioSSH.

Administrador deSymantec EDR

Habilite el servicio SSH mediante la interfaz de la línea de comandos para protegerlas comunicaciones con el appliance virtual.Comando sshconfig

8 Ejecutar elcomando de la CLIextend_storage.Opcional


Este paso es necesario solamente si agregó un disco duro.Cómo ejecutar la herramienta extend_storage

9 Comprobar laconectividad dered.


Ejecute el comando status_check de la línea de comandos para determinar si laconectividad de red está configurada correctamente. El comando enumera todos loselementos que se comprueban y el estado que indica si cada elemento es correctoo no.Comando status_check

10 Ejecute el asistentede configuración.Plataforma deadministración oappliances todo enuno solamente.


El asistente de configuración de Symantec EDR le guía a través de los pasosobligatorios para la configuración de un dispositivo de plataforma de administracióno todo en uno. La configuración incluye cargar la licencia del producto y crearla primera cuenta de administrador, de modo que pueda iniciar sesión en EDRappliance console.Ejecutar el Asistente de configuración

16



Paso Acción Rol Descripción

11 Realizar lastareas y lasconfiguracionesposteriores a lainstalación.Para todas lasconfiguraciones,excepto laplataforma deadministración.


Después de salir del Asistente de configuración, inicie sesión en EDR applianceconsole. Realice las tareas recomendadas para comenzar a analizar el tráfico yrecopilar los datos de incidentes y eventos.Cómo completar las tareas de configuración

12 Pruebe elappliance.


Ejecute el comando status_check para determinar de nuevo si los valores deconfiguración se han especificado correctamente.Symantec tiene una página web de prueba, http://testatp.coe.org.uk/, que contieneuna serie de vínculos. Cuando haga clic en cada uno de los vínculos, verá unincidente correspondiente en la base de datos. En el modo de bloqueo inline, lasdescargas de archivos deben interrumpirse.Prueba de Symantec EDR para la supervisión y el bloqueo correctos

Configuración de conmutadores virtualesPaso 3 del Flujo de trabajo de instalación del appliance virtual de Symantec EDR: Flujo de trabajo previo al comienzo.

Los conmutadores virtuales conectan cada adaptador de red virtual a un puerto físico en el servidor ESXi. El númerode conmutadores virtuales que se necesitan dependen del rol de funcionamiento del appliance virtual y del modo defuncionamiento. Los valores de las propiedades del conmutador virtual deben coincidir con los valores de las propiedadesde la red de destino (grupo de puertos).


Los números en este tema representan los puertos asignados de forma individual a las tarjetas de interfaz de red físicas(NIC). Sin embargo, los appliances virtuales de Symantec EDR son compatibles con otras configuraciones, como lasredes virtuales distribuidas.

Para acceder a las instrucciones sobre cómo crear conmutadores virtuales y configurar las propiedades de conmutadoresvirtuales de Symantec EDR, consulte la documentación del cliente de VMware vSphere.

Modo de punto de conexión de red | Modo de bloqueo inline o supervisión inline | Interfaz de administración

Modo de punto de conexión de red

Para un appliance virtual todo en uno o un appliance virtual de analizador de red que actúa en modo de punto deconexión, se necesitan los siguientes conmutadores virtuales:

• Un conmutador para la interfaz de administración• Un conmutador para la primera interfaz de supervisión• Un conmutador para una segunda interfaz de supervisión (opcional)

NOTE

No elimine ni modifique las tarjetas NIC en la máquina virtual.

Propiedades del conmutador virtual para las interfaces de supervisión del modo de punto de conexión de red muestralos valores de las propiedades del conmutador virtual requeridos para cada interfaz de red de supervisión cuando el

17

http://testatp.coe.org.uk/




appliance opera en el modo de punto de conexión de red. Cada appliance virtual puede supervisar hasta dos redes. Paracualquier propiedad no especificada en la tabla, use el valor predeterminado.

Table 11: Propiedades del conmutador virtual para las interfaces de supervisión del modo de punto de conexiónde red

Propiedad Valor

Tipo de conexión Máquina virtualModo promiscuo AceptarConmutación por recuperación NoNotificar conmutadores No

Configuración de red de modo Punto de conexión de red/Span virtual muestra la ruta de red. La ruta se ejecuta desde losadaptadores de red virtual hasta los puertos físicos y las conexiones a la red para una configuración de conexión de red através de los conmutadores virtuales.

18



Modo de bloqueo inline o supervisión inline

Para un appliance virtual todo en uno o un appliance virtual de analizador de red que actúa en modo de bloqueo inline osupervisión inline, se necesitan los siguientes conmutadores virtuales:

• Un conmutador para cada interfaz de administración• Un conmutador para la interfaz de WAN• Un conmutador para la interfaz de LAN

Propiedades del conmutador virtual para las interfaces LAN y WAN muestra los valores de las propiedades delconmutador virtual que son necesarios para las interfaces de red LAN y WAN. Las propiedades del conmutador seaplican cuando el appliance opera en el modo de bloqueo inline o supervisión inline. Para cualquier propiedad noespecificada en la tabla, use el valor predeterminado.

19



Table 12: Propiedades del conmutador virtual para las interfaces LAN y WAN

Propiedad Valor

Tipo de conexión Máquina virtualModo promiscuo AceptarConmutación por recuperación NoNotificar conmutadores NoTransmisiones falsificadas Aceptar

Configuración de red del modo de bloqueo inline o supervisión inline virtual muestra la ruta de red. Se ejecuta desde losadaptadores de red virtual hasta los puertos físicos y las conexiones a la red para una configuración de bloqueo inline osupervisión inline a través de los conmutadores virtuales.

20



Interfaz de administración

Un appliance que cumple el rol de la plataforma de administración requiere un único conmutador virtual para admitir lainterfaz de administración. Un analizador de red o un dispositivo todo en uno requiere un conmutador virtual para admitirla interfaz de administración. Este requisito es adicional a los conmutadores virtuales que admiten el análisis en el modode punto de conexión de red, bloqueo inline y supervisión inline.

Cuando cree un conmutador virtual para una interfaz de administración, use el valor predeterminado de VMware paratodas las propiedades.

21



Acerca de los adaptadores de red virtuales

Acerca de los roles de funcionamiento, los modos de funcionamientoy conexiones de redConfigure cada appliance para Symantec EDR con un rol y un modo de funcionamiento. Juntos, estos determinan cómoel dispositivo se conecta a su red y cómo funciona para proteger su red y para informar las amenazas.

Roles de funcionamiento | Modos de funcionamiento y conexiones de red

Roles de funcionamiento

Es posible implementar el appliance como una plataforma de administración, un analizador de red o un dispositivo todoen uno. Se asigna el rol de funcionamiento cuando se ejecuta la secuencia de arranque en el appliance. Estos rolestienen la funcionalidad siguiente:

Plataforma deadministración

Si dos o más appliances están instalados, uno debe implementarse en el rol Management platform(Plataforma de administración).Una plataforma de administración aloja EDR appliance console y muestra los incidentes y endpointsen peligro para todos los analizadores conectados. La plataforma de administración presenta una vistacompleta de la actividad maliciosa en su red. La plataforma de administración además centraliza lasfunciones de configuración, administración y elaboración de informes.La plataforma de administración no analiza el tráfico de red.

Analizador de red Si dos o más appliances están instalados, todos los dispositivos excepto la plataforma de administraciónse deben implementar como analizadores de red. Cada analizador de red puede supervisar el tráfico enuna red diferente y enviar sus datos del incidente a la plataforma de administración. Según el modo defuncionamiento, el analizador de red puede bloquear el tráfico malicioso en tiempo real.Un analizador de red no tiene EDR appliance console. Se configura y se administra el analizador de reddesde la plataforma de administración. Sus datos del incidente se consolidan con los datos del incidentede otros analizadores de red y se informan desde la plataforma de administración. Cuando su red seamplía, se pueden instalar y conectar a la plataforma de administrador analizadores de red adicionalespara proteger las nuevas redes.

Todo en uno Si solamente un appliance está instalado, se debe implementar en el modo todo en uno. Un dispositivotodo en uno realiza las funciones de la plataforma de administración y del rol del analizador de red.

NOTE

Un dispositivo todo en uno no puede funcionar como una plataforma de administración para los analizadores dered. Solamente un appliance que tiene asignado el rol de la plataforma de administración puede administrar unanalizador de red.

Los roles que se eligen dependen de la velocidad de transferencia del tráfico de red. Para las instalaciones pequeñas ymedianas, es necesario tener un appliance que funcione en el rol todo en uno. Para instalaciones más grandes, se debeninstalar varios appliances con uno que actúe de plataforma de administración y que los appliances restantes actúen comoanalizadores de red.

Ejecución de la secuencia de arranque para configurar el appliance

Si desea cambiar el rol de funcionamiento de un appliance después de la instalación inicial, debe reinstalar el softwaredel appliance.

Conexiones de red y modos de funcionamiento

El modo de funcionamiento controla cómo se procesa su tráfico de red. También afecta cómo el appliance se conectafísicamente a su red.

22



La sección Modos de funcionamiento y conexiones de red de Symantec EDR describe los modos de Symantec EDRque están disponibles para los appliances y las conexiones de red que son necesarios para cada rol. Debe asignar unadirección IP estática a cada conexión de red de Symantec EDR.

Table 13: Conexiones de red y modos de funcionamiento de Symantec EDR

Modo Descripción Conexiones de red requeridas

Bloqueo inline En el modo de bloqueo inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Se bloquean lasdescargas de archivos, los sitios web accedidos y el tráfico quese consideren maliciosos. Solamente el modo de bloqueo inlineproporciona protección en tiempo real contra amenazas.El appliance virtual tiene una interfaz inline en el modo debloqueo inline.El modelo ATP 8880 tiene dos interfaces inline en el modo debloqueo inline.

Note: El modo de bloqueo inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

Supervisión inline En el modo de supervisión inline, el tráfico de red pasa a travésdel appliance entre los endpoints e Internet. Los archivosmaliciosos, los sitios web y el tráfico se registran para fines devisibilidad, pero no se bloquean. Cualquier amenaza que seencuentre en el modo de supervisión inline debe atenuarsemanualmente.El modo de supervisión inline se suele usar como prueba delrendimiento del sistema y para analizar un comportamientopotencial de bloqueo (de los informes) antes de implementarel bloqueo. Las conexiones físicas para los modos de bloqueoinline y supervisión inline son idénticas, de forma que no esnecesario volver a cablear cuando se cambia entre estosmodos.El appliance físico tiene dos interfaces inline en el modo desupervisión inline.El appliance virtual tiene una interfaz inline en el modo desupervisión inline.

Note: El modo de supervisión inline no se recomienda paralos appliances virtuales, ya que el modo de omisión no estádisponible para una implementación virtual.

1 Administración2 WAN2 LAN1 WAN1 LAN(Modelo 8880 solamente: 2 WAN y 2 LAN)

23



Modo Descripción Conexiones de red requeridas

Omisión (protecciónde modo inline)

Un appliance físico que se configura en modo inline cambiaautomáticamente a modo de omisión si el appliance no puedefuncionar. También cambia al modo omisión si está apagado.En modo de omisión, el tráfico de Internet fluye a través delos puertos LAN y WAN, pero no se realizan supervisiones nibloqueos. Las operaciones normales se reanudan cuando sereinicia el appliance o se vuelve a habilitar el análisis.Las NIC de Symantec EDR funcionan en el modo NIC estándar(sin conexión entre los puertos LAN y WAN) o en el modo deomisión (con conexión entre los puertos LAN y WAN) segúnestas circunstancias:• Instalada lista para usar:

Modo NIC estándar• Configurada para la implementación inline:

Modo de omisión• Configurada para la implementación de punto de conexión

de red:Modo NIC estándar

• Con una nueva imagen (restablecimiento a los valores defábrica) después de cualquier implementación anterior:Modo NIC estándar

El modo de omisión no está disponible para los appliancesvirtuales. Si un appliance virtual no puede funcionar o estádesactivado, se interrumpen las comunicaciones de red. Poreste motivo, los modos de bloqueo inline y supervisión inline nose recomiendan para los appliances virtuales.

Igual que el modo de bloqueo inline osupervisión inline

Punto de conexiónde red

En el modo de punto de conexión de red, el appliance seconecta al puerto del punto de conexión de red o al puertoSpan en un conmutador. El appliance supervisa una copiadel tráfico entre los endpoints e Internet, de forma que losincidentes de supervisión y registro no afectan el rendimientode la red. Como los motores de supervisión y de registrofuncionan en diversos intervalos, puede haber un retraso leveen detectar los incidentes. Todas las amenazas se debenatenuar manualmente.El appliance puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El appliance virtual puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.El modelo 8880 puede supervisar hasta cuatro puertos desupervisión en redes aparte en el modo de punto de conexiónde red. El modelo 8840 puede supervisar hasta dos puertos desupervisión en redes aparte en el modo de punto de conexiónde red.

1 Administración1 conexión de supervisión para cada redsupervisada


En el modo de plataforma de administración, todas lascomunicaciones y la administración pasan a través del puertode administración. Puesto que un appliance de la plataforma deadministración no analiza, solo la conexión de administración esnecesaria.

1 Administración

Se elige el modo de funcionamiento para un dispositivo todo en uno o analizador de red de EDR appliance console. Unaplataforma de administración funciona en el modo de plataforma de administración de forma automática.

24



Configurar la interfaz de red y habilitar el análisis

Acerca de las configuraciones de red y las conexiones de puertos


Cómo Symantec EDR aplica políticas de la lista de denegación basadas en su modo de funcionamiento

Acerca de cómo seleccionar un analizador de redLos siguientes factores determinan la cantidad de analizadores de red recomendados.

Hardware en comparación a virtual Tome esta decisión según su infraestructura actual. Los usuarios con una inversión importanteen VMware deberían usar appliances virtuales. Los usuarios con una inversión baja o nula enVMware deberían usar hardware.Las soluciones de hardware tienen NIC de omisión, por lo que, en caso de error, SymantecEDR continúa pasando el tráfico cuando se implementa inline. Por lo tanto, el hardware real esconveniente para implementaciones inline.Para obtener más información, consulte la guía de instalación para su plataformacorrespondiente (appliance físico o virtual).

Ancho de banda disponible Las soluciones de hardware tienen mayor velocidad de transferencia que las soluciones virtuales.10 GB por puerto.R220 y R330 tienen una velocidad de transferencia de 1 Gbps en sus NIC únicos. R720 y R730tienen dos NIC que pueden alcanzar 1 Gbps cada uno.Consulte la Guía de evaluación del tamaño de Symantec Endpoint Detection and Response paraobtener más información.

Endpoints totales en laorganización

Mientras que cada implementación varía, el appliance físico tiene una capacidad deaproximadamente 25000 conexiones simultáneas. Estos números son para el modo inline. En elmodo de punto de conexión, el hardware puede admitir aproximadamente el doble de conexionesque en el modo inline.Las máquinas virtuales pueden controlar 2 mil conexiones simultáneas.Mientras que cada implementación varía, R220 y R330 tienen una capacidad deaproximadamente 10000 conexiones simultáneas. R720 y R730s pueden admitir 25000conexiones simultáneas. Estos números son para el modo inline. En el modo de punto deconexión, el hardware puede admitir aproximadamente el doble de conexiones que en el modoinline.

Funciones de Symantec EDR Si la implementación es para usar principalmente el análisis de red, una implementaciónseparada de analizador y plataforma de administración proporciona espacio para aumentar lacapacidad de análisis. En este caso, el appliance físico tiene más capacidad de almacenamientoy es adecuado para la plataforma de administración. La cantidad de analizadores dependería dela cantidad de puntos de entrada y salida en la red y la cantidad de tráfico en esos puntos.Una implementación de todo en uno debe poder administrar todo el tráfico para el crecimientoprevisto de la organización durante la vida del appliance. Si la implementación funcionaprincipalmente como Symantec EDR: Endpoint, seleccione una implementación todo en uno.

Acerca de las configuraciones de red y las conexiones de puertosEn la siguiente tabla se describen las formas de conectar Symantec Endpoint Detection and Response a la red.

NOTE

Las conexiones de puertos varían según el modelo, la versión y el rol del appliance.

25



Conexiones compatibles con rol de appliance

Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Punto de conexión dered/puerto SPAN simple

Esta configuraciónsupervisa el tráficoentre los endpoints eInternet, pero no bloquealas transferencias dearchivos o sitios web.El tráfico de Internetse copia al puertoconmutador mediante laduplicación del puertoque se configura en elconmutador.Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Estaconfiguración es fácil y esútil como prueba inicialde Symantec EDR.

Puerto en el conmutadorLAN

Conecte Supervisión1al puerto o punto deconexión de red enel conmutador LANconfigurado en modoSpan.

Sin utilizar

Punto de conexiónde red/Puerto spancon varios puertos desupervisión

Esta configuraciónusa dos puertosde supervisión yuna conexión deadministración. Lospuertos de supervisiónadicionales permitenque el mismo appliancese conecte a variosconmutadores dediversas subredes. Estaconfiguración no bloquealas transferencias dearchivos o los sitios web.




Inline simple Es posible bloquearlas transferencias dearchivos y los sitiosweb usando estaconfiguración.La configuracióninline necesita másconexiones de red quela configuración porpunto de conexión dered o puerto SPAN.Idealmente, es necesarioimplementar SymantecEDR inline entre elcliente y el firewall. Si usaun proxy, debe conectarel appliance entre elcliente y el proxy.


Puerto LAN del firewallde Internet


26



Configuración de red Descripción Conectar puerto deadministración a Conectar puerto WAN a Conectar puerto LAN a

Inline con dos firewalls,dos proxy y dosappliances

Puede conectar dosappliances a dosfirewalls como partede un entorno de altadisponibilidad. Puedeconfigurar los firewallscon una conmutaciónpor error activa/activa ocon una conmutación porerror activa/en espera.Debe configurar losappliances de maneraidéntica, excepto por laconfiguración de red.Ambos appliances sedeben conectar a lamisma plataforma deadministración.


Puerto LAN del firewallde Internet



En una configuraciónde plataforma deadministración, unappliance se configurapara administrar otrosappliances. Esteappliance no analiza,de forma que requieresolamente una conexiónde administración.


Sin utilizar Sin utilizar


Dónde colocar el appliance en su red para obtener mejores resultadosLa disposición de su appliance depende de si el appliance es una plataforma de administración, un analizador de red oun dispositivo todo en uno. El appliance de Symantec Endpoint Detection and Response debe poder realizar lo siguientesegún su rol:

• Analizar todo el tráfico de red que entra y sale de la organización• Determinar el origen y el destino de todo el tráfico• Detectar los endpoints de conexión internos• Actuar como servidor proxy de red para los endpoints (si se integra con Symantec Endpoint Protection Manager)• Tener un efecto mínimo en el rendimiento de red

Si su arquitectura incluye una zona desmilitarizada (DMZ) y se integra Symantec EDR con Symantec EndpointProtection, no coloque lo siguiente en la zona desmilitarizada:

• Appliance de la plataforma de administración• Appliance todo en uno• SEP

Implementar el appliance entre un proxy y el firewall evita que Symantec EDR detecte la dirección IP del endpoint deorigen. Es decir que, en este caso, es necesario habilitar el campo con el encabezado X-Forwarded-For:. Es posibleque también necesite configurar su firewall para eliminar el campo con el encabezado X-Forwarded-For:.

Especificar el tráfico que el proxy examina

27



Symantec EDR no analiza el tráfico entre equipos internos. La excepción es cuando uno de los equipos es un servidorproxy. Se analiza el tráfico interno que se dirige a un servidor proxy porque es tráfico de red saliente.

Si desea que Symantec EDR se conecte a Internet a través de un servidor proxy, es necesario tratar el appliancecomo un dispositivo de confianza y deshabilitar la autenticación. Symantec EDR no admite el paso de credenciales deautenticación básica al proxy. Symantec EDR admite la autenticación de contraseñas simple o básica al proxy.

Es posible usar el puerto de administración para cualquiera de las siguientes acciones:

• Para acceder a EDR appliance console.• Para la comunicación con los servidores de Symantec (por ejemplo, LiveUpdate, aislamiento de procesos basado en

la nube, Insight, telemetría, etc.).• Para facilitar la comunicación con SEPM y los endpoints para el proxy del endpoint.

La red de administración no debe estar abierta a Internet por completo. Si necesita acceder a la red de administracióndesde afuera, se recomienda una conexión VPN o una conexión de escritorio remoto efímera.

En el modo inline, el puerto de administración debe estar en una subred diferente de la interfaz inline.

Las siguientes figuras muestran ejemplos de configuraciones de red.

NOTE

Puede usar el appliance 8840 o 8880 de ATP en cualquiera de estas configuraciones.

Es posible que necesite cables cruzados para la implementación inline si los dispositivos conectados a los puertos WANy LAN no tienen la configuración automática de MDI/MDI-X.

28



29



30



Acerca de las configuraciones de red y las conexiones de puertos

Conexiones compatibles con rol de appliance

Flujo de trabajo de instalación del appliance físico


Puertos necesarios del firewallSegún el diseño de red, es posible que deba abrir algunos puertos en su firewall y editar sus reglas de firewall. Estoscambios le permiten acceder a las direcciones web importantes que son esenciales para las operaciones de SymantecEndpoint Detection and Response.

31



Direcciones IP y web de Symantec EDR enumera las direcciones IP y web a las que Symantec EDR requiere acceso.

Table 14: Direcciones IP y web de Symantec EDR

Direcciones web/dirección IP Protocolo Puerto Descripción

• remotetunnel1.edrc.symantec.com• remotetunnel2.edrc.symantec.com• remotetunnel3.edrc.symantec.com• remotetunnel4.edrc.symantec.com• remotetunnel5.edrc.symantec.com

HTTPS 443 Permite el acceso remoto del Soporte deSymantec al appliance de Symantec EDR.

https://api-gateway.symantec.com TCP 443 Accede al servicio de Targeted AttackAnalytics (Análisis de ataque dirigido) deSymantec.

licensing.dmas.symantec.com TCP 443 Usado para conseguir la licencia de Cynic.api.us.dmas.symantec.comapi.eu.dmas.symantec.com

TCP 443 Usado para realizar consultas a servidores deCynic en EE. UU. y Reino Unido (requeridos).

liveupdate.symantec.com TCP 80 Usado para comprobar si hay definicionespara las tecnologías de detección deSymantec y descargarlas.

ratings-wrs.symantec.com TCP 443 Usado para consultar al servidor de NortonSafe Web para identificar sitios webmaliciosos.

stnd-avpg.crsi.symantec.comstnd-ipsg.crsi.symantec.com

TCP 443 Usado para enviar telemetría de detección aSymantec.

register.brightmail.com TCP 443 Usado para registrar el appliance.swupdate.brightmail.com TCP 443 Usado para comprobar si hay nuevas

versiones de Symantec EDR y descargarlas.shasta-rrs.symantec.comshasta-mrs.symantec.com

TCP 443 Usado para realizar búsquedas de reputaciónpara el archivo ejecutable de Windows y losarchivos instalables de APK.

datafeedapi.symanteccloud.com TCP 443 Usado para descargar Email Security.cloud yeventos de EDR: Roaming.

stats.norton.com TCP 443 Cuando se configura la telemetría, se usa paraenviar estadísticas de telemetría a Symantec.

telemetry.symantec.com TCP 443 Cuando se configura la telemetría, se usapara enviar telemetría de archivo y para cargarpaquetes de diagnóstico a Symantec.

EDR appliance console TCP 443 (entrante) o en elintervalo de 1024 a9997

Acceso a API pública de Symantec EDR.

https://sso1.edrc.symantec.com TCP 443 Usado para SSO.

Puertos y configuración de Symantec EDRdescribe los puertos que Symantec EDR usa para las comunicaciones, lasactualizaciones de contenido y las interacciones con los servicios de detección de Symantec.cloud.

32



Table 15: Puertos y configuración de Symantec EDR

Servicio Protocolo Puerto De Para Descripción

Hacer copia de seguridad FTP; SSH 20 TCP, UDP21 TCP22 TCP, UDP

Plataforma deadministración oappliances todoen uno

Servidor dealmacenamientode copia deseguridadconfigurado(Tráfico interno)

Servidor FTP: puertos 20 y 21del FTPServidor SSH: puerto 22 deSSH

Notificaciones por correoelectrónico

SMTP 25 TCP587 TCP

Plataforma deadministración oappliance todoen uno

Servidor SMTP(Tráfico interno)

Comunicación con el servidorSMTP.

Actualizaciones decontenido

HTTP 80 TCP Todos losappliances

Symantec(Tráfico externo)

Definiciones de virus yVantage y otro contenido queLiveUpdate entrega.Este puerto es necesario parael funcionamiento apropiadodel producto.

Entrega de estadísticas HTTP 80 TCP Todos losappliances


Envía los datos a Symantecpara propósitos estadísticos yde diagnóstico.Los datos privados no seenvían por este puerto.

(ECC) 2.0 HTTPSHTTP

44380

Endpointsadministrados deSEP

Symantec EDR Comunica los comandos conlos endpoints.Acerca de EndpointCommunications Channel

ECC 1.0 HTTPS 8446 Symantec EDR SEPM Comandos de SEPM.Envíos de endpoint/RRSECC 2.0

HTTPSHTTP

4438080

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Envíos de endpoint/RRSECC 1.0

HTTPSHTTPHTTP

443808443¹

SEP Symantec EDR La nube privada de SEPMque permite a los endpointscomunicarse con SymantecEDR.

Servicios de detección,análisis, correlación ytelemetría en la nube deSymantec.

Si EndpointActivityRecorder estáhabilitadoSi EndpointActivityRecorder estádeshabilitado

443 TCP Todos losappliances


Intercambios de datos detelemetría y consultas deservicios en la nube.Si Endpoint Activity Recorderestá habilitado, SEP envíaeventos de condenadirectamente a SymantecEDR.

Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPS TCP 8080 deHTTP o HTTPS443 TCPTCP 80 de HTTP oHTTPS 8443 TCP

Clientes de SEP Plataforma deadministraciónde SymantecEDR

Información sobre los archivosy el tráfico de red que SEPdetecta.

33




Información sobrecondenas del antivirusy de la prevención deintrusiones

HTTPSHTTP

443 TCP80

Plataforma deadministraciónde SymantecEDR

Symantec(tráfico externo)

Información sobre los archivosy el tráfico de red que SEPdetecta.

Actualizaciones delproducto

HTTPS 443 TCP Todos losappliances


Encuentra y entrega versionesmás recientes de SymantecEDR.

EDR appliance console HTTPS 443 TCP443 (entrante) oen el intervalo de1024 a 9997

Cliente que seconecta paraadministrar unappliance

Plataforma deadministración oappliance todoen uno(Tráfico interno)

Acceso a EDR applianceconsole para un appliance todoen uno o una plataforma deadministración.

Los analizadores de redEDR appliance console ytodo en uno

SSH 22 Cliente que seconecta paraadministrar unappliance

Plataforma deadministración,analizador oappliance todoen uno(Tráfico interno)

Acceso de la línea decomandos para un appliancetodo en uno o una plataformade administración.

Conexión de SynapseSEPM con Microsoft SQLServer (opcional)

JDBC TCP 1433 (opciónpredeterminada)


Microsoft SQLServer de SEPM(Tráfico interno)

Necesario si usa MicrosoftSQL Server para SEPM ySynapse.Los administradores deSEPM pueden configurar unpuerto diferente para estacomunicación.

Canal de comunicaciones(instalaciones delanalizador de redy la plataforma deadministración solamente)

AMQP 5671 TCP5672 TCP

Applianceanalizador de red

Plataforma deadministración(Tráfico interno)

Comunicaciones entre laplataforma de administración ylos analizadores de red.No requerido para unainstalación de dispositivotodo en uno. Después delintercambio inicial en estepuerto, la comunicación seprotege.

Bloquear la página(modo de bloqueo inlinesolamente)

HTTP 8080 TCP Analizador dered

Endpointsprotegidos(Tráfico interno)

Envía la página de bloqueocuando el contenido estábloqueado en un endpoint.No requerido para los modosde punto de conexión de red/Span o Supervisión inline.

Conexión de SynapseSEPM con la BD integrada(opcional)Compatible con SEPM14.3 MP1 y versionesanteriores.

HTTPS 8081 TCP (opciónpredeterminada)


Servidor deSEPM(Tráfico interno)

Necesario si usa la basede datos integrada para laconexión de Synapse conSEPM.

Conexión a la base dedatos de SEPM

HTTPS TCP 2638 (opciónpredeterminada)


MS SQL Express

34




Conexión de SynapseSEPM con los serviciosweb de SEPMde Supervisión yadministración remota(RMM) (opcional)

HTTPS TCP 8446 (opciónpredeterminada)


Servidor deSEPM

Necesario si se conectaal servidor de SEPM paraejecutar las operaciones deadministración.Por ejemplo, agregar o eliminarlos elementos de la lista negrao colocar un endpoint encuarentena.

Syslog Syslog El puerto TCP(preferido) oUDP debe ser elmismo que estáconfigurado enEDR applianceconsole paraSyslog

Todos losappliances

Servidor Syslogconfigurado(Tráfico interno oexterno basadoen su entorno)

Si se configura Syslog, estaconexión entrega los mensajesde registro a un Syslog remoto.

EDR: EmailEDR: Roaming

HTTPS 443 TCP Plataforma deadministración oappliance todoen uno

Symantec Esta conexión permite aSymantec EDR recopilareventos de condenas de EDR:Roaming y EDR: Email cuandose habilita la correlación deSynapse para uno de estosservicios.

Active Directory LDAPS 636 Plataforma deadministración oappliance todoen uno

Servidor deActive Directory

Esta conexión permite queSymantec EDR se integrecon Active Directory para laautenticación de usuario.

Vínculo de SecurityAnalytics

HTTPSTCP, UDP

443 Plataforma deadministración oappliance todoen uno

Appliance virtualo appliancede SymantecSecurityAnalytics

Esta conexión le permite aSymantec EDR integrarse conSymantec Security Analyticspara brindar un vínculoen los eventos de registroindividuales para dirigir alos usuarios a informaciónadicional sobre el movimientode red relacionado.

¹ El puerto 8443 está disponible solamente si se ha utilizado este puerto en versiones anteriores de Symantec EDR ydesde entonces se ha actualizado. Si está instalando Symantec EDR por primera vez, este puerto no está disponible.


Flujo de trabajo de instalación del appliance físico


35



Recomendaciones de proxyLas siguientes son recomendaciones de Symantec sobre el proxy:

Análisis de red Las opciones de implementación de proxy son las siguientes:• Implementar Symantec EDR entre la red interna y el proxy.

Se recomienda esta configuración de implementación.Cuando los clientes implementan Symantec EDR entre la red interna y el servidor proxy, seproporciona a Symantec EDR visibilidad completa de la información del endpoint.Es necesario implementar Symantec EDR cuando está equilibrando la carga de proxies entrela red interna y un conjunto de proxy. Esta información asegura que Symantec EDR realizarconmutación por error en el proxy. En esta situación, el puerto LAN del proxy es el lugar bueno aconecte Symantec EDR inline.

• Implementar Symantec EDR entre el proxy y su firewall.Cuando los clientes implementan Symantec EDR entre el proxy y su firewall, los clientes debenhabilitar la función X-forwarded-for en el proxy. El firewall debe tener la capacidad de eliminar lafunción X-forwarded-for. Los clientes deberían ver la documentación de su firewall para obtenerinstrucciones sobre cómo eliminar esta etiqueta. La desventaja de esta implementación es queconfigurarla requiere más esfuerzo.Especificar el tráfico que el proxy examina

Administración del tráficode Symantec EDR a losservidores de backend deSymantec

Este tráfico del proxy no admite la interceptación de SSL. Si el servidor proxy tiene la interceptaciónde SSL habilitada, los clientes deben crear una política para permitir que se omita el tráfico deSymantec. Esta política impide que el proxy analice el tráfico de Symantec, lo que reduce lasdemandas de recursos.

Matriz de compatibilidad de plataformas de Symantec EDRUse la matriz que aparece a continuación para verificar que la instalación actual de Symantec EDR cumpla con losrequisitos para admitir las funciones de Symantec EDR.

Table 16: Matriz de compatibilidad de plataformas

Plataforma Configuración Especificaciones ECC 1.0ECC 2.0Eventos

predeterminados¹

ECC 2.0Todos loseventos

Analizadorsolamente

Modo TAP deprocesamiento

Analizadorsolamente

Modo inline deprocesamiento

Máquinavirtual ESXi

ConsulteSymantec EDR3.0 o versionesposteriores deVMware

12 núcleosMemoria: 48GBUnidad dedisco duro: 500GB

20 000endpoints

20 000endpoints

No se admite 300 Mbps 200 Mbps

36




predeterminados¹


Analizadorsolamente


Analizadorsolamente


ConsulteSymantec EDR3.0 o versionesposteriores deVMware con lasespecificacionesde adición de HD

12 núcleosMemoria: 48GB1,5 TB (1 TBdisco duro,además deldisco duro de500 GB de lamáquina virtualexistente)

80 000endpoints

80 000endpoints

10 000endpoints

300 Mbps 200 Mbps²

S550 Configuraciónpredeterminada

18 núcleosMemoria: 192GBUnidad dedisco duro:4,158 GB

100 000endpoints

100 000endpoints

50 000endpoints

N/D N/D

8840 8840v1 Dell r220 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8840v2 Dell r330 4 núcleosMemoria: 32GBUnidad dedisco duro: 1TB

10 000endpoints

No se admite No se admite 1.4 Gbps 950 Mbps

8880 8880v1 Dell r720 12 núcleosMemoria: 96GBUnidad dedisco duro: 931GB

50 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v1 Dell r720+ HD


50 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

37




predeterminados¹


Analizadorsolamente


Analizadorsolamente


8880v2 Dell r730 18 núcleosMemoria: 96GBUnidad dedisco duro: 558GB

90 000endpoints

No se admite No se admite 2.7 Gbps 1.8 Gbps

8880v2 Dell r730+ HD


90 000endpoints

50 000endpoints

25 000endpoints50 000endpointscon eventosde inicio deprocesos(pero sineventos definalizaciónde procesos)

2.7 Gbps 1.8 Gbps

8880v3 Dell r730con memoria yHD


100 000endpoints

100 000endpoints

50 000endpoints

2.7 Gbps 1.8 Gbps

¹ Los eventos de inicio y de finalización de procesos están deshabilitados.

² Symantec no recomienda el modo inline para el appliance virtual. Cuando se implementa un appliance virtual en elmodo inline, se corre riesgo porque no se puede omitir.

Cómo obtener un archivo de licencia de Symantec EDR e instalarloCuando compre Symantec EDR, Broadcom le enviará un correo electrónico de bienvenida con la confirmación del pedidoque incluye el número de serie y un archivo adjunto con la clave de licencia.Si no ha recibido una carta de bienvenida de Broadcom o no puede encontrar el archivo de la clave de licencia, haga clicaquí para acceder al sitio web de Broadcom desde el que podrá acceder al archivo de la clave de licencia.

Guarde el archivo de la clave de licencia en una ubicación a la que pueda acceder desde la EDR appliance console.

Instale el archivo de la clave de licencia en la EDR appliance console para la activación del producto.

1. En EDR appliance console, haga clic en Settings (Configuración) > Global.

2. Desplácese hacia abajo hasta la sección Licensing (Licencias) y haga clic en Upload License (Cargar licencia).

3. En el cuadro de diálogo Cargar licencia, vaya al archivo de licencia, selecciónelo y después haga clic en Cargar.

La nueva licencia surte efecto de forma inmediata, aunque deba ser distribuida a cada uno de los analizadores. Si lalicencia anterior ha caducado, asegúrese de habilitar de nuevo el análisis en todos los dispositivos analizadores.

Configurar la interfaz de red y habilitar el análisis

38

https://www.broadcom.com/support/symantec/getting-started#on-premises-security-products



Related LinksSymantec to Broadcom Transition Guide - My Entitlements

39

https://ca-broadcom.wolkenservicedesk.com/external/article?articleId=145885&_ga=2.206883987.1048733966.1583761188-848804485.1572636998



Instalar un appliance virtual

Implementación de la plantilla OVAPaso 1 del Flujo de trabajo de instalación del appliance virtual de Symantec EDR: Instalación del appliance virtual.

La instalación del archivo ISO no se admite para un appliance virtual. Symantec EDR no admite la creación de unaplantilla OVA a partir de una plantilla de Symantec EDR. Es necesario implementar la plantilla OVA sin modificaciones.

1. Implemente la plantilla OVA en el servidor VMware ESXi.

Continúe con el asistente hasta llegar al panel Network Mapping (Asignación de red).

2. En el asistente Deploy OVA Template (Implementar plantilla OVA) en el panel Network Mapping (Asignación dered), asigne sus adaptadores de Source Network (Red de origen).

Los adaptadores se incorporan a la plantilla OVA de Symantec EDR con Destination Networks (Redes de destino)que configuró en su red.

Acerca de los adaptadores de red virtuales

Para obtener un mejor rendimiento, use aprovisionamiento grueso.

NOTE

Las redes de destino que se muestran son ejemplos solamente.

3. En la columna Destination Networks (Redes de destino), seleccione una red para cada adaptador de red de origende la siguiente manera:

Consulte la hoja de instalación para obtener información sobre la red de administración.

Source Network (Red de origen) Destination Network (Red de destino)Management (Administración) Elija su red de administración.

Esta asignación se aplica a todos los appliances virtuales: dispositivostodo en uno, analizadores de red y plataformas de administración.

40




Monitor1_WAN • En el modo de bloqueo inline o supervisión inline en un dispositivotodo en uno o un analizador de red, elija la red WAN que deseeproteger.

• Para el modo de punto de conexión de red en un dispositivo todo enuno o un analizador de red, elija una red que se desee supervisar.Esta red debe estar conectada a un puerto de punto de conexión dered o Span en el conmutador de red.

• Para una plataforma de administración, se puede asignarMonitor1_WAN a cualquier red. Solamente el puerto deadministración está activo cuando un appliance actúa comoplataforma de administración.

Monitor2_LAN • En el modo de Bloqueo inline o Supervisión inline en un dispositivotodo en uno o un analizador de red, elija la red LAN que deseeproteger.

• En el modo de punto de conexión de red en un dispositivo todoen uno o un analizador de red, elija una red adicional que deseeproteger. Esta red debe estar conectada a un puerto de punto deconexión de red o Span en el conmutador de red.Si no desea hacer esta conexión, asigne Monitor2_LAN a cualquierred. Después de completar la implementación de OVA, edite laconfiguración del appliance virtual en el cliente de VMware vSpherepara desconectar Network adapter 3 (Adaptador de red 3). Consultela documentación de VMware para obtener instrucciones.

• Para una plataforma de administración, se puede asignarMonitor2_LAN a cualquier red. Solamente el puerto deadministración está activo cuando un appliance actúa comoplataforma de administración.

NOTE

Para los dispositivos todo en uno y de analizador de red, no asigne Monitor1_Wan y Monitor2_Lan a lamisma red. Esta configuración puede causar que los bucles de puentes y los paquetes no se puedan enviarcorrectamente a la red.

NOTE

Al implementar un analizador de red en una máquina virtual y asignar el puerto WAN a una NIC físicaa través de un vSwitch, cambie la configuración del vSwitch para admitir todas las Id. de VLAN en laspropiedades del grupo del puerto. Sin esta configuración, Symantec EDR no puede capturar cierto tráfico dered. Consulte su documentación de vSphere para obtener más información.

4. Anule la selección de Power on after deployment (Encender después de la implementación) y haga clic en Finish(Finalizar).

IMPORTANTEs imperativo que la imagen de la máquina virtual no esté encendida cuando continúe con los pasossiguientes para extender el disco duro y asignar recursos. Si no puede anular la selección de esta opción yel appliance virtual se inicia automáticamente, deténgalo manualmente antes de continuar.

Cómo reservar los recursos necesarios para el appliance virtualPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

41

http://knowledge.broadcom.com/external/article?legacyId=howto130413



IMPORTANTEs imperativo que su equipo virtual tenga los recursos apropiados asignados. También es fundamental que estéapagado cuando se realiza esta configuración. Los recursos necesarios deben estar físicamente disponiblespara el host vSphere/ESXi y no deben estar reservados por ninguna otra máquina virtual, de modo que puedaasignarlos a Symantec EDR. De lo contrario, la máquina virtual tiene una configuración no admitida y es posibleque no funcione correctamente. Una máquina virtual dañada que no tiene los recursos reservados no siemprese puede recuperar, lo que puede requerir que la OVA se vuelva a implementar en una nueva máquina virtual.

Requisitos del sistema para el appliance virtual

Para reservar los recursos asignados a la máquina virtual, edite el invitado de la máquina virtual y especifique la cantidadde recursos que desea reservar.

1. Para reservar los recursos necesarios en la consola de vSphere:a) En la consola de vSphere, vaya a la máquina virtual y haga clic en Edit Settings (Editar configuración).b) En la ventana Settings (Configuración), haga clic en la ficha Resources (Recursos).c) En la ficha Resource (Recurso), configure la CPU en el valor mínimo recomendado de 12000 MHz.d) Configure Memory (Memoria) seleccionando Reserve all guest memory (Reservar toda la memoria de invitado).e) Guarde los cambios.

2. Para reservar los recursos necesarios en ESXi:a) En la consola de ESXi, navegue a la máquina virtual.b) Haga clic en Edit (Editar).c) En la ficha Virtual Hardware (Hardware virtual), expanda la ficha CPU.d) Configure Reservation (Reserva) en 12 GHz.e) Expanda Memory (Memoria) y seleccione Reserve all guest memory (Reservar toda la memoria de invitado).f) Guarde los cambios.

3. Para reservar los recursos necesarios en el cliente web de vSphere:a) En el cliente web de vSphere, vaya a la máquina virtual.b) Haga clic en el menú Actions (Acciones) y seleccione Edit Settings (Editar configuración).c) En la ficha Virtual Hardware (Hardware virtual), expanda la ficha CPU.d) Configure Reservation (Reserva) en 12 GHz.e) Expanda Memory (Memoria) y seleccione Reserve all guest memory (Reservar toda la memoria de invitado).f) Guarde los cambios.

Extensión del tamaño del disco duro virtualPaso 3 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Después de la instalación y la implementación de Symantec EDR, deberá ampliar el espacio de disco duro. Esto sedebe a que Endpoint Activity Recorder recopila datos de sus endpoints que luego se almacenan en la base de datos deSymantec EDR. Por lo tanto, Symantec EDR requiere más recursos del sistema y espacio de almacenamiento. De locontrario, experimentará problemas de espacio libre en disco.Si desea usar las funciones de Endpoint CommunicationsChannel, deberá agregar un disco duro adicional.

Consulte la Guía de escalabilidad y evaluación del tamaño de Symantec™ Endpoint Detection and Response paraconocer las recomendaciones sobre el tamaño.

42




Siga estas instrucciones para agregar un disco duro adicional cuando sea necesario. Después, deberá ejecutar elcomando extend_storage.

Requisitos del sistema para el appliance virtual

Matriz de compatibilidad de plataformas de Symantec EDR

Cómo ejecutar la herramienta extend_storage

1. En la consola de vSphere, vaya a la máquina virtual y haga clic en Edit Settings (Editar configuración).

2. En la ventana Settings (Configuración), haga clic en la ficha Hardware.

3. Haga clic en Add (Agregar).

4. En el panel Add Hardware (Agregar hardware), haga clic en Hard Disk (Disco duro) y, a continuación, haga clic enNext (Siguiente).

5. En el panel Select a Disk (Seleccionar un disco), haga clic en Next (Siguiente).

6. En el panel Create a Disk (Crear un disco), cambie el tamaño del disco a 500 GB.

7. En el panel Advanced Options (Opciones avanzadas), haga clic en Next (Siguiente). A continuación, haga clic enFinish (Finalizar).

8. En el panel Placement Recommendations (Recomendaciones sobre la disposición), haga clic en ApplyRecommendations (Aplicar recomendaciones).

9. Haga clic en OK (Aceptar).

Ejecución de la secuencia de arranque para configurar el appliancePaso 4 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Deberá abrir la ventana de la consola para ejecutar la secuencia de arranque.

Durante la secuencia de arranque, se le pedirá que proporcione la información de la configuración del appliance. Suadministrador de Symantec EDR le proporciona esta información en la hoja de trabajo de instalación.Hoja de cálculo de instalación del appliance virtualCuando la secuencia de arranque se complete, el sistema se reiniciará.

Es posible volver a ejecutar una secuencia de arranque (por ejemplo, para cambiar ciertas direcciones IP) después de lainstalación inicial desde la CLI usando el comando bootstrap. No es posible volver a ejecutar la secuencia de arranquepara cambiar el rol de funcionamiento del appliance.comando bootstrap

1. Realice una de las siguientes acciones:

Appliance virtual 1. En la ventana Integrated Remote Access Controller(Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de laconsola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

2. Para abrir la ventana de la consola mediante vSphere.

43




3. En el cliente de vSphere, haga clic en la ficha Console(Consola).

4. En el menú de la barra de herramientas, haga clic en elicono Play (Reproducir).

Appliance físico 1. Presione el botón de encendido del appliance. (Eldispositivo tarda varios minutos en iniciarse).

2. Acceda a la consola a través del terminal de serie o eliDRAC.

2. En la ventana Integrated Remote Access Controller (Controlador de acceso remoto integrado), haga clic enla ventana Virtual Console Preview (Vista previa de la consola virtual) o en el vínculo Launch Console (Iniciarconsola) debajo de esta ventana.

3. Para abrir la ventana de la consola mediante el cliente de vSphere, haga clic en la ficha Console (Consola) y, acontinuación, en el menú de la barra de herramientas, haga clic en el icono de reproducción.

4. En el mensaje de inicio de sesión en la ventana de la consola, inicie sesión con los siguientes datos:

Nombre de usuario = admin

Contraseña = symantec

La secuencia de arranque comienza de forma automática cuando se inicia sesión por primera vez antes de laconfiguración.

Una vez que se completa la configuración, puede ejecutar la secuencia de arranque de nuevo usando el comandobootstrap de la CLI.

5. Para cada indicación, escriba una respuesta y después presione Intro para especificar la información necesaria.

La tabla siguiente describe las indicaciones de la secuencia de arranque:

New password: (Nueva contraseña:) Escriba una nueva contraseña segura para la consola.Esta contraseña reemplaza la contraseña predeterminada,symantec.

Weak password (Contraseña no segura)Try another [y/n]? (¿Desea probar otra [s/n]?)

Una contraseña similar a una palabra en el diccionario,demasiado corta o que no es lo suficientemente compleja esmenos segura. Escriba y para eliminar la nueva contraseñay para que se le solicite que intente de nuevo. Escriba n paraguardar la nueva contraseña que ingresó previamente.

Re-enter new password (Volver a especificar la nuevacontraseña):

Para confirmar la nueva contraseña, escríbala de nuevo ypresione Intro. Si las dos contraseñas no coinciden, se lepedirá que vuelva a escribir la contraseña.

Seleccione uno de los siguientes roles del appliance:1 = Plataforma de administración ..., 2 = Analizador de red ..., 3 =Todo en uno ... []?

Escriba el número que corresponde al rol para esteappliance. La indicación describe cada uno de los rolesdisponibles.

Configure the management port. IPv4 address []: (Configure elpuerto de administración. Dirección IPv4 []:)

Escriba una dirección IP estática para el puerto deadministración. Para una plataforma de administración o unappliance todo en uno, se usa esta dirección IP para accedera EDR appliance console desde un navegador.

IPv4 Netmask []: (Máscara de red IPv4 []:) Escriba la máscara de red para la dirección IPv4 del puertode administración.

Gateway []: Escriba la dirección IP para el gateway (conmutador o router)que el appliance puede usar para comunicarse con el restode su red.

44



Name server (IPv4) []:(Servidor de nombres [IPv4]) Escriba la dirección IP de un servidor de nombres que elappliance pueda usar para resolver las direcciones IP.

Configure another nameserver? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para agregar un servidor de nombres adicionalo n para usar solamente un servidor de nombres. Si escribey (s), se le pedirá que escriba la dirección IP de un segundoservidor de nombres.

Rol del analizador de red solamente:IP address of the Management Platform (Dirección IP de laplataforma de administración):

Escriba la dirección IP del puerto de administración delappliance de la plataforma de administración que controlaeste analizador.

Roles de la plataforma de administración o del analizador de redsolamente:Communication Channel password: (Contraseña del canal decomunicaciones)

Escriba una contraseña segura para cifrar lascomunicaciones entre la plataforma de administración ytodos sus analizadores de red. Esta contraseña debe serla misma para la plataforma de administración y todos losanalizadores de red. Debe ser diferente de la contraseñade la consola de administración. Las letras, los números,los puntos, los caracteres de subrayado y los guionesestán permitidos, y la contraseña puede ser de hasta 50caracteres.

Roles de la plataforma de administración o del analizador de redsolamente: Re-enter Communication Channel password: (Volver aescribir contraseña del canal de comunicaciones:)

Para confirmar la contraseña del canal de comunicaciones,escríbala de nuevo y presione Intro. Si las doscontraseñas no coinciden, se le pedirá que vuelva a escribirla contraseña.

Configure IPv4 static routes? [y/n] (¿Desea configurar otroservidor de nombres? [s/n])

Escriba y (s) para configurar una ruta estática IPv4 o npara omitir este paso de configuración. Las rutas estáticaspueden ser necesarias. Por ejemplo, use rutas estáticaspara conectar un analizador de red a su plataforma deadministración.

Destino (CIDR permitido):Gateway (Gateway):

Si elige configurar las rutas estáticas IPv4, se le pediráque escriba la dirección IP de destino y la dirección IP delgateway.

Add another route? [y/n] (¿Desea configurar otro servidor denombres? [s/n])

Después de configurar una ruta estática IPv4, escriba y(s) como respuesta a esta indicación para configurar otraruta estática IPv4. Escriba n para continuar a la siguienteindicación.Es posible configurar hasta tres rutas estáticas IPv4 enla secuencia de arranque. Es posible configurar las rutasestáticas adicionales en EDR appliance console.

What do you want to call this device? (¿Qué nombre desea dar aeste dispositivo?)

Escriba un nombre para identificar este sistema en EDRappliance console. Las letras, los números, los espacios, lospuntos y los guiones están permitidos, y el nombre puede serde hasta 50 caracteres.

Set NTP server [] Escriba la dirección IP o el FQDN del servidor NTP.Configurar un servidor NTP garantiza que el appliancetenga una hora precisa para indicar cuándo se realizandetecciones.

6. Cuando la configuración se completa, la consola muestra la configuración que usted configuró y después aparece elmensaje Save changes? [y/n] (¿Desea guardar los cambios? [s/n]). Escriba y (s) para guardar la configuración on para rechazarla y realizar cambios.

Si escribe n, la secuencia de arranque se reinicia desde el inicio. La mayoría de las indicaciones muestran el valoranterior que usted ingresó. Presione Intro para aceptar el valor anterior (si está presente) o escriba un nuevo valorpara corregir la entrada.

45



Comando sshconfigPaso 5 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Descripción: Inicie o detenga el servicio SSH. Le permite acceder a EDR appliance console a través de servicios comoPuTTy.

Sinopsis: sshconfig enable | disable

Opción o argumento Descripción

enable Inicie el servicio SSH de forma inmediata y configure el sistema para iniciar SSH en el inicio.disable Detenga el servicio SSH de forma inmediata y configure el sistema para deshabilitar SSH en el inicio.

Cómo ejecutar la herramienta extend_storagePaso 6 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Una vez que aumenta la capacidad de almacenamiento de su dispositivo o máquina virtual Symantec Endpoint Detectionand Response, es necesario ejecutar la herramienta extend_storage para completar el proceso de actualización. Laherramienta realiza las siguientes acciones:

• Detecta y realiza particiones de la nueva unidad• Genera los mensajes de registro con respecto a la ejecución de la herramienta• Asigna 45 % del nuevo almacenamiento a Elasticsearch y 55 % a la copia de seguridad y restauración

WARNING

Se recomienda realizar una copia de seguridad de la base de datos de Symantec EDR antes de ejecutarextend_storage.

Advertencias

Tenga en cuenta las siguientes advertencias acerca del funcionamiento de la herramienta:

• La herramienta funciona en un disco por herramienta en ejecución. Para extender el espacio libre en disco usandovarios discos, es necesario ejecutar la herramienta para cada disco.

• El espacio libre en disco mínimo requerido en un disco ampliable es 10 GB.• La cantidad máxima de espacio libre en disco en un disco ampliable es de 2 TB para uno virtual y 16 TB para uno

físico.• La herramienta muestra hasta cinco discos entre los que elegir en cada sesión.• La herramienta busca solamente los controladores SCSI y SATA.• Asegúrese de que /var/lib/elasticsearch no esté abierto en ningún otro lugar.• Asegúrese de no haber ejecutado la herramienta extend_storage desde la carpeta /var/lib/elasticsearch.

46

https://support.symantec.com/us/en/article.howto130413.html




1. Abra una interfaz de línea de comandos en el appliance de Symantec EDR o la instancia de máquina virtualactualizados.

2. Escriba extend_storage y presione Intro.

El tamaño de almacenamiento de datos actual (total y disponible) aparece junto con un mensaje que recomienda quehaga una copia de seguridad de sus datos de Symantec EDR antes de ampliar el almacenamiento.

3. En el aviso Do you want to proceed? [Y/N] , escriba Y y presione Intro.

La herramienta continúa con la conversión de la partición de copia de seguridad y la comprobación de los discos.

Aparece un mensaje: Invalid new disks detected, y se detalla el nuevo disco junto con información sobre elespacio disponible en el disco.

4. Se le pedirá que seleccione un nuevo disco. Escriba el número apropiado y, a continuación, presione Enter.

La herramienta se ejecuta y muestra información sobre el estado y el espacio disponible, seguida por un mensaje queinforma que la herramienta se ha ejecutado correctamente.

La captura de pantalla siguiente proporciona un ejemplo:

Comando status_checkPaso 7 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Instalación del dispositivo virtual.

Descripción: Comprobar conectividad del servidor y estado del sistema. Este estado del sistema incluye valores comoestado del puerto de administración, estado de la interfaz, remisión de eventos e incidentes mediante el proxy de red yconectividad a los servidores de Symantec en la nube.

Sinopsis: status_check

Opción o argumento: No aplicable.

47




Nota: De forma predeterminada, Cynic intenta contactar al servidor más cercano a la ubicación del equipo que envía amenos que se habilite la opción de usar el servidor de Cynic del Reino Unido en la página Settings (Configuración) >Global.

Servidor de Cynic predeterminado: https://api.us.dmas.symantec.com

Servidor de Cynic del Reino Unido: https://api.eu.dmas.symantec.com

Reinstalar un appliance virtualPara reinstalar un appliance virtual de Symantec Endpoint Detection and Response, elimine el appliance anterior eimplemente el archivo OVA de nuevo.

NOTE

Reinstalar un appliance virtual de una imagen ISO no se admite.

1. Descargue el archivo OVA desde https://support.broadcom.com/download-center/download-center.html.

2. En el cliente de VMware vSphere™, implemente el archivo OVA.

3. Abra una ventana de la consola y arranque el appliance.

Si está reemplazando una plataforma de administración, escriba la misma dirección IP y la misma contraseñadel canal de comunicaciones que usó durante la secuencia de arranque. Si cambia la contraseña del canal decomunicaciones o la dirección IP del puerto de administración en una plataforma de administración, debe volver aejecutar la secuencia de arranque en cada analizador para actualizar esta información.

Ejecución de la secuencia de arranque para configurar el appliance

4. Si el dispositivo reinstalado es un appliance todo en uno o una plataforma de administración, ejecute el asistente deconfiguración.

Ejecutar el Asistente de configuración

Si el dispositivo reinstalado es un analizador de red, espere a que el analizador aparezca en la página Appliances enEDR appliance console.

Agregar un analizador en su configuración

5. Complete las tareas de configuración como lo haría para un nuevo appliance.

Cómo completar las tareas de configuración

6. Si reemplazó un analizador de red, ejecute el comando restore para restaurar los datos de incidentes de la copia deseguridad más reciente.

Usar la interfaz de línea de comando de Symantec EDR

48

https://support.broadcom.com/download-center/download-center.html



Configuración de Symantec EDR

Ejecución del Asistente de configuraciónPaso 1 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

El asistente de configuración de Symantec Endpoint Detection and Response le guía a través de los pasos obligatorios parala configuración de un dispositivo de plataforma de administración o todo en uno.

Durante la secuencia de arranque, asignó una dirección IP estática al puerto de administración del appliance. Necesita estadirección IP para acceder al Asistente de configuración y a EDR appliance console.

La cuenta de administración de la consola en la secuencia de arranque es independiente de la cuenta administrativa en elAsistente de configuración.

Este inicio de sesión del asistente de configuración no está disponible una vez completado el asistente.

NOTE

El appliance puede tardar varios minutos en iniciar y en iniciar los servicios necesarios antes de que puedaejecutar el asistente de configuración. Si la dirección IP del puerto de administración no responde, espere unosminutos y vuelva a intentarlo.

1. En un equipo accesible para el appliance, abra una ventana en un navegador compatible y escriba:https://<dirección IP del puerto de administración>.

Por ejemplo, si usted asignó la dirección IP estática 10.20.20.20 al appliance durante la secuencia de arranque,escriba https://10.20.20.20.

NOTE

Es necesario usar el protocolo HTTPS cuando se escribe la dirección del Asistente de configuración. Elprotocolo HTTPS es necesario.

2. Si el navegador muestra una advertencia de conexión o certificado no confiable, elija continuar y agregue unaexcepción, si es necesario.

La interfaz web de Symantec EDR incluye inicialmente un certificado autofirmado que se puede cambiar para usar uncertificado generado por el cliente después de la instalación inicial.

Configuración de acceso seguro a EDR appliance console

3. En la pantalla de inicio de sesión, escriba las siguientes credenciales y después haga clic en Sign In (Iniciar sesión) opresione Enter:

User name (Nombre de usuario): setup

Password (Contraseña): symantec

Esta cuenta se desactiva cuando se completa el Asistente de configuración.

49




4. En la pantalla Terms and Conditions (Términos y condiciones), lea los términos y las condiciones.

Es necesario aceptar los Terms and Conditions (Términos y condiciones) para continuar.

Las opciones de manejo de datos se habilitan de forma predeterminada. Es posible optar por anular la selección deestas opciones.

Habilitar las opciones de manejo de datos

5. Haga clic en Next (Siguiente).

6. Responda a las indicaciones en cada pantalla para completar la configuración obligatoria. Haga clic en Next(Siguiente) para ir a la pantalla siguiente o haga clic en Previous (Anterior) para volver a una pantalla que ustedcompletó.

La tabla siguiente describe las indicaciones adicionales en el Asistente de configuración y cómo responder a ellas.

Upload License (Cargarlicencia)

Haga clic en Browse (Examinar) para localizar el archivo de licencia y seleccione el archivo. Cuandose hace clic en Next (Siguiente), Symantec EDR carga el archivo.Debe cargar una licencia antes de que el dispositivo de Symantec EDR sea funcional. No es posibleusar Symantec EDR después de instalarlo sin una licencia. No existe un período de gracia.Cómo obtener un archivo de licencia de Symantec EDR e instalarlo

SMTP Settings(Configuración de SMTP)

Puede especificar la configuración de SMTP en el Asistente de configuración o puede seleccionarSkip adding SMTP server configuration (Omitir incorporación de la configuración del servidorSMTP) y especificar la configuración más tarde en EDR appliance console.Escriba el Servidor SMTP (nombre de dominio completo permitido) y el número de Puerto de suservidor de correo seguro.En el campo Appliance Email (Correo electrónico del appliance), escriba la dirección de correoelectrónico desde donde se envían las alertas, como una notificación de la caducidad de la licencia.Si su servidor de correo requiere un inicio de sesión seguro para recibir mensajes, seleccioneAuthorize (Autorizar). A continuación, escriba un nombre de usuario y una contraseña que SymantecEDR pueda usar para autenticarse con el servidor de correo.

Create an Administrativeaccount (Crear una cuentaadministrativa)

Especifique un nombre de inicio de sesión, una contraseña, un nombre para mostrar y una direcciónde correo electrónico de usuario para la cuenta de administrador inicial. Se necesita este inicio desesión para completar el Asistente de configuración.Este administrador puede crear cuentas de usuario adicionales, incluidas cuentas de administradoradicionales.

7. Haga clic en Save (Guardar).

8. Haga clic en Exit (Salir) para terminar el asistente de configuración y mostrar la pantalla de inicio de sesión de EDRappliance console.

Cómo completar las tareas de configuraciónPaso 2 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

Tareas para completar la instalación de Symantec Endpoint Detection and Response enumera las tareas que Symantecrecomienda realizar inmediatamente después de completar la instalación preliminar de Symantec Endpoint Detection andResponse.

Haga clic en los tokens de ayuda contextual en EDR appliance console para obtener más información sobre cómorealizar estas tareas.

50




Table 17: Tareas para completar la instalación de Symantec Endpoint Detection and Response

Tarea Descripción

Acceder a EDR appliance console. Realice las tareas y las configuraciones posteriores a la instalación en EDR appliance console.Cómo acceder a la EDR appliance console

Configure las siguientes opciones en la página Settings > Global (Configuración > Global).GlobalConfigurar la correlación deSynapse

Si SEP o Email Security.cloud protege la red, configure Synapse para correlacionar los datos deincidentes de estos orígenes con Symantec EDR.Acerca de la correlación de Synapse

Si pretende utilizar SymantecEndpoint Protection con SymantecEDR, configure la conexión delcontrolador de SEPM.

Se puede integrar Symantec Endpoint Detection and Response con Symantec EndpointProtection para:• Recopilar eventos de condena de SEPM y correlacionarlos con eventos de los otros puntos

de control• Configurar Symantec EDR para solicitudes de reputación de proxy desde sus endpoints• Enviar comandos a su instancia de SEPM (por ejemplo, para actualizar su lista de

denegación de SEPM).• Enviar comandos a sus endpoints (por ejemplo, para eliminar un archivo o poner en

cuarentena un endpoint)• Recuperar información de SEPM (por ejemplo, una lista de sus endpoints y su estado en

línea)• Recuperar información de sus endpoints (por ejemplo, un volcado de todos sus eventos)Flujo de trabajo: Integración de Symantec EDR con Symantec Endpoint Protection

Configurar copias de seguridad. Configure una o más programaciones de copias de seguridad y ubicaciones.Acerca de hacer copias de seguridad y restauraciones de datos de Symantec EDR

Configure el acceso seguro a EDRappliance console.

Cargue un certificado para cifrar las sesiones de EDR appliance console.Configuración de acceso seguro a EDR appliance console

Para la operación en Bloqueoinline, también puede quererpersonalizar la página de bloqueo.

Las páginas de bloqueo se usan solamente cuando usted trabaja en el modo de bloqueo inliney el análisis está activado. Cuando Symantec Endpoint Detection and Response bloquea elacceso a un sitio web o evita la descarga de un archivo potencialmente malicioso, aparece unapágina de bloqueo. A través de la página de bloqueo, se le informa al usuario que la página estábloqueada y a quién tiene que notificar para obtener más información.Personalización y prueba de las páginas de bloqueo

Configure las siguientes opciones en la página Settings > Appliance (Configuración > Appliance).AppliancesEstablezca la configuración de redinterna.

Cuando define sus redes internas, especifica qué equipos son parte de su red y qué equipospertenecen al mundo exterior. Con esta información, Symantec EDR puede distinguir entre losequipos protegidos y los equipos que están fuera de la red.Definición de las redes internas a Symantec EDR

Configure la configuracióndel proxy de red y el proxyempresarial, si estos proxies estánpresentes en el entorno.

Symantec EDR admite los siguientes tipos de configuración proxy:• Un proxy de red. Symantec EDR usa un proxy de red para acceder a la red externa.• Un proxy empresarial dentro de un entorno empresarial. Symantec EDR trata al tráfico que

se dirige a un proxy empresarial (que pueda tener una dirección IP dentro de una red interna)de manera diferente que al tráfico que se dirige con un proxy de red.

Si usa proxies, cada appliance de Symantec EDR, ya sea en rol analizador, independiente oCIU, debe tener las direcciones IP de los proxies existentes.Configurar información del proxy de redCrear una lista de proxy empresarialesEspecificar el tráfico que el proxy examina

51



Tarea Descripción

Configurar conexiones del servidorSyslog.

Conectarse a uno o más servidores Syslog (un SIEM, por ejemplo) para capturar y para informardatos externamente.Configuración de las conexiones a los servidores syslog

Configuración de servicios deaislamiento de procesos.

De forma predeterminada, Symantec EDR envía archivos al sistema de desactivación desoftware malicioso basado en la nube de Cynic de Symantec para su análisis. Sin embargo,puede mantener el análisis de archivos local y enviar los archivos a un appliance de análisis desoftware malicioso de Symantec de propiedad del cliente en las instalaciones para desactivacióny análisis.Configuración de Symantec EDR para usar aislamiento de procesos en la nube o aislamiento deprocesos en las instalaciones

Habilitar el análisis Después de configurar las opciones del appliance, se recomienda habilitar el análisis.Configurar la interfaz de red y habilitar el análisis

Configure las siguientes opciones en la página Settings > Users (Configuración > Usuarios).Administración de usuariosAgregar nuevas cuentas de EDRappliance console

Agregue cuentas adicionales de Admin (Administrador), Controller (Controlador) y User (Usuario)para acceder a EDR appliance console.Sugerencia: Como práctica recomendada, debe configurar al menos una cuenta de usuariode administrador adicional inmediatamente después de la instalación en caso de que hayaun problema de acceso a la EDR appliance console con las credenciales de cuenta deadministrador iniciales.Cómo agregar cuentas de usuario localLista de comprobación previa a la integración con Active Directory

Configure las siguientes opciones en la página Reports (Informes).Configurar informes. Configure los informes que se pueden generar en una programación diaria, semanal o mensual.

Acerca de informes

Cómo acceder a EDR appliance consoleAcceda a la consola del appliance de EDR para configurar y administrar Symantec EDR, así como para realizar labúsqueda y recuperación de amenazas.

Acceda a EDR appliance console desde un navegador web en cualquier equipo cliente que pueda conectarse al puertode administración de la plataforma de administración o del appliance todo en uno.

NOTE

Para ver las páginas del appliance de Symantec EDR o acceder a la consola de Symantec EDR medianteel sitio web en la nube, debe estar conectado mediante la red LAN o VPN de su empresa o proporcionarle aSymantec EDR una dirección IP pública que sea accesible desde Internet. De lo contrario, aparece el siguientemensaje de error: No se puede mostrar esta página.

Si está utilizando un certificado autofirmado para su instalación de EDR, deberá aceptar el certificado en sunavegador.

1. En el equipo que puede acceder a la red conectada al puerto de administración, abra un navegador web.

2. En el navegador web, escriba lo siguiente:

https://<dirección IP>

Donde<dirección IP>es la dirección que se ha especificado para el appliance durante el proceso de secuencia dearranque.

Por ejemplo, si la dirección IP que usted especificó para el appliance es 192.168.42.24, vaya a la siguiente URL:

https://192.168.42.24

52



NOTE

Se debe utilizar el protocolo HTTPS para acceder a la EDR appliance console.

Para ciertos navegadores web, se debe configurar una excepción de seguridad del certificado para acceder a la EDRappliance console.En general, este paso es necesario solamente al iniciar sesión por primera vez en cada equipo.

3. En la página Log On (Inicio de sesión), en el campo User Name (Nombre de usuario), escriba el nombre de usuarioque le haya asignado el administrador.

4. En el campo Password (Contraseña), escriba la contraseña.Se le bloquea después de cinco intentos incorrectos.

Configuración de acceso seguro a EDR appliance console

Configuración del acceso de inicio de sesión único (SSO) a la EDR appliance console

Requisitos del navegador para EDR appliance console

Prueba de Symantec EDR para la supervisión y el bloqueo correctosPaso 3 del Flujo de trabajo de instalación del dispositivo virtual de Symantec EDR: Configuración de Symantec EDR.

Symantec tiene un sitio web que puede usar para probar que Symantec Endpoint Detection and Response supervisadatos de red.

1. Inicie un navegador web en un equipo de la LAN que esté conectado a Symantec EDR.

2. En Internet, vaya a la siguiente URL:


El sitio web de Broadcom debe visualizarse normalmente sin ningún mensaje.

3. En Internet, vaya a la siguiente URL:

http://testatp.coe.org.uk

4. Haga clic en cada uno de los vínculos en la página de prueba.

Es necesario ver un incidente correspondiente en la base de datos, si usted está en el modo de punto de conexiónde red o en modo de supervisión inline. Las detecciones de aislamiento de procesos basado en la nube puedenretrasarse durante la ejecución virtual.

Si está en modo de bloqueo inline, se interrumpen las descargas del archivo (excepto los nuevos envíos de archivosal espacio aislado basado en la nube). Los intentos subsiguientes de descargar el mismo archivo se incluyen en unalista de denegación.


53



http://testatp.coe.org.uk



Migración de datos durante la actualización a ATP v.3.1

Migración de datos durante la actualización a Advanced ThreatProtection v.3.1Cuando actualiza a Advanced Threat Protection 3.1, sus datos existentes se migran a una nueva versión de la base dedatos de Elasticsearch. La siguiente lista proporciona notas importantes sobre el proceso de migración de datos:

WARNING

No se admite la recuperación. Es necesario realizar una copia de seguridad remota de sus datos antes decontinuar con la actualización.

• Durante el procedimiento de actualización, la instalación de Symantec EDR no está disponible para operar connormalidad. El período que la instalación está fuera de servicio varía según la cantidad de datos migrados. En lamayoría de los casos, se espera que el tiempo de inactividad sea de 4 horas o menos.

• La migración de datos a la versión 3.1 es más exhaustiva que las migraciones anteriores. Por este motivo, esnecesario programar la migración para que se produzca durante las horas de poca actividad o no operativas.

• Se le pide verificar la actualización.• El estado de sistema es Warning (Advertencia) durante el proceso de migración.• Las actualizaciones de progreso y los mensajes de error están disponibles en el portal, en Logging > System

Activity (Registro > Actividad del sistema). El filtro rápido en Features > Data Migration (Funciones > Migración dedatos), proporciona estadísticas de migración de datos.

• Solamente los últimos 90 días de datos se migran.• Los datos operativos se migran primero. Otros datos se pueden migrar en segundo plano después de que se

complete el resto de la actualización.• Las siguientes funciones no están disponibles durante la migración de datos no operativos:

– Splunk– API pública– Service Now– Reports (Informes)– Criterio– Restauración de copia de seguridad

• El tema Acerca del proceso de migración de datos proporciona información adicional sobre la disponibilidad delservicio durante el proceso de migración y la secuencia de migración de datos.

• Borre su memoria caché del navegador después de la actualización.

Acerca del proceso de migración de datosCuando actualiza a Symantec Advanced Threat Protection (ATP) v.3.1, se migran los datos de funcionamiento y nooperativos a la base de datos de Elasticsearch actualizada del producto. Estos datos se definen de la siguiente manera:

Datos operativos

Los datos operativos corresponden a las entidades en el sistema, tales como los endpoints, los archivos, los dominios yagregados. Estos datos se muestran en el widget de actividad de eventos en el panel de información.

Se migran los datos operativos después de que el producto se actualiza a ATP 3.1.0, pero antes de que se reinicie elproducto. Cuando la EDR appliance console está disponible después del reinicio, el administrador de Symantec EDRpuede ver todas las entidades y el panel de información, con las excepciones siguientes:

54



• Los datos de click-through en el panel de información para los eventos correspondientes no está disponible hasta quela migración de los datos no operativos está en curso.

• Los incidentes y las entidades relacionadas no están disponibles hasta que la migración de datos no operativos estáen curso.

Datos no operativos

Los datos no operativos corresponden a los eventos históricos, los incidentes, los resultados de comando, los estados decomando y el registro del sistema. Estos datos se migran después de que el appliance se reinicie después de realizar laactualización a ATP 3.1.0. Estos datos se migran en tres fases:

• Fase 1– Migra los eventos y los incidentes de los últimos 7 días.– No se migran los eventos de respuesta en vivo de los últimos 7 días.– El tiempo para completar esta migración depende del tamaño, pero debe completarse en las primeras 12 horas

después de la actualización.– Los servicios del controlador de Splunk, Service Now y API públicas están habilitados después de completar esta

fase.• Fase 2

– Migra los eventos de respuesta en vivo de los últimos 7 días.– El tiempo para completar la fase 2 depende del tamaño, pero debe completarse en los primeros 2 a 5 días después

de la actualización.– No se habilitan servicios adicionales después de completar esta fase.

• Fase 3– Migra todos los índices restantes.

NOTE

La migración sólo mueve los índices de los últimos 3 meses.– El tiempo para completarse la Fase 3 depende de la cantidad de datos.– Servicios de restauración de copia de seguridad, criterio e informes se habilitan después de completar esta fase.

NOTE

Durante la migración, el indicador System Health (Estado del sistema) de Symantec EDR situado en la esquinasuperior derecha de la EDR appliance console aparece en amarillo. Cuando la migración se completa, esteindicador aparece de color verde.

Migración de datos durante la actualización a Advanced Threat Protection v.3.1

55

Response 4.5 para appliances virtuales Guía de instalación ...

Documents

Transcript of Response 4.5 para appliances virtuales Guía de instalación ...