0
(0)

Malwarebytes Endpoint Detection and Response incluye Endpoint Isolation, que temporalmente impide que las amenazas se propaguen entre los equipos al restringir su comunicación o acceso. Un equipo aislado puede seguir comunicándose con la consola Nebula y ejecutar procesos de Malwarebytes. Los Super Administradores y Administradores pueden aislar los endpoints protegidos por políticas con la función de aislamiento de endpoints habilitada.

Para los requisitos de uso de Endpoint Isolation, consulte los Requisitos mínimos para Malwarebytes Nebula.

Para seguir los pasos de este artículo, habilite el interruptor Experiencia de nuevas políticas en la página Políticas.

Si tiene la experiencia de nuevas políticas deshabilitada, busque estas configuraciones de política consultando: Malwarebytes Nebula policy with new experience disabled.

isol_1.png

Tipos de aislamiento

Existen tres tipos diferentes de aislamiento. Pueden habilitarse por separado o combinarse para aumentar el aislamiento. Los tres tipos de aislamiento son:

  • Aislamiento de red: Evita que el equipo se comunique con otros dispositivos en su red.
  • Aislamiento de procesos: Restringe qué procesos pueden ejecutarse en el equipo e impide que los procesos interactúen.
  • Aislamiento de escritorio (Solo Windows): Impide que los usuarios finales accedan al equipo.

Con el Aislamiento de procesos habilitado, solamente los procesos privilegiados pueden lanzarse en el equipo. Los procesos que requieren privilegios pertenecen a uno de estos tipos:

  • Procesos predefinidos (estándar): Actualmente existen dos procesos predefinidos: CONSENT.EXE, necesario para ejecutar los procesos elevados de UAC; y CSRSS.EXE que es un proceso crítico del sistema.
  • Procesos firmados digitalmente por Malwarebytes: Pueden ejecutarse sin restricciones en equipos aislados.
  • Procesos generados por otros procesos que requieren privilegios: Un proceso con un proceso padre que requiere privilegios también son privilegiados. Un proceso hijo que requiere privilegios puede crear más procesos hijo que son privilegiados.

Aislar equipos

Antes de poder aislar un punto final, primero debe habilitar la función Endpoint Isolation en la configuración de la directiva.Esto es necesario para instalar plugins para el agente del equipo. Cuando finaliza el análisis, puede aislar el equipo.

El aislamiento es acumulativo. Si selecciona un equipo que ya está aislado y aplica otro tipo de aislamiento, se aplicarán ambos tipos de aislamiento.

  1. Vaya a Endpoints, luego seleccione un endpoint para aislar.
  2. Haga clic en el menú Acciones en la parte superior derecha. Seleccione Aislar puntos finales.
  3. Confirme los tipos de aislamiento que desea y haga clic en SÍ. Todos los tipos de aislamiento están habilitados de forma predeterminadaendpoint_isolation_confirmation_dialog.png

Cambiar el tipo de aislamiento

Para cambiar el tipo de aislamiento aplicado a un equipo, debe:

  • Añadir tipos adicionales de aislamiento
  • Eliminar todo el aislamiento y luego aplicar los tipos de aislamiento necesarios

Eliminar aislamiento de equipos

Puede quitar equipos del aislamiento en la pantalla Equipos. Quitar un equipo del aislamiento desactiva todos los tipos de aislamiento.

  1. Vaya a Equipos.
  2. Seleccione los equipos que quiere quitar del aislamiento.
  3. En la parte superior derecha de la pantalla, seleccione Acciones > Eliminar aislamiento.
  4. El equipo se eliminará del aislamiento y se reiniciará automáticamente. Puede perder cualquier trabajo no guardado.

isol_3.png

Personalizar alertas de aislamiento de equipos (solo Windows)

Puede personalizar el mensaje que se muestra en los equipos cuando están aislados. Es opcional, y se cambia a nivel de directiva.

  1. Vaya a Configuración > Políticas.
  2. Haga clic en Nuevo o seleccione una política existente.
  3. Seleccione la pestaña Endpoint Detection and Response.
  4. Busque Habilitar aislamiento de terminales para permitir el bloqueo / desbloqueo de terminales y, a continuación, seleccione Configuración avanzada.
  5. Ingrese texto personalizado en los campos Título de aislamiento y Mensaje de aislamiento, o haga clic en Usar mensaje predeterminado para restaurar el valor predeterminado.
  6. Puede cargar una imagen BMP para mostrarla junto con el mensaje. Arrastre un archivo de imagen al área de carga o haga clic en ELEGIR UN ARCHIVO para seleccionar una imagen.
    Nota: El tamaño máximo del archivo es de 2 MB y debe ser un archivo BMP nativo para que se muestre correctamente.
  7. Haga clic en GUARDAR para guardar los cambios. El nuevo mensaje de aislamiento se mostrará para futuros aislamientos de terminales. No afecta a los puntos finales actualmente aislados.
    Isolation_message.PNG

Source : Official Malwarebytes Brand
Editor by : BEST Antivirus KBS Team

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

(Visited 35 times, 1 visits today)