Configuración del elemento de biblioteca Avert

El complemento es necesario para utilizar este Library Item.

Agregar un Avert Library Item

  1. Vaya a Biblioteca en la barra de navegación de la izquierda.

  2. Haga clic en Agregar nuevo en la parte superior derecha y elija Avert.

  3. Haga clic en Agregar y configurar.

  4. Dale un nombre al nuevo Avert Library Item.

  5. Asigne a su Assignment Maps o Classic Blueprintsdeseado .

Configuración de los ajustes generales

Configure las preferencias individuales del modo de estado de malware y PUP para su entorno.

  1. Especifique la configuración de estado deseada para el malware.

  2. Especifique la configuración de estado deseada para PUP.

El modo de detección escaneará e informará sobre elementos maliciosos conocidos. El modo de protección analizará, informará y pondrá en cuarentena automáticamente los elementos maliciosos conocidos.

Configuración de detecciones de comportamiento

Las detecciones de comportamiento están activadas de forma predeterminada al crear y agregar una nueva Avert Library Item a su Library, pero se pueden desactivar para adaptarse a ciertos flujos de trabajo. En el caso de los Avert Library Itemsexistentes, las detecciones de comportamiento deberán activarse manualmente para supervisar las actividades de comportamiento.

Las detecciones de comportamiento sospechoso se enumeran automáticamente en la tabla Amenazas con un estado informativo para resaltar las actividades inusuales que pueden justificar la atención. Estas detecciones están diseñadas para proporcionar visibilidad y no se puede configurar su modo de estado.

  1. Mueva el interruptor para habilitar las detecciones de comportamiento

  2. En Posición de comportamiento malintencionado, seleccione Detectar o Proteger

    • El modo de detección identifica e informa de las detecciones de comportamiento malintencionado.

    • El modo de protección identifica, informa y bloquea las detecciones de comportamiento malintencionado.

      mjW6lPXbGRhAWxlgYYYEwonc65lTMwjhlQ

Alertas de usuario

Cuando se activan, las alertas de usuario notificarán a los usuarios finales cuando EDR haya puesto en cuarentena malware o PUP en sus computadoras Mac. Las alertas de usuario están activadas de forma predeterminada, pero se pueden desactivar para adaptarse a determinados flujos de trabajo.

  1. Haga clic en el interruptor de alternancia junto a Notificar a los usuarios para activar o desactivar las alertas de usuario.

Los usuarios finales pueden ver una lista de archivos en cuarentena en sus ordenadores Mac abriendo Self Service y haciendo clic en Cuarentena en el menú de navegación de la izquierda.

Configurar listas de permitidos y bloqueados

Las listas de permitidos y bloqueados se pueden usar para garantizar que siempre se permitan o bloqueen archivos o aplicaciones específicos en su entorno, independientemente de si se sabe o no que un archivo o aplicación es malicioso en las fuentes de amenazas de Kandji Avert.

Los elementos de bloqueo se consideran malware y requieren que la posición de malware esté en modo de protección para que se bloquee en el dispositivo.

  1. Haga clic en el botón "+ Agregar artículo ".

  2. Asigne un nombre al artículo.

  3. Especifique el tipo de elemento Hash o Ruta de acceso para el archivo o la aplicación.

  4. Si se seleccionó Ruta , introduzca la ruta de acceso de la aplicación o del archivo. Si se seleccionó Hash , introduzca el hash del archivo.

  5. Seleccione Permitir para permitir un archivo o una aplicación. Seleccione Bloquear para bloquear el archivo o la aplicación.

  6. Haga clic en Agregar para agregar el elemento a la lista Permitir y bloquear. Opcionalmente, seleccione la casilla de verificación "Agregar otro elemento" en la esquina inferior izquierda antes de hacer clic en el botón Agregar para agregar elementos adicionales.

  7. Haga clic en el botón Guardar para guardar el Library ItemEvitar .

Determinar el valor hash

El tipo de elemento hash solo se admite para archivos. El tipo de elemento Ruta de acceso es compatible tanto con archivos como con aplicaciones.

El siguiente comando se puede utilizar en Terminal para determinar el valor hash SHA256 de un archivo.

shasum -a 256 /path/to/file

Ver detalles de edición en el Avert Library Item

Puede auditar los cambios en el Avert Library Item en la pestaña Actividad de la Library Item o en la sección Actividad global de la aplicación web de Kandji . Esto mostrará qué configuraciones se cambiaron, cuál era el estado anterior y quién realizó el cambio.

  1. Haga clic en Actividad en el elemento de la biblioteca de Avert o en el menú de navegación de la izquierda.

  2. Seleccione el triángulo desplegable junto a Library Item Editado para la entrada que desea revisar.

Próximos pasos

Consulte el artículo de soporte - Testing Malware Detection para ver EDR en acción.